Registro dei trattamenti: obbligo o facoltà?

Che cos’è il registro del trattamento

L’art. 30 del Regolamento UE/679/2016 prevede fra gli obblighi gravanti sul titolare anche quello di istituire il registro del trattamento ovvero il documento che contiene tutte le informazioni relative al trattamento dati sia con riferimento alla tipologia di dati trattati, alla finalità del trattamento, ai soggetti “ interessati” cui appartengono i dati trattati, ai soggetti cui i dati vengono comunicati nonché alle misure organizzative e di sicurezza adottate per prevenire e neutralizzare le situazioni di rischio cui il titolare si espone con specifico riferimento alla finalità del trattamento.

Chi è obbligato ad adottare il registro del trattamento

La norma indica che debbono necessariamente istituire il registro riferendosi alle imprese ed organizzazioni con almeno 250 dipendenti;il requisito numerico viene meno ogni qual volta :

-il trattamento dei dati presenti un rischio per i diritti e le libertà fondamentali dell’interessato,

-il trattamento non sia occasionale;

– includa il trattamento di categorie particolari di dati di cui all’art. 9 paragrafo 1 ovvero di dati relativi a condanne penali e a reati di cui all’art. 10.

Le ipotesi sono alternative secondo quanto stabilito sia dal documento interpretativo reso dal Gruppo di lavoro ex art. 29 ( ora Comitato europeo per la protezione dei dati) che dal Garante privacy nel comunicato stampa del mese di ottobre 2018 relativo alle FAQ sulla necessità dell’adozione del registro del trattamento e sulle categorie obbligate a tale adempimento; individuate negli :

– esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
– liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
– associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Appare evidente che i requisiti che fanno scattare l’obbligo di tenuta del registro del trattamento – sebbene in modalità semplificata secondo il format redatto sempre dal Garante- sono due:

-assunzione di almeno un dipendente

-trattamento dati sanitari nelle accezioni di cui all’art. 9- ovvero “Dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”

includendo tutti i dati che in qualche modo rivelano informazioni sullo stato di salute, ha di fatto ampliato la nozione di dato sanitario.

L’estensione generalizzata dell’obbligo di istituire il registro del trattamento è stata bilanciata dal Garante con l’applicazione di un registro “semplificato” nel quale vanno indicati:

TIPOLOGIA TRATTAMENTO: manuale o informatizzato

FINALITA’ DEL TRATTAMENTO : distinta per tipologie di trattamento:

trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro;

trattamento dei dati di contatto dei fornitori per la gestione degli ordini;

trattamento dati clienti per la raccolta delle anagrafiche piuttosto che per finalità di marketing,

BASE GIURIDICA DEL TRATTAMENTO distinta per categorie di dati;

dati comuni secondo il disposto dell’art. 6 ( consenso, obbligo di legge, compito di interesse pubblico, interesse vitale di un terzo, legittimo interesse)
Dati sensibili quali “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2 del Regolamento.
DESCRIZIONE DELLE CATEGORIE DI INTERESSATI: le tipologie di soggetti interessati (es. clienti, fornitori, dipendenti)

CATEGORIE DI DATI PERSONALI oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);

CATEGORIE DI DESTINATARI A CUI I DATI SONO STATI O SARANNO COMUNICATI” vanno individuati anche se per sola categoria appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi), professionisti che collaborano con il titolare in qualità di responsabili e sub-responsabili del trattamento;

TRASFERIMENTI DI DATI PERSONALI VERSO UN PAESE TERZO O UN’ORGANIZZAZIONE INTERNAZIONALE andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate dagli stessi;

TERMINI ULTIMI PREVISTI PER LA CANCELLAZIONE DELLE DIVERSE CATEGORIE DI DATI vanno individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”);

DESCRIZIONE GENERALE DELLE MISURE DI SICUREZZA andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Tale lista ha di per sé un carattere dinamico (e non più statico come è stato per l’Allegato B del d. lgs. 196/2003) dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).

Per qualsiasi chiarimento non esitare a contattarci

Privacy policy

Ai sensi dell’articolo 13 del Regolamento UE/679/2016 la informiamo di quanto segue:

1. Titolare e responsabile del trattamento
Titolare del trattamento dei dati personali è la società Service one s.r.l. con sede in Giarre Via Quintino Sella 8 , PEC serviceone@pec , (di seguito il “Titolare”). L’elenco completo dei responsabili esterni del trattamento dei dati è disponibile presso il Titolare.

2. Finalità del trattamento

2.1 FINALITA’  di  funzionamento del sito.
Le procedure software e il sistema informatico preposto al funzionamento del Sito acquisiscono, nel corso del loro normale esercizio, alcuni dati la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet. Queste informazioni non sono raccolte per essere associate a utenti identificati, ma per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti dal Titolare o da terzi, permettere di identificare gli utenti. In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle risorse richieste, l’orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente. Questi dati potranno essere utilizzati dal Titolare al solo fine di ricavare informazioni statistiche anonime sull’uso del sito al fine di individuare le pagine preferite dagli utenti in modo da fornire contenuti sempre più adeguati e per controllarne il corretto funzionamento. I dati potrebbero essere utilizzati per l’accertamento di responsabilità in caso di ipotetici reati informatici ai danni del Sito.

2.2 Finalità di marketing
I dati personali eventualmente forniti dall’utente sono raccolti e utilizzati esclusivamente per finalità direttamente connesse e strumentali all’attivazione e al funzionamento dei servizi forniti dal Titolare, ovvero per inviare con modalità automatizzata ( tramite mail) promozioni  e proposte commerciali relative a servizi/prodotti  offerti dall’azienda;

Il semplice accesso al Sito, senza la fruizione di servizi che richiedano la registrazione dell’utente è libero e non comporta alcun trattamento di dati personali, se non di quelli strettamente indicati al punto 2.1. Il conferimento dei dati richiesti all’atto della attivazione dei servizi che comportino una registrazione dell’utente, per le finalità di cui alla precedente sezione 2.2, è facoltativo. L’indirizzo e-mail dell’utente conferito da quest’ultimo in sede di registrazione al servizio newsletter viene utilizzato dal Titolare per la gestione del servizio stesso, per aggiornamenti e notifiche via mail ai quali l’utente abbia aderito in fase di registrazione. L’utente può rinunciare al suddetto servizio cliccando sull’apposito link presente in calce alla pagina.

2.3 finalita’ contrattuale, obbligo di legge, diritti del titolare

i dati personali degli utenti possono essere raccolti anche per l'adempimento di finalità contrattuali- con riferimento ai servizi resi- nonché per obblighi di legge.  In tali casi il conferimento dei dati è obbligatorio

3. Base giuridica

Finalità contrattuale: esecuzione di un contratto di cui lei è parte.

Finalità di marketing e profilazione: consenso ( facoltativo) revocabile in ogni momento;

obbligo di legge: necessità di assolvere agli obblighi dettati dalla normativa.

Invio di newsletter: esecuzione di un contratto di cui lei è parte ovvero iscrizione ad un servizio di newsletter

Diritti del titolare: legittimo interesse.

4. Tipologia dei dati trattati

Finalità contrattuale, obbligo di legge, Diritti del titolare recupero crediti: dati anagrafici, dati di contatto, dati amministrativo contabili.

Finalità di marketing e profilazione: dati anagrafici, dati di contatto, dati amministrativo contabili dati raccolti da cookie installati dai siti.

Finalità di funzionamento dei siti: indirizzi IP nomi a dominio dei computer utilizzati dagli utenti che si connettono ai siti, indirizzi in notazione URL delle risorse richieste, l'orario della richiesta, il metodo utilizzato per sottoporre la richiesta al server, la dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal server ( buon fine, errore, ecc.) altri parametri relativi al sistema operativo e all’ambiente informatico dell’utente, le informazioni relative al comportamento dell’utente, sui Siti, alle pagine che sono state visionate o cercate, al fine di selezionare e rendere specifici annunci all’utente dei Siti ed i dati relativi al comportamento di navigazione tenuto sui siti utilizzando i cookie.

5. Periodo di conservazione dei dati personali

Finalità contrattuale, obbligo di legge, Invio di newsletter: per tutta la durata del contratto e dopo la cessazione per 10 anni.

Finalità di marketing e profilazione:  sino alla revoca del consenso manifestato per tali finalità.

Diritti del titolare: nel caso di contenzioso giudiziale per tutta la durata dello stesso fino alla maturazione dei termini di prescrizione imposti dalla legge.

Funzionamento dei siti: per tutta la durata della sessione navigazione sui siti.

Decorsi i termini di conservazione sopra indicati i suoi dati personali saranno distrutti cancellati o resi anonimi compatibilmente con le procedure tecniche di cancellazione e backup.

6. Comunicazione dei dati
I dati personali dell’utente possono essere comunicati a soggetti determinati, incaricati dal Titolare della fornitura di servizi strumentali o necessari all’esecuzione delle obbligazioni connesse alla registrazione al Sito, nei limiti ed in conformità alle istruzioni impartite. In particolare i dati potranno essere comunicati a partner, società di consulenza, aziende private, Pubbliche Amministrazioni per lo svolgimento delle funzioni istituzionali nei limiti stabiliti dalla legge o dai regolamenti.

7. Modalità del trattamento
I dati vengono raccolti per via telematica e trattati mediante operazioni di registrazione, consultazione, comunicazione, conservazione, cancellazione, effettuate in prevalenza con l’ausilio di strumenti elettronici, assicurando l’impiego di misure idonee per la sicurezza dei dati trattati e garantendo la riservatezza dei medesimi. I dati dell’utente, memorizzati su supporto elettronico, sono custoditi e archiviati su un NAS di rete . In particolare, il Titolare dichiara che i dati registrati sul server sono protetti contro il rischio di intrusione e accesso non autorizzato e di avere altresì adottato misure di sicurezza idonee a garantire l’integrità e la disponibilità dei dati. I dati personali verranno trattati da collaboratori e/o dipendenti del Titolare in qualità di responsabili o incaricati del trattamento, nell’ambito delle rispettive funzioni ed in conformità alle istruzioni impartite dal Titolare. l'azienda garantisce il massimo livello di sicurezza, nel rispetto degli standard di settore, nella gestione dei dati dell’utente.

8. Diritti dell’interessato
L’interessato ha il diritto a richiedere al Titolare l’accesso ai Suoi dati, la rettifica o la cancellazione degli stessi, la limitazione del trattamento o la possibilità di opporsi al trattamento, di richiedere la portabilità dei dati, di revocare il consenso al trattamento facendo valere questi e gli altri diritti previsti dal GDPR tramite semplice comunicazione al Titolare. Infine, ha il diritto di presentare reclamo presso l’autorità garante della privacy nel caso in cui creda si sia generato un illecito legato al trattamento dei suoi dati. Per esercitare i diritti sopraindicati, nonché per ricevere informazioni relative ai soggetti presso i quali i dati sono archiviati o ai quali i dati vengono comunicati, l’utente potrà rivolgersi al Titolare inviando una richiesta all’ indirizzo PEC:serviceone@pec .

9. Link ad altri siti web
Il Sito contiene dei link ad altri siti web che possono non avere alcun collegamento con la Sevice One che non controlla né compie operazioni di monitoraggio di tali siti web e dei loro contenuti; pertanto l'Azienda non potrà essere ritenuta responsabile dei contenuti di questi siti e delle regole da essi adottate, anche con riguardo alla privacy e al trattamento dei dati personali durante le operazioni di navigazione. Si raccomanda agli utenti di prestare attenzione, collegandosi a questi siti tramite i link presenti sul Sito e di leggere attentamente le relative condizioni d’uso e politiche sulla privacy. Il presente documento non si applica ai siti web di terzi. Il Sito fornisce link a questi siti unicamente per facilitare l’utente nella ricerca e nella propria navigazione e per agevolare il collegamento ipertestuale su Internet verso altri siti. L’attivazione dei link non comporta nessuna raccomandazione o segnalazione da parte della Service One per l’accesso e la navigazione in questi siti, né alcuna garanzia circa i loro contenuti, i servizi o i beni da questi forniti e venduti agli utenti Internet.

10. Cookies
Per il trattamento dei dati tramite cookie, si prega di prendere visione della relativa policy.