Il registro del titolare del trattamento dei dati personali (forma, aggiornamento e corretta individuazione delle finalità)
Il Registro del titolare del trattamento (forma, aggiornamento e corretta individuazione delle finalità).
Ai sensi di quanto dispone l’art. 30 paragrafo 1 del GDPR il titolare del trattamento è tenuto a redigere ed aggiornare un registro delle attività di trattamento svolte sotto la propria responsabilità.
È oramai più che noto che la tenuta del registro non è più un mero adempimento formale ma costituisce parte integrante di un corretto sistema di gestione dei dati personali costituendo uno dei principali elementi dai quali “misurare” il grado di accountability del titolare. Se correttamente impostato, il registro dei trattamenti, sarà inoltre idoneo a delineare il quadro aggiornato dei trattamenti in essere all’interno di una “struttura” organizzativa. Se il GDPR individua nel dettaglio tutte le informazioni che devono essere contenute nel registro, l’Autorità Garante ha fornito degli utili chiarimenti in merito a mezzo delle FAQ dell’9 ottobre 2018. In ogni caso la redazione del registro è vivamente raccomandata a prescindere dalle dimensioni dell’impresa del titolare al fine di dimostrare la conformità dei trattamenti svolti rispetto a quanto previsto dal GDPR. Il registro sarà lo strumento inoltre attraverso il quale l’autorità di controllo potrà verificare l’adempimento corretto degli obblighi di cui al GDPR.
Forma del Registro.
L’art. 30, 3° comma del GDPR impone la forma scritta equiparando anche il formato elettronico (es. tabelle excel o word) ma non prescrive le modalità di compilazione che dovranno quindi intendersi libere.
Aggiornamento del Registro.
Soprattutto nelle strutture complesse con un alto numero di trattamenti ancorchè complessi (es. profilazione) sarà necessario che il Registro sia aggiornato al mutare continuo di detti trattamenti. In tali realtà sarà buona norma implementare un aggiornamento periodico con brevi intervalli di tempo tra un aggiornamento e un altro ed un aggiornamento semi-istantaneo contestuale ad ogni modifica nei trattamenti (es. cessazione di un trattamento o adozione di nuove misure di sicurezza). In tale contesto sarà certamente necessario predisporre procedure interne apposite (es. Norma gestionale interna sulla tenuta e l’aggiornamento del Registro dei trattamenti) accompagnate da apposite sedute di formazione dirette ai soggetti interni coinvolti.
Come impostare correttamente un registro dei trattamenti.
Essendo la finalità del trattamento la “stella polare” che consentirà di distinguere un trattamento da un altro, sarà fondamentale individuarle in maniera corretta attraverso la completa conoscenza delle operazioni di trattamento sui dati personali (in corso o che verranno effettuate) operate nel complesso dal titolare del trattamento. Tale attività di “censimento” ben può essere espletata a mezzo di questionari e/o check-list redatte in modo chiaro e comprensibile a chi le compilerà. Soprattutto nelle strutture più complesse (es. società anche multinazionali operanti in più paesi che raccolgono dati per finalità di marketing) tale attività dovrà necessariamente riguardare più funzioni e/o dipartimenti. In aggiunta alla precisa indicazione della finalità del trattamento, il Garante ha suggerito di indicare la base giuridica tra quelle previste dall’art. 6 del GDPR che “giustifica” la finalità del trattamento. Perimenti quando siano trattate categorie particolari di dati o dati giudiziari è consigliabile indicare anche l’esistenza delle condizioni di liceità ex artt. 9 e 10 del GDPR.
