Il registro dei trattamenti privacy, o dati personali, ai fini GDPR

Il registro, come si può intuire già dalla parola, è un documento interno all’azienda che contiene le principali informazioni che riguardano le operazioni del trattamento dei dati svolte dal titolare e dal responsabile, qualora sia stato nominato. È stato previsto dall’articolo 30 del Regolamento dell’Unione Europea n. 679 del 2016 che, come sappiamo, è diventato operativo dal 25 maggio del 2018.

Si tratta di un documento fondamentale per l’organizzazione perché è il principale strumento di supervisione che permette di capire come vengono gestiti i dati personali di persone fisiche e che dà conferma dell’accountability, ossia della responsabilizzazione nei confronti della privacy, da parte del titolare del trattamento.

Perché sia così, il registro deve avere una forma scritta, anche elettronica, affinché possa essere esibito su richiesta del Garante della Privacy.

• nome e contatti del titolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
• finalità del trattamento ossia “perché” vengono trattati i dati. I dati devono essere raccolti per finalità determinate, esplicite e legittime. Sarebbe anche indicato far capire qual è l’interesse che viene perseguito in maniera concreta per trattare questi dati, le garanzie messe in atto e l’eventuale variazione dell’impatto di questo trattamento;
• i soggetti interessati dal trattamento così come le categorie di dati personali che vengono trattati (esempio: nome, cognome, data di nascita, indirizzo ecc…)
• a chi saranno destinati i dati;
• eventuali trasferimenti di dati personali verso paesi terzi;
• i termini entro cui saranno mantenuti questi dati;
• descrizione delle misure tecnico-organizzative che saranno adottate dal titolare tenendo presente che l’elenco può variare in base alla valutazione finale relativa al livello di sicurezza che sarà adeguato caso per caso.

Come si legge, poi, sul sito del Garante della Privacy, all’interno del registro dei trattamenti dei dati personali ci possono essere anche informazioni sui modi in cui è stato raccolto il consenso, le eventuali valutazioni di impatto effettuate, referenti interni che si occupano di alcuni aspetti e così via.

Lo sono tutti i titolari e i responsabili del trattamento che sono tenuti a redigere il registro. Un obbligo che però non riguarda le aziende e organizzazioni che hanno meno di 250 dipendenti. Nella categoria delle organizzazioni rientrano anche le associazioni, le fondazioni e i comitati.

C’è da dire, però, che per aziende e organizzazioni che in teoria non sono obbligate, il registro dei trattamenti dei dati è necessario quando ci può essere un rischio per i diritti e le libertà dell’interessato o quando, per esempio, i dati trattati siano particolarmente sensibili e riguardino l’etnia, l’appartenenza a un sindacato, dati genetici e così via. Stessa cosa se il trattamento dei dati riguarda condanne penali o reati.

A regolare il registro del trattamento dei dati personali è, come abbiamo già detto, il GDPR ossia General Data Protection Regulation, in italiano Regolamento generale sulla protezione dei dati; vale a dire quel Regolamento Europeo, n. 679 del 2016, che ha proprio come obiettivo quello di regolamentare la circolazione dei dati personali, sia in Europa che al di fuori dell’Unione Europea.

In Italia, prima dell’avvento del GDPR, c’era il cosiddetto Codice della Privacy (D.Lgs. 196/2003), oggi invece, in ottemperanza alle novità introdotte dal GDPR è stato novellato dal D.Lgs. 101/2018.

Se fin qui sono chiare le specifiche e la normativa che regola il registro dei trattamenti dei dati, concretamente come deve essere redatto?

Il Garante per la protezione dei dati personali (www.garanteprivacy.it) fornisce un modello del registro [PDF] in cui vengono indicati il titolare e, se presenti contitolare, rappresentante e responsabile per quel che riguarda le persone che “rispondono”. Vengono poi indicati la tipologia di trattamento, le finalità, le categorie di interessati, le categorie di dati personali, i destinatari, il trasferimento dei dati verso paesi terzi, i termini di cancellazione previsti e le misure di sicurezza tecniche-organizzative.

E cosa succede a chi non rispetta quanto previsto dalla normativa sulla privacy e il trattamento dei dati personali? Intanto c’è da dire che a partire dal 2018 le sanzioni sono determinate in base al tipo di violazione che è stata compiuta.

• fino a 10 milioni di euro o 2 per cento del fatturato mondiale annuo dell’anno precedente per le imprese che, ad esempio, non nominano il DPO (Data Protection Officer), non comunicano un data breach (ossia una violazione dei dati personali) all’Autorità garante, violano le condizioni sul consenso dei minori oppure trattano in maniera illecita i dati personali degli utenti;
• fino a 20 milioni di euro o 4 per cento del fatturato per le imprese nei casi di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.

Detto questo, poi per quel che riguarda l’aspetto penale, ogni Stato si regola di suo e nel caso dell’Italia vale ancora quanto previsto dal Codice della Privacy del 2003. Cioè reclusione fino a 6 anni in base a 5 tipi di violazioni. Ecco quali sono: trattamento illecito dei dati, comunicazione e diffusione illecita con trattamento su larga scala, acquisizione fraudolenta dei dati, falsità nelle dichiarazioni al Garante e interruzione della sua attività, inosservanza dei provvedimenti del Garante.