Regolamento Ue: le istruzioni del Garante privacy sul registro dei trattamenti

Le recenti istruzioni per la compilazione del registro dei trattamenti pubblicate dal Garante, Tolgono finalmente alcuni dubbi sull'obbligatorietà dello stesso. Dall'articolo si evince che qualunque datore di lavoro che abbia almeno un dipendento (con busta paga) è soggetto. 

IL REGISTRO, DI FATTO, NON È CHE UN ELENCO 

• nella corretta identificazione dei trattamenti; 
• nel determinarne le finalità;
• nel definire le categorie di interessati
• nel definire i tipi di dati
• nel definirei destinatari
• nel determinare a chi si comunichino i dati
• i termini di cancellazione
• le misure di sicurezza.

Si ricorda che cardine fondamentale rimane l'analisi dei rischi e la determinazione del "rischio residuale basso". Il Garante non dice COME vadano valutati i rischi lasciando libertà al Titolare al trattamento. 

Tale libertà deve essere interpretata in ottica di accountability: massima consapevolezza e trasparenza. 

Ecco di seguito il testo del Garante

Il Garante per la protezione dei dati personali ha messo a disposizione sul proprio sito [in allegato al presente articolo] le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”).

Il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.

L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività. 

Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e - al di sotto dei 250 dipendenti - qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.

Nelle FAQ vengono indicate, tra l’altro, quali informazioni deve contenere il Registro e le modalità per la sua conservazione e il suo aggiornamento.

Il Garante italiano alla Privacy