Vai al contenuto

Registro dei trattamenti GDPR: chi è obbligato a tenerlo e come compilarlo

Registro dei trattamenti: libri e computer sotto chiave

Nel percorso di adeguamento al GDPR e alla sua disciplina concernente il trattamento dei dati sensibili, molte aziende concentrano l’attenzione su informative e consensi. Muovendosi in questo modo, però, trascurano uno degli strumenti più importanti in caso di controllo: il registro dei trattamenti.

Eppure, questo documento è di importanza fondamentale. Non si tratta di un mero adempimento formale, bensì di una fotografia della maniera nella quale i dati personali sono gestiti in azienda. Capirne obblighi, contenuti e modalità di compilazione è fondamentale, se si vogliono ridurre i possibili rischi e dimostrare la conformità nel trattamento delle informazioni riservate di cui si entra in possesso.

L’articolo 30 del GDPR e la mappa dei dati in azienda

Il registro dei trattamenti nasce in seguito all’entrata in vigore dell’articolo 30 del GDPR, che impone a titolari e responsabili del trattamento dei dati personali di tenere una registrazione strutturata delle attività che coinvolgono informazioni sensibili. Lo scopo principale del registro è rendere trasparente il flusso dei dati all’interno dell’organizzazione. Semplificando, per essere quanto più chiari possibile, il registro dei trattamenti funziona come una mappa: indica quali dati vengono raccolti; per quali finalità; dove vengono conservati; chi possa accedervi e per quanto tempo. Non è un documento pensato solo per l’Autorità Garante della Privacy, ma uno strumento interno di governance e controllo.

Durante un’ispezione, il registro dei trattamenti è, spesso, il primo documento richiesto. La sua assenza, così come la sua compilazione insufficiente, oppure superficiale, sono considerate segnali di scarsa consapevolezza in materia di protezione dei dati, foriere di conseguenze, potenzialmente rilevanti, anche sul piano sanzionatorio.

Soggetti obbligati a tenere il registro: la regola dei 250 dipendenti

Una delle convinzioni più diffuse è che il registro dei trattamenti sia obbligatorio solo per le aziende con almeno 250 dipendenti. In realtà, questa cifra, pur veritiera, è solo una parte della regola e rappresenta una delle principali fonti di errore. Il GDPR prevede infatti che anche le organizzazioni con meno di 250 dipendenti siano talvolta obbligate a tenere il registro dei trattamenti. La differenza è che queste ultime non devono farlo sempre, bensì soltanto quando il trattamento riguarda casistiche particolari. Ciò avviene se:

  • la gestione dei dati sensibili non è occasionale;
  • il trattamento è relativo a elementi delicati, come cartelle cliniche oppure precedenti giudiziari;
  • il possesso di queste informazioni comporta un rischio per i diritti e le libertà degli interessati.

Dal momento che la maggior parte delle imprese, comprese quelle piccole e medie, tratta dati di clienti, dipendenti e fornitori in modo continuativo e senza soluzione di continuità nel tempo, nella pratica l’obbligo di registro dei trattamenti riguarda quasi tutte le aziende, indipendentemente dalla loro dimensione e dal loro bacino di utenza. Facciamo attenzione a non farci confondere dal numero di dipendenti, perché in realtà si tratta di una restrizione davvero marginale.

Le informazioni obbligatorie da inserire nel registro dei trattamenti

Affinchè il registro dei trattamenti si dimostri a prova di controllo, dovrà contenere informazioni precise, e coerenti, con la realtà operativa dell’azienda. Il GDPR non impone un formato specifico, ma stabilisce quali elementi debbano essere sempre presenti. Sul documento occorre indicare esplicitamente, tra le altre cose, l’identità del titolare del trattamento; le finalità perseguite; le categorie di interessati e dati personali; i destinatari dei dati e i tempi di conservazione. È importante che tutte le informazioni riportate siano aggiornate e facilmente consultabili.

Un errore comune è creare un registro dei trattamenti standard, copiato da modelli generici pigramente reperiti in rete o altrove, senza adattarlo o personalizzarlo in alcun modo secondo i processi reali dell’organizzazione. Questo approccio espone a rischi significativi in caso di verifica, dal momento che non spiega nulla sulle reali finalità della conservazione dei dati e sulle modalità in cui essa venga portata avanti, nella specifica azienda. Occorre sempre avere cura di indicare, in chiarezza e completezza, i tre principali aspetti che chi effettua i controlli chiederà di verificare.

Finalità del trattamento e categorie di dati

Nel registro dei trattamenti, la descrizione delle finalità deve essere chiara, specifica e coerente con le informative privacy fornite agli interessati. Formulazioni vaghe o troppo generiche sono uno degli aspetti più contestati durante le ispezioni.

Allo stesso modo, è fondamentale indicare correttamente le categorie di dati trattati: anagrafici; di contatto; fiscali; particolari o giudiziari. Questa sezione consente di valutare il livello di rischio associato a ciascun trattamento. Anche in questo caso, si tratta di un aspetto di assoluta rilevanza, soggetto a controlli e verifiche frequenti. Gli ispettori del Garante verificano abitualmente questa sezione del registro e, spesso, la trovano imprecisa o incompleta.

Destinatari e trasferimenti extra-UE

Un altro elemento centrale del registro dei trattamenti riguarda i destinatari dei dati personali. Devono essere indicati tutti coloro i quali maneggeranno le informazioni riservate che abbiamo raccolto: sia i soggetti interni autorizzati, sia quelli esterni, come consulenti, fornitori IT o piattaforme cloud.

Se i dati vengono trasferiti fuori dall’Unione Europea, il registro dei trattamenti deve specificare, con chiarezza, tutti i Paesi di destinazione nei quali saranno esportati, così come le garanzie adottate per tutelarli all’infuori della nazione in cui ha sede; le clausole contrattuali standard proposte e firmate, relative alla manipolazione delle informazioni; eventuali decisioni di adeguatezza e le assunzioni o i fatti su cui si siano basate.

Termini di cancellazione e misure di sicurezza

Il GDPR richiede che il registro dei trattamenti riporti, con precisione e completezza, anche i tempi di conservazione dei dati e/o i criteri utilizzati per determinarli, qualora siano differenti da quelli imposti dall’autorità, generalmente per necessità specifiche dell’azienda.

Indicazioni vaghe e poco specifiche come tempo di conservazione illimitato, o fino a necessità, non sono considerate adeguate, oltre a essere talvolta proprio non legali: i dati sensibili devono essere eliminati dopo un arco di tempo preciso e definito. Fatte salve rare eccezioni, non è possibile conservarli per sempre. Il GDPR consente di poterne disporre per tutto il tempo necessario allo scopo. A seconda del settore di riferimento, questo periodo può essere più o meno lungo.

È inoltre richiesto descrivere e indicare, almeno a livello generale, le misure di sicurezza tecniche e organizzative adottate. Dal controllo degli accessi alle soluzioni di backup, dalla cifratura alla formazione del personale. Il modo di operare nei confronti del registro dei trattamenti dimostra l’attenzione dell’azienda alla protezione e gestione dei dati.

Differenza tra registro del titolare e registro del responsabile

Non è sufficiente tenere un solo registro dei trattamenti. Secondo normativa, ogni azienda dovrebbe tenerne due. Esiste infatti una distinzione, piuttosto chiara, tra registro del titolare e registro del responsabile del trattamento. Le due figure sono considerevolmente differenti tra loro. Il titolare documenta i trattamenti svolti per le proprie finalità e quelle della realtà che guida. Il responsabile, invece, registra quelli effettuati per conto di altri soggetti che entrano in contatto con l’impresa e le forniscono i propri dati sensibili.

Nel registro del responsabile devono comparire i nomi dei titolari per cui opera, oltre che le categorie di trattamenti svolti. Confondere i due ruoli, o mantenere un solo registro indistinto, è un errore frequente, soprattutto nelle realtà che forniscono servizi a terzi. Anche questo comportamento è passibile di sanzione. Le ditte italiane faticano ad allinearsi alle linee guida del GDPR. Recentemente, la situazione sta migliorando e l’attenzione degli imprenditori verso queste misure aumenta. Fino a qualche anno fa, però, il nostro Paese era quello che riceveva il maggior numero di multe per scarsa attenzione alle misure relative alla privacy.

Gli errori comuni da evitare in caso di ispezione

Tra gli errori più diffusi legati al registro dei trattamenti ci sono la mancata compilazione, l’aggiornamento sporadico o la presenza di informazioni incoerenti con la realtà aziendale. Anche l’assenza di collegamento tra registro, informative e misure di sicurezza viene spesso contestata.

Un altro errore critico, ma tutt’altro che difficile da risolvere, è quello di considerare il registro dei trattamenti come documento statico. Ogni modifica nei processi; nei fornitori o nelle tecnologie utilizzate dovrebbe riflettersi in un aggiornamento tempestivo, o quasi. Gestito correttamente, secondo normativa, il registro dei trattamenti diventa uno strumento strategico. Tenerlo in ordine aiuta a individuare criticità, migliorare i processi interni e dimostrare, in modo concreto, la conformità al GDPR.

Argomenti