L’obbligo di tenuta è escluso per chi ha meno di 250 dipendenti, salvo per alcune eccezioni, ma il parametro quantitativo potrebbe risultare irrilevante
Gli adempimenti ai quali sono tenuti il titolare e il responsabile del trattamento in ambito privacy devono trovare puntuale rendicontazione anche per l’assolvimento del principio di accountability che caratterizza la nuova disciplina, cioè la “responsabilizzazione” dei diversi soggetti chiamati, a vario titolo, a misurarsi con le disposizioni in materia di protezione dei dati personali, che si traduce nella necessità della sintetica, ma puntuale, descrizione delle attività svolte.
A questo fine il Regolamento Ue 2016/679 prevede la tenuta del “registro delle attività di trattamento”, alla quale sono chiamati tanto il titolare quanto il responsabile del trattamento dei dati ai sensi dell’art. 30.
Inoltre, come precisato dal Considerando 82, “Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità”.
Il registro delle attività di trattamento assolve, poi, anche alla funzione di permettere all’Autorità di controllo il riscontro e il monitoraggio delle attività di trattamento poste in essere. Sul punto il Considerando 82 afferma, infatti, che “Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti”, così da integrare l’art. 30 par. 4 del Regolamento, nel quale viene appunto precisato che “Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo”.
La “centralità” del registro, quindi, è di tutta evidenza per quel soggetto che autonomamente, il titolare, o per effetto di designazione, il responsabile, effettua un trattamento dei dati.
Proprio in considerazione del fatto, poi, che una delle funzioni del registro è quella di fornire la dimostrazione della conformità alla disciplina in materia di protezione dei dati, anche se il par. 5 dell’art. 30 del Regolamento esclude l’obbligo di tenuta del registro per le imprese od organizzazioni con meno di 250 dipendenti, salvo per alcune eccezioni, il suddetto parametro quantitativo dei dipendenti potrebbe risultare irrilevante. Pertanto, sotto tale prospettiva, qualsiasi operatore economico chiamato a rispettare il Regolamento Ue 2016/679 dovrebbe tenere il registro delle attività di trattamento in forma scritta, anche in formato elettronico.
Per quanto riguarda i contenuti, se la compilazione del registro è a cura del titolare, il documento deve contenere obbligatoriamente:
– il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
– le finalità del trattamento;
– una descrizione delle categorie di interessati e delle categorie di dati personali;
– le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di Paesi terzi od organizzazioni internazionali;
– ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui all’art. 49, secondo comma del Regolamento, la documentazione delle garanzie adeguate;
– ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
– ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate in materia di sicurezza del trattamento.
Laddove il registro debba, invece, essere tenuto a cura del responsabile del trattamento, la norma prevede il seguente contenuto:
– nome e dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati (RPD o DPO);
– le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
– ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui all’art. 49, secondo comma del Regolamento, la documentazione delle garanzie adeguate;
– ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate in materia di sicurezza del trattamento.