Il registro delle attività di trattamento, previsto dall'art. 30 del GDPR, è il documento che mappa in modo strutturato tutti i trattamenti di dati personali svolti da un'organizzazione. È spesso il primo documento che il Garante richiede in caso di ispezione, perché permette di ricostruire rapidamente cosa l'organizzazione fa con i dati che tratta, prima ancora di entrare nel merito della liceità di ciascun trattamento. Contenuto informativo: la predisposizione e l'aggiornamento del registro richiedono sempre un DPO o un consulente privacy.
Molte PMI italiane ritengono erroneamente di essere esonerate dall'obbligo per il solo fatto di avere meno di 250 dipendenti. Nella pratica questa esenzione si applica raramente, e capire perché evita una delle non conformità più comuni nei controlli.
L'esonero sotto i 250 dipendenti, e perché si applica raramente
L'art. 30, comma 5, GDPR prevede effettivamente un esonero per le organizzazioni con meno di 250 dipendenti, ma lo subordina a tre condizioni cumulative: il trattamento non deve essere occasionale, non deve comportare un rischio per i diritti e le libertà degli interessati, e non deve riguardare categorie particolari di dati o dati relativi a condanne penali e reati.
Nella pratica, basta una sola di queste condizioni per far cadere l'esenzione: un'azienda che tratta dati dei dipendenti in modo continuativo (non occasionale) non è esonerata, indipendentemente dalle dimensioni. Per questo motivo l'Autorità Garante considera il registro un adempimento di fatto generalizzato, indipendentemente dalla dimensione dell'organizzazione.
Cosa deve contenere il registro del titolare
Il registro del titolare deve indicare: nome e contatti del titolare e, se nominato, del DPO; le finalità del trattamento; le categorie di interessati e le categorie di dati personali trattati; le categorie di destinatari a cui i dati sono o saranno comunicati, comprese le autorità pubbliche; eventuali trasferimenti verso paesi terzi extra-UE, con l'indicazione delle garanzie adottate; i termini previsti per la cancellazione delle diverse categorie di dati, quando possibile; e una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.
Il registro del responsabile del trattamento
Anche il responsabile del trattamento, cioè chi tratta dati per conto del titolare (un fornitore di servizi cloud, un consulente paghe), deve tenere un proprio registro: nome e contatti del responsabile e di ciascun titolare per cui agisce, le categorie di trattamenti effettuati per ciascun titolare, eventuali trasferimenti extra-UE, e una descrizione delle misure di sicurezza. La differenza rispetto al registro del titolare è che il responsabile non determina le finalità del trattamento, ma esegue istruzioni documentate nel contratto o atto di nomina.
Perché è il primo documento controllato
Un registro assente, generico o non aggiornato è uno degli indizi più immediati di scarsa conformità complessiva agli occhi degli ispettori, perché segnala che l'organizzazione non ha mai fatto una mappatura seria dei propri trattamenti. Nella prassi degli accertamenti, una carenza su questo punto apre quasi sempre la strada a controlli più approfonditi sugli altri adempimenti, dalle basi giuridiche dei trattamenti alle misure di sicurezza effettivamente implementate.
Domande frequenti
- Chi è davvero esonerato dal registro dei trattamenti?
L'esonero sotto i 250 dipendenti si applica solo se il trattamento non è occasionale, non comporta rischi per i diritti degli interessati, e non riguarda categorie particolari di dati. Basta una di queste condizioni per far cadere l'eccezione.
- Cosa deve contenere il registro del titolare?
Nome e contatti del titolare e del DPO, le finalità, le categorie di interessati e dati, i destinatari, eventuali trasferimenti extra-UE, i termini di cancellazione e una descrizione delle misure di sicurezza.
- Il responsabile del trattamento deve avere un proprio registro?
Sì, un registro separato con nome e contatti del responsabile e di ciascun titolare, le categorie di trattamenti effettuati, eventuali trasferimenti extra-UE e le misure di sicurezza.
- Cosa controlla il Garante quando chiede il registro?
È tipicamente il primo documento richiesto in un'ispezione. Un registro assente o non aggiornato è un indizio immediato di scarsa conformità e apre la strada a controlli più approfonditi.