Nel caso di ispezione da parte del Garante, la prima richiesta da parte dell’ispettore sarà quella di fornire il registro delle attività di trattamento. Questo, infatti, è ritenuto essere lo strumento più affidabile col quale il titolare può dimostrare di aver rispettato il principio di accountability. È dunque buona norma redigerlo con attenzione, così da non rischiare sanzioni evitabili.
Il registro delle attività è un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento. È di fondamentale importanza in quanto permette di rendicontare tutte le attività in materia di protezione e circolazione dei dati personali per poter dimostrare la conformità di tutti i trattamenti alle disposizioni del GDPR.
È proprio alla luce di questa duplice natura -di strumento operativo che consente di mappare le attività sui dati personali e di documento probatorio che facilita la cooperazione con l’autorità in caso di ispezione- che il Garante ne raccomanda la redazione a tutti i titolari e responsabili.
Il registro deve necessariamente avere forma scritta, anche elettronica. A patto di soddisfare questa condizione il titolare potrà impiegare lo strumento che più ritenga idoneo adoperando, ad esempio, un quaderno, un foglio Excel o un software ad hoc. Inoltre, è indispensabile che il registro venga aggiornato costantemente. Infatti, in caso di violazione dei dati personali, è indispensabile possedere una fotografia quanto più recente delle attività di trattamento svolte fino a quel momento. È infine obbligatorio apporre la data della sua prima creazione e quella del suo ultimo aggiornamento. Il GDPR, all’articolo 30, sancisce alcuni contenuti minimi che il registro deve recare la cui carenza determina la redazione di un documento inutilizzabile a fini probatori. I contenuti del registro variano a seconda che questo sia tenuto dal titolare piuttosto che dal responsabile, ma in generale è buona norma indicare:
- Il nome e i dati di contatto del Titolare, di eventuali Contitolari, del responsabile e, se nominato,
del Data Protection Officer (DPO); - le finalità del trattamento, auspicabilmente distinguendo per tipologie di trattamento (come, ad
esempio, il trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; il trattamento
dei dati di contatto dei fornitori per la gestione degli ordini…) e indicando la base giuridica dello
stesso. - una descrizione delle categorie di interessati e delle categorie di dati personali (ad esempio,
clienti, fornitori, dipendenti, pazienti…) - le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i
destinatari di paesi terzi od organizzazioni internazionali; - i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale
- i termini previsti per la cancellazione delle diverse categorie di dati;
- una descrizione generale delle misure di sicurezza tecniche e organizzative adottate
Infine, stando al testo del Regolamento si prevede che dall’obbligo di tenuta del registro siano esonerate le imprese e le organizzazioni con meno di 250 dipendenti, purché il trattamento che esse effettuano non presenti un rischio per i diritti e le libertà dell’interessato, sia occasionale o non includa il trattamento di categorie particolari di dati. Ad ogni modo, come più volte ribadito dal Garante e come suggerito da vari esperti, compilare il registro è il modo migliore, per il titolare, di dimostrare di aver svolto diligentemente i propri compiti di protezione dei dati e, conseguentemente, di evitare pesanti sanzioni.
Daniele Singh Dhoor