Il Garante per la protezione dei dati personali ha pubblicato, sotto forma di FAQ, le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016. Le istruzioni forniscono chiarimenti riguardo alla natura del registro, ai soggetti tenuti a redigerlo, alle informazioni da inserire e alle modalità di conservazione e di aggiornamento del registro stesso.
In particolare, il Garante precisa che il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.
L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.
Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Riguardo ai soggetti tenuti alla redazione del Registro, il Garante specifica che sono tenuti a redigerlo le imprese o le organizzazioni con almeno 250 dipendenti e – al di sotto dei 250 dipendenti – qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.
Nelle istruzioni, infine, vengono indicate, tra l’altro, quali informazioni deve contenere il Registro e le modalità per la sua conservazione e il suo aggiornamento. Al riguardo, viene chiarito che qualsiasi cambiamento, in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.
Il documento completo, Le istruzioni del Garante privacy sul registro dei trattamenti, è consultabile sul sito di Banca d’Italia.
