Approfondimenti

GDPR: il registro delle attività di trattamento dei dati e la documentazione delle violazioni

18/01/2018

di Avv. Simone Moretti

Il 25 maggio 2018 diverrà applicabile il GDPR (Regolamento 679/2016) in materia di protezione dei dati personali, che come noto apporterà numerose novità e istituirà obblighi per società, aziende pubbliche e in generale per le organizzazioni che effettuano il trattamento di dati personali. Tra detti obblighi figura la tenuta del registro delle attività di trattamento: analizziamo in breve di cosa si tratta.

I titolari del trattamento dei dati personali dovranno tenere un registro in cui riportare le attività di trattamento svolte sotto la propria responsabilità, contenente le informazioni elencate all’art. 30 del GDPR. Si tratta di informazioni essenziali tra le quali troviamo l’indicazione del titolare del trattamento, le finalità dello stesso, le categorie di dati trattati e dei destinatari degli stessi, la base giuridica del trattamento (contratto, legge, etc.), le misure di sicurezza tecniche e organizzative adottate (es. pseudonomizzazione e cifratura) e i trasferimenti dei dati verso paesi non appartenenti all’Unione Europea.

Un registro avente pari contenuto dovrà essere tenuto dai responsabili del trattamento, ossia dai soggetti che compiono attività di trattamento per conto del titolare.

Il registro potrà essere tenuto sia in forma scritta che in formato elettronico e l’Autorità Garante potrà accedervi per le verifiche necessarie. La tenuta del registro è obbligatoria per le organizzazioni con più di 250 dipendenti e per quelle che, a prescindere dal numero dei dipendenti, effettuino un trattamento che possa presentare un rischio per i diritti e le libertà dell’interessato o includa il trattamento di categorie particolari di dati (elencati all’art. 9, par. 1 GDPR, ad es. sull’origine etnica, opinioni politiche, dati genetici e biometrici) o ancora informazioni sui precedenti penali degli interessati.

Nulla esclude, ovviamente, che anche le organizzazioni non sottoposte a tale obbligo tengano ugualmente il registro. Al contrario, la tenuta del registro può rivelarsi utile per dimostrare il rispetto della normativa GDPR, alla quale sono tenute indistintamente tutte le organizzazioni che effettuino il trattamento di dati (anche quelle con meno di 250 dipendenti).

Il Regolamento, inoltre, sebbene non preveda l’istituzione di un apposito ulteriore registro, prevede che vengano documentate le violazioni dei dati personali, notificate all’Autorità Garante o meno (in quanto non sufficientemente gravi), comprese le circostanze ad esse relative, le loro conseguenze e i provvedimenti adottati per porvi rimedio.

Varrà rammentare in proposito che la notifica delle violazioni al Garante (e in alcuni casi anche al diretto interessato, v. art. 33 GDPR) sarà obbligatoria qualora essa comporti il rischio probabile per i diritti e le libertà degli interessati. La comunicazione dovrà contenere le informazioni essenziali della violazione, come la natura della violazione, le categorie di interessati i cui diritti sono minacciati dalla violazione, i contatti del responsabile della protezione dei dati, le probabili conseguenze e le contromisure adottate.

La funzione della documentazione delle violazioni è chiarita dallo stesso Regolamento che stabilisce che essa “consente all’autorità di controllo di verificare il rispetto” delle disposizioni in tema di notificazione delle violazioni.

La tenuta di un apposito registro delle violazioni, sebbene non espressamente prevista dal Regolamento, potrebbe pertanto consentire al titolare del trattamento di chiarire in maniera puntuale all’Autorità le ragioni che hanno condotto a non notificare eventuali violazioni dei dati, ad esempio in quanto immediatamente risolte senza alcun rischio per i diritti dell’interessato, evitando eventuali sanzioni da parte dell’Autorità.