Cos’è il Registro delle attività di trattamento, a chi compete la sua tenuta e cosa deve contenere? Un ecommerce deve tenere un Registro delle attività di trattamento?
Registro delle attività di trattamento e Privacy sono strettamente correlati. Il punto di riferimento quando si parla di tutela dei dati personali è come sempre il GDPR.
Il Regolamento Europeo 2016/679 produce effetti in via diretta in tutti i Paesi dell’Unione dal 2018 e, tra le varie novità, il legislatore ha inserito questo nuovo strumento che è di supporto a titolari e responsabili del trattamento, nell’ottica di garantire una sempre maggiore tutela della privacy delle persone fisiche.
Nello specifico è l’art. 30 del GDPR che introduce il Registro delle attività di trattamento, (anche detto Registro dei trattamenti di dati personali o Registro dei trattamenti privacy) e definisce chi deve tenerlo e quali informazioni deve contenere.
Approfondiamo l’argomento nei dettagli con questo articolo.
| Cos’è il Registro delle Attività di Trattamento e perché è utile in un e-commerce
Il Registro delle attività di trattamento è il documento, in formato cartaceo o digitale, tramite il quale tracciare tutte le operazioni di trattamento effettuate dall’organizzazione sui dati personali di persone fisiche.
Il Registro dei trattamenti è lo strumento che descrive alla perfezione la logica del GDPR e in particolare evidenzia quel principio di accountability (responsabilizzazione) che permea l’intero Regolamento, ossia quel presupposto secondo il quale il titolare del trattamento ha un certo margine di autonomia nell’organizzazione della sicurezza dei trattamenti e nella protezione dei dati trattati.
È richiesta la responsabilizzazione del titolare del trattamento per permettere di predisporre la tutela della privacy delle persone interessate, sicuramente entro gli obblighi stabiliti dalla normativa, ma anche in conformità con la propria situazione specifica, che può variare a seconda delle dimensioni dell’organizzazione, del numero e delle finalità dei trattamenti effettuati e della tipologia di dati trattati.
In sostanza, oltre che essere una dimostrazione di conformità al Regolamento, la tenuta del Registro delle attività di trattamento dei dati personali semplifica la valutazione interna degli obblighi normativi applicabili, dando un quadro (dinamico) delle attività e del contesto organizzativo, sempre con l’obiettivo di mitigare i danni che potrebbero essere causati agli interessati (e a chi tratta i dati), in caso di violazione degli stessi.
| Quando il Registro delle Attività di Trattamento è obbligatorio per un e-commerce?
Il Registro delle Attività di Trattamento è obbligatorio? Da chi deve essere tenuto? Un ecommerce deve tenere il registro delle attività di trattamento?
C’è un po’ di confusione su questo punto, ma in realtà le indicazioni del legislatore sono precise.
L’adozione del Registro dei trattamenti privacy è un passaggio sicuramente obbligatorio per le organizzazioni con almeno 250 dipendenti.
Il Garante, inoltre, precisa che “rientrano nella categoria delle organizzazioni di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.”
Al di sotto di tale soglia, però, lo stesso obbligo vige per coloro che:
- effettuano trattamenti che presentano rischi particolari per i diritti e le libertà degli interessati oppure
- effettuano trattamenti di dati sensibili, genetici, biometrici o giudiziari oppure
- effettuano trattamenti non occasionali, cioè coloro che trattano regolarmente dati personali (es. esercizi commerciali, liberi professionisti, associazioni ecc.).
Il Registro delle attività di trattamento per un e-commerce è certamente un obbligo che impone anche che questo venga costantemente aggiornato, dal momento che un e-commerce tratta tutti i giorni una serie di dati personali che lo fa rientrare nella categoria di coloro che “effettuano trattamenti non occasionali“.
Quindi l’obbligatorietà del Registro è determinata da fattori quantitativi e qualitativi, mentre sui primi c’è totale oggettività, sui secondi si può creare qualche dubbio. Sicuramente, nelle situazioni al limite, la soluzione migliore è chiedere il parere di un professionista esperto.
Tuttavia, per le organizzazioni che non sono obbligate a tenere il Registro delle attività di trattamento privacy, il consiglio è comunque quello di redigere questo registro, anche in forma semplificata, dal momento che aiuterà a migliorare la gestione degli altri obblighi legati alla privacy, pianificando cosa fare e chi deve occuparsene, oltre ad essere un’evidenza dell’impegno profuso nell’agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante.
Infatti, proprio il Garante privacy nella Guida all’applicazione del GDPR aveva precisato che:
La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche”.
| Chi deve tenere il Registro delle Attività di Trattamento
Il Registro delle Attività di Trattamento deve essere tenuto dal titolare del trattamento e deve essere esibito, su richiesta, al Garante.
Ma non è tutto, laddove fosse nominato, anche il Responsabile del Trattamento (nei casi in cui è obbligatorio per l’organizzazione) è dovuto alla tenuta del Registro del responsabile.
Questo registro deve indicare “tutte le categorie di attività relative al trattamento svolte per conto di un titolare”, quindi, ad esempio, nel caso di una software house che opera come responsabile per diversi clienti (titolari del trattamento), è necessario creare tante sezioni quanti sono i clienti, al netto delle eccezioni che il Garante ha evidenziato.
| Quali attività vanno inserite nel Registro delle Attività di Trattamento: il modello indicato dal GDPR
Quali informazioni devono essere contenute nel Registro delle attività di trattamento?
Sempre nell’art. 30, il GDPR elenca, nel dettaglio, cosa deve contenere il Registro delle attività di trattamento del Titolare e il registro del Responsabile, rispettivamente nei paragrafi 1 e 2, indicando, di fatto, un modello su cui deve essere realizzato.
Riassumendo, in punti, le informazioni da inserire nel Registro delle attività di trattamento del titolare abbiamo:
- nome e dati di contatto del titolare;
- finalità e base giuridica del trattamento (qui è spiegato come raccogliere correttamente il consenso per le finalità di marketing e profilazione);
- categorie di interessati;
- categorie di dati personali;
- destinatari a cui i dati personali sono stati o saranno comunicati;
- trasferimenti di dati personali verso un Paese terzo;
- termini ultimi previsti per la cancellazione;
- descrizione generale delle misure di sicurezza tecniche e organizzative.
Tutte informazioni che, tra l’altro, devono essere contenute nell’informativa privacy (qui il modello per gli e-commerce).
Quindi, per esempio, un modello di Registro delle Attività di Trattamento semplice e pratico può essere un foglio Excel in cui ogni colonna è intestata a una delle voci dell’elenco riportato sopra e ogni riga riporta un trattamento specifico o una tipologia di trattamenti (raggruppando i più simili tra loro).
Qui di seguito il modello di Registro delle attività di trattamento messo a disposizione dal Garante Privacy.
| Il Registro deve essere aggiornato?
Il Registro delle attività di trattamento deve essere aggiornato costantemente, trattandosi di un documento dinamico che deve rispecchiare alla perfezione all’effettività dei trattamenti posti in essere.
In particolar modo, l’aggiornamento deve essere tempestivo quando riguarda modalità, finalità, categorie di dati e categorie di interessati.
L’aspetto a cui fare attenzione, come specifica il Garante, nell’aggiornare il Registro dei trattamenti privacy (ma in realtà anche nel crearlo) è che deve è essere sempre possibile verificare la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) e quella dell’ultimo aggiornamento.
| Registro dei trattamenti e Privacy: ecco cosa posso fare per te
Redigere il Registro dei trattamenti dei dati personali può significare imbattersi in alcune difficoltà, formali e sostanziali, per questo, per evitare sanzioni dall’Autorità, ed essere sicuri di rispettare la compliance dettata dal GDPR, è bene affidarsi alla consulenza di un legale esperto in tema di tutela della privacy.
Parliamone, ecco la pagina dei contatti.
Floriana Capone
L’Avvocato dell’Ecommerce
