Il Registro delle attività di trattamento è un documento troppo spesso trascurato, in alcuni casi addirittura non presente, in molti casi, dove presente, abbandonato a sé stesso, ossia mai aggiornato; si tratta invece di un documento molto importante, che definisco fondamentale, perché ha un ruolo primario nella gestione della protezione dei dati: costituisce infatti uno dei principali elementi di accountability del titolare, questo significa che fornisce e rappresenta una base imprescindibile e preliminare per qualsiasi analisi e valutazione dei rischi, fornendo infatti un quadro dettagliato di tutti i trattamenti di dati personali posti in essere dall’azienda, associazione, studio professionale, struttura sanitaria, pubblica amministrazione ecc…; fornisce inoltre una chiara fotografia di quella che è l’attività svolta, dei dati trattati, delle finalità e modalità con cui vengono trattati e delle misure di sicurezza adottate per la protezione degli stessi.

Il Registro delle attività di trattamento è stato introdotto dal Regolamento UE nr. 679/2019 (di seguito RGPD, ossia il Regolamento Europeo vigente in materia di protezione dei dati personali) all’articolo 30, il quale lo definisce come uno degli adempimenti principali in capo al Titolare ed al Responsabile del trattamento (ove individuato e designato). Questo documento deve contenere le principali informazioni relative alle operazioni di trattamento svolte dal Titolare e se individuato, dal Responsabile del trattamento. Il registro può essere tenuto in formato anche solo elettronico (es. tabella excell) ed è uno dei documenti che durante una eventuale visita ispettiva privacy si deve esibire.

Sostanzialmente tutti: in quanto è sufficiente si trattino dati particolari (oggi così definiti all’art. 9 del GDPR ex sensibili) e pertanto un’azienda, uno studio professionale che abbia personale dipendente si trova a trattare dati di questa natura, così come, pur non avendo dipendenti, tratta dati particolari in riferimento ad altre categorie di soggetti interessati (es. clienti); lo capiamo già solo leggendo la definizione che il Legislatore ci da di “dato particolare”: “le informazioni che rivelano l’origine razziale ed etnica, i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale od all’orientamento sessuale della persona”. E’ inoltre un documento obbligatorio per chi tratta dati personali relativi a reati e condanne penali.

1) Le finalità di trattamento: specificando per quale ragione/fine vengono trattati i dati (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro);

2) La descrizione delle categorie di interessati e delle categorie di dati personali: andranno descritte sia le tipologie di interessati (es. clienti, fornitori, dipendenti), sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitar, dati biometrici ecc..);

3) Le categorie di destinatari: ossia le categorie di coloro a cui saranno comunicati i dati (es. enti previdenziali, consulede del lavoro) specificando per quale attività gli vengono comunicati, le così dette attività esternalizzate in outsourcing.

4) Gli eventuali trasferimento dei dati personali verso un paese terzo od una organizzazione internazionale: qui va riportata non solo l’informazione relativa al trasferimento verso paesi terzi, ma anche la specifica di quali paesi si tratta (anche quando la circolazione entro la UE) e descrivere le garanzie adottate ai sensi del capo V del RGDP (es. decisioni di adeguatezza, norme vincolanti d’impresa ecc…)

5) La descrizione generale delle misure di sicurezza: qui andranno indicate le misure tecnico-organizzative adottate dal titolare del trattamento ai sensi dell’art. 32 del RGDP, in forma di elenco aperto, che non deve essere esaustivo, in quanto sarà poi rimessa al titolare la valutazione finale relativa al livello di sicurezza e proprio per questo il documento di analisi dei rischi è uno strumento fondamentale, anche nelle casistiche che non lo vedono come espressamente obbligatorio. Tale lista resta un elemento assolutamente dinamico, da mantenere aggiornata soprattutto rispetto allo stato dell’arte tecnologico e data la possibilità costante di doversi confrontare con nuovi rischi.

6) I termini previsti per la cancellazione dei dati: vanno indicati i tempi di cancellazione, in quanto non è possibile conservare i dati personali all’infinito. In caso di rapporto contrattuale tale termine temporale si configura in una conservazione che cessa dopo dieci anni dalla cessazione del rapporto.

Quello sopra descritto è il contenuto obbligatorio, ma il registro delle attività di trattamento può essere ampliato con qualsiasi altra informazione venga ritenuta rilevante.

Questo documento va tenuto costantemente aggiornato, poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere: qualsiasi cambiamento in ordine a modalità, finalità, categorie di dati trattati e di interessati (coloro di cui trattiamo i dati), devono essere tempestivamente inserite nel registro, tenendo traccia documentata delle varie revisioni (ossia delle modifiche sopravvenute).