Giuffrè Francis Lefebvre
29 ottobre

Area Lavoro

Privacy: istruzioni sul Registro delle attività di trattamento

Il Garante Privacy ha fornito alcuni chiarimenti circa la tenuta del Registro delle attività di trattamento (di seguito il “Registro”: art. 30 Reg. UE 679/2016).
Il Registro è il documento che contiene le principali informazioni relative alle operazioni di trattamento svolte sotto la responsabilità del titolare e, se nominato, del responsabile del trattamento.
Esso deve avere forma scritta - anche elettronica - ed essere esibito su richiesta al Garante.
Per approfondimenti sulla disciplina in tema di privacy rinviamo al Memento Lavoro 2018.

Soggetti obbligati
Sono obbligati a redigere e conservare il Registro i titolari e i responsabili delle attività di trattamento.
A seconda delle dimensioni occupazionali dell’azienda, tale obbligo si differenzia come segue:

Dimensioni aziendali

Obbligo di tenuta del Registro

Aziende (*) con 250 o più dipendenti

Per qualunque tipologia di trattamento effettuato

Aziende (*) con meno di 250 dipendenti

In tutti quei casi in cui il trattamento:
- presenta un rischio, anche non elevato, per i diritti e le libertà dell’interessato;
- non è occasionale;
- riguarda categorie particolari di dati (es. dati biometrici, genetici, sulla salute ecc.) o dati relativi a condanne penali e a reati

(*) Sono tenute a redigere il Registro anche le associazioni, le fondazioni e i comitati.

 

Contenuti
Il Registro deve contenere:
- le finalità del trattamento, distinte per tipologia (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro, trattamento dei dati dei fornitori per la gestione degli ordini);
- l’indicazione delle tipologie dei soggetti interessati (es. dipendenti, clienti ecc.) e delle categorie dei dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari ecc.);
- i destinatari a cui i dati sono stati o saranno comunicati, riportati anche semplicemente per categoria di appartenenza;
- l’eventuale informazione circa il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale, nonché le relative garanzie adottate;
- l’individuazione dei termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- la descrizione delle misure di sicurezza tecnico-organizzative adottate dal titolare a protezione dei dati oggetto del trattamento;
- qualsiasi altra informazione ulteriore che il titolare o il responsabile ritengono utile indicare.

Modalità di conservazione e aggiornamento
Il contenuto del Registro deve sempre corrispondere all’effettività dei trattamenti posti in essere: qualsiasi cambiamento deve essere immediatamente inserito, dando conto delle modifiche sopravvenute.
Il Registro può essere compilato in formato cartaceo o elettronico, e deve in ogni caso recare la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento), unitamente a quella dell’ultimo aggiornamento.

Ad esempio, il Registro dovrà recare un’annotazione del tipo:
“scheda creata in data XY”
“ultimo aggiornamento avvenuto in data XY”

 

Com. Stampa Garante Privacy 8 ottobre 2018;
FAQ Garante Privacy 8 ottobre 2018