CHE COS’E’ IL REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO

L’art. 30 del Regolamento (EU) n. 679/2016 (di seguito “RGPD”) prevede la tenuta del registro delle attività di trattamento ovvero un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

CHI È TENUTO A REDIGERLO? 

Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento.

In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

• imprese o organizzazioni con almeno 250 dipendenti;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD (ex “dati sensibili”), o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Alla luce di quanto detto sopra, sono tenuti all’obbligo di redazione del registro, ad esempio:

• esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
• liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
• associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (organizzazioni di tendenza;
associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
• il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

QUALI SONO LE MODALITÀ DI CONSERVAZIONE E DI AGGIORNAMENTO?

Il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere.

Può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione così come quella dell’ultimo aggiornamento.

In caso di mancato rispetto degli obblighi in materia di Privacy, il Regolamento Europeo (GDPR) prevede Sanzioni Amministrative Pecuniarie fino a 20.000.000,00 € o fino al 4% del fatturato.