REGOLAMENTO PRIVACY UE: I REGISTRI DELLE ATTIVITA’ DI TRATTAMENTO / by Giampietro Malusa

Torniamo, per un approfondimento, su un tema già trattato nelle scorse settimane: i registri delle attività di trattamento di dati personali.

Il nuovo Regolamento Privacy UE del 27 aprile scorso – che, come noto, si applicherà a decorrere dal 25 maggio 2018 (art. 99 Reg.) – prevede all’art. 30 l’obbligo della tenuta di registri delle attività di trattamento per il titolare del trattamento e il responsabile del trattamento (registri che, in base alle informazioni che devono contenere, possono ricordare alla lontana il Documento Programmatico sulla Sicurezza).

E’ chiaro infatti che, seppur il considerando 82 si esprima in termini ipotetici (“Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità”), in realtà quanto stabilito dall’art. 30 Reg. è fonte di veri e propri obblighi per il titolare del trattamento e per il responsabile del trattamento e, se del caso, per i loro rappresentanti.

Sia con riferimento al titolare del trattamento sia con riferimento al responsabile del trattamento e, ove applicabile, ai loro rappresentanti, infatti, l’art. 30 Reg. utilizza il verbo “tengono” (“tengono un registro…”) e tale uso non può che significare che la tenuta dei registri in questione si concreta in un obbligo. Comunque, ogni eventuale dubbio è fugato dal successivo comma 5 dell’art. 30 Reg. che parla espressamente di “obblighi”.

I due registri in questione devono essere tenuti in forma scritta, anche in formato elettronico, e contenere tutta una serie di informazioni, solo in parte coincidenti (in particolare, ad esempio e semplificando un po’, i nomi e i dati di contatto dei soggetti responsabili in senso lato del trattamento; oppure, ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale; ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1 Reg.).

Per quanto riguarda il registro tenuto dal titolare (e, eventualmente, dal suo rappresentante), esso dovrà inoltre contenere informazioni relative alla finalità del trattamento, una descrizione delle categorie di interessati e delle categorie di dati personali, le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali e, ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati.

Il registro tenuto dal responsabile del trattamento (e, ove applicabile, dal suo rappresentante), invece, dovrà indicare le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento.

Non tutte le imprese e le organizzazioni devono tenere i registri in questione: sono, in particolare esentate dai relativi obblighi di tenuta (art. 30, comma 5 Reg.) le imprese o le organizzazioni con meno di 250 dipendenti, salvo, tuttavia, che il trattamento da esse effettuato possa costituire un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o comprenda il trattamento di alcuni tipi di dati. In questa ultima ipotesi rientrano, per espressa previsione della norma, “categorie particolari di dati di cui all'articolo 9, paragrafo 1 o i dati personali relativi a condanne penali e a reati di cui all'articolo 10. Nonostante l’ambigua formulazione relativa a “categorie particolari di dati di cui all'articolo 9, paragrafo 1”, sembra logico pensare che la norma intenda riferirsi a tutti i cd. dati sensibili, elencati, appunto, all’articolo 9, comma 1 Reg..

Per finire, resta da segnalare che il titolare o il responsabile del trattamento (e, ove applicabile, i loro rappresentanti) devono, se richiesti, mettere i registri in questione a disposizione dell'autorità di controllo (art. 30, comma 4 Reg.).

E’ importante tenere a mente quale sia la pena stabilita per la violazione degli obblighi di tenuta dei registri stessi, tutt’altro che tenue: ossia la sanzione amministrativa pecuniaria fino a 10.000.000 Euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore (art. 83, comma 4, lettera a Reg.).

 

Fonte: Regolamento Privacy UE