Il registro delle attività di trattamento: che cos’è, chi lo redige, cosa contiene.

Continuiamo a tenervi aggiornati sugli adempimenti da mettere in atto per adeguare la vostra attività al GDPR, raccontandovi in sintesi l’Art. 30 del Regolamento (UE) n.679/2016, che prevede la tenuta del registro delle attività di trattamento.

Il registro delle attività di trattamento è il documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento. È uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in corso all’interno della propria attività, ed è indispensabile (e dunque preliminare) alle attività di valutazione o analisi del rischio.

L’art. 30 prevede tra i principali adempimenti del titolare e del responsabile del trattamento, la tenuta del registro delle attività di trattamento che, su richiesta, deve essere esibito al Garante.

Da chi viene redatto

“Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento”.

In particolare, in ambito privato deve essere redatto in caso di imprese o organizzazioni:

con almeno 250 dipendenti, comprese associazioni, fondazioni e comitati (art. 30, par. 5 del GDPR);
con trattamenti non occasionali che presentano un rischio per i diritti / le libertà dell’interessato;
trattamenti non occasionali delle categorie particolari di dati (art. 9, par. 1 del GDPR), come ad esempio se si hanno dipendenti, o dei dati personali su condanne penali o reati (art. 10 GDPR).

Ad esempio:

esercizi commerciali, pubblici o artigiani che trattano dati sanitari dei clienti (parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
liberi professionisti che trattano dati sanitari o relativi a condanne penali e reati (commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti e medici);
associazioni, fondazioni e comitati dove vengono trattate categorie particolari di dati e/o dati relativi a condanne penali o reati.

Quali informazioni contiene

Il Regolamento illustra nel dettaglio le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del GDPR) e nel registro del responsabile (art. 30, par. 2 del GDPR).

In particolare, fa riferimento ai seguenti ambiti:

Finalità del trattamento – vanno indicate specificatamente le finalità del trattamento, la loro base giuridica e le loro condizioni.
Descrizione delle categorie di interessati e di dati personali – vanno specificate le tipologie di interessati e di dati personali trattati.
Categorie di destinatari a cui i dati sono stati / saranno comunicati – vanno riportati tutti i titolari, responsabili e sub-responsabili a cui sono state affidate operazioni di trattamento dei dati personali o a cui sono stati comunicati i dati.
Trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale – vanno riportate le informazioni relative al trasferimento, al destinatario e alle garanzie adottate.
Termini ultimi previsti per la cancellazione delle diverse categorie di dati – vanno individuati i tempi di cancellazione a seconda della tipologia e finalità di trattamento.
Descrizione generale delle misure di sicurezza – vanno indicate, in una lista sintetica e continuamente aggiornata, le misure tecnico-organizzative adottate dal titolare (attività svolte e tecnologie impiegate).

Infine, il registro delle attività di trattamento può contenere qualsiasi altra informazione che il titolare o il responsabile ritengono utile indicare.

Modalità di conservazione e aggiornamento

“Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere.”

Qualsiasi cambiamento deve essere inserito nel Registro, dando conto di tutte le modifiche effettuate, in particolare relative a modalità, finalità, categorie di dati e di interessati.

Il Registro può essere compilato sia in formato cartaceo che elettronico.
In ogni caso, deve recare in maniera verificabile:

la data della sua prima istituzione o la data della prima creazione di ogni singola scheda per tipologia di trattamento;
la data dell’ultimo aggiornamento, indicata con un’annotazione del tipo:
– scheda creata in data XY
– ultimo aggiornamento avvenuto in data XY

Il registro del responsabile

Il responsabile del trattamento tiene un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare” (art. 30, par. 2 del RGPD).

Le modalità di compilazione si differenziano a seconda dei casi.

Se uno stesso soggetto agisce in qualità di responsabile del trattamento per conto di più clienti (autonomi e distinti titolari), le informazioni devono essere riportate nel registro con riferimento a ciascuno dei suddetti titolari.
Il registro sarà quindi suddiviso in tante sezioni quanti sono i titolari per conto dei quali agisce.
Per quanto riguarda la descrizione delle categorie dei trattamenti effettuati, si può fare riferimento al contratto di designazione a responsabile. Quest’ultimo infatti deve individuare: la natura, finalità e durata del trattamento, il tipo di dati personali trattati e le categorie di interessati oggetto del trattamento (art. 28 del GDPR).
In caso di sub-responsabile, il registro delle attività di trattamento da lui svolte potrà fare riferimento ai contenuti del contratto stipulato tra lui stesso e il responsabile (art. 28, par. 2 e 4 del RGPD).

Vuoi approfondire questo argomento? Leggi l’articolo del Garante sul registro delle attività di trattamento. Per qualunque altra necessità “operativa” in campo Privacy, non esitare a contattarci utilizzando il nostro form di contatto.

Cookie	Durata	Descrizione
_GRECAPTCHA	6 months	Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
PHPSESSID	session	This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_gcl_au	3 months	Google Tag Manager sets the cookie to experiment advertisement efficiency of websites using their services.
sbjs_current	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_current_add	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_first	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_first_add	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_migrations	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_session	1 hour	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_udata	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.

Cookie	Durata	Descrizione
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.

Blog