Registro dei trattamenti: le nuove istruzioni del garante

Avv. Vincenzo Colarocco

Ai sensi dell’art. 30 del Regolamento (EU) n. 679/2016 “GDPR”: “ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”. Il registro non è altro che un documento scritto (predisposto anche in formato elettronico) da esibire su richiesta al Garante e contenente tutte le informazioni che vengono individuate dal citato articolo 30, relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista. Tale obbligo normativo è evidentemente orientato al perseguimento del principio dell’accountability, in forza del quale il titolare del trattamento adotta politiche e attua misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali effettuato risulti conforme allo stesso GDPR.

Proprio in materia di “registro delle attività di trattamento” è di recente intervento il Garante Privacy mediante la pubblicazione di alcune interessanti FAQ volte a:

–          fornire una definizione del registro;

–          individuare i soggetti tenuti alla compilazione dello stesso;

–          indicare le informazioni che ne costituiscono la parte essenziale e le eventuali informazioni facoltative;

–          prescrivere le modalità di conservazione e di aggiornamento del registro;

–          evidenziare le particolarità caratterizzanti il “registro del responsabile”.

In calce alle descritte FAQ, inoltre,si possono rinvenire dei “Modelli di registro semplificato delle attività di trattamento” (sia del titolare che del responsabile) utilizzabili dalle PMI.