Il Garante per la protezione dei dati personali, l’8 ottobre 2018, ha messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”).

Il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni, specificatamente individuate dall’art. 30 del Regolamento, relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.

L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.

Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante della privacy.

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e, al di sotto dei 250 dipendenti, qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del RGPD) e in quello del responsabile (art. 30, par. 2 del RGPD), anche se può essere riportata qualsiasi altra informazione sia ritenuta utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o del responsabile e in quanto tale, deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere.

Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

Infine il Registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo: scheda creata in data XY oppure ultimo aggiornamento avvenuto in data XY.