GDPR: PERCHE’ TENERE UN REGISTRO DEI TRATTAMENTI?

GDPR: L'importanza di tenere un registro del trattamento
Perchè redigerlo? Come può aiutarti in sede di ispezioni privacy.

Le istruzioni del Garante Privacy, pubblicate in data 08/10/2018, chiariscono una volta per tutte l’importanza del registro delle attività di trattamento del titolare nel processo di adeguamento al GDPR (si possono consultare qui).

Fra le righe del comunicato, si intuisce che il dato dei 250 dipendenti (cfr. art 30 pgf 5 GDPR), al raggiungimento del quale scatterebbe l’obbligo di redazione del registro, risulta un parametro assolutamente fuorviante.

Anche una piccola clinica con meno di 10 dipendenti, uno studio di psicologi con soli professionisti, è buona norma che rediga un registro dei trattamenti, attesa la natura dei dati trattati (sensibili).
Gli esempi potrebbero essere molti, anche legati ad altri aspetti del trattamento (utilizzo di nuove tecnologie, monitoraggio degli interessati, trattamenti su larga scala ecc…). Da qui, l’esigenza di attuare una ricognizione scrupolosa di tutti i flussi di dati personali che riguardano il titolare, attraverso la tenuta del registro indicato dall’art. 30 GDPR.

1. PERCHE’ TENERE UN REGISTRO DEL TRATTAMENTO.

Innanzitutto è il documento che dimostra, più di ogni altro, il livello di consapevolezza e sensibilità raggiunto dal titolare in tema di data protection.
Come si è detto, il registro offre una rappresentazione “plastica” delle attività di trattamento effettuate dal titolare.
Chi legge il registro deve essere in grado di comprendere come viene gestito il ciclo vitale dei dati personali, dal momento in cui sono stati raccolti presso l’interessato, fino al termine ultimo di conservazione.

2. COME REDIGERLO.

Il Garante offre un template di registro in calce alle “FAQ” appena rilasciate; può essere un’ottima base da cui partire per cimentarsi nella redazione di un registro. Non vi è, tuttavia, una regola predeterminata o una sequenza da rispettare nel disporre l’ordine delle celle (in righe e colonne) di cui esso si compone.
L’importante è che il registro risulti facilmente consultabile e che vi sia una logica nella sua struttura, altrimenti verrebbe frustrato il suo stesso scopo, cioè di “mettere ordine” fra i processi organizzativi in cui sono coinvolti dati personali.

Una volta compilato il registro, al suo interno si dovrebbe trovare risposta ad ognuna di queste domande: quando raccolgo i dati presso l’interessato e quando, invece, li ottengo da terzi? Per quali finalità sono trattati? qual è la base giuridica che legittima il trattamento? con chi sono condivisi i dati raccolti o ottenuti ? Ancora, i dati personali sono comunicati a destinatari extra Ue? Per quanto tempo li conservo? Su quale supporto (cartaceo o informatico) sono conservati?
Questi e altri interrogativi aiutano il titolare a documentare le proprie scelte in ambito di trattamento dei dati personali.

3. IL REGISTRO, ESPRESSIONE DI UN DOVERE DI RENDICONTAZIONE.

Non a caso il Garante sottolinea che il registro “costituisce uno dei principali elementi di accountability del titolare”.

Questo termine, mutuato dagli ordinamenti anglosassoni, richiama un concetto di responsabilità, inteso nell’accezione di rendicontazione. Significa anzitutto, documentare ogni scelta in modo tale che la stessa sia verificabile nel caso in cui sorga l’esigenza di un controllo.


Si deve riuscire a provare, ad esempio, che i dati di Tizio sono legittimamente trattati, avendogli a suo tempo rilasciato un’informativa prima del trattamento o non appena vi è stata occasione.


Con l’avvento del GDPR, l’attenzione si sposta, quindi, dal contenuto delle informative agli aspetti organizzativi ed operativi dell’organizzazione del titolare.

Ragione per cui la documentazione richiesta dall’Autorità di controllo sarà proprio legata a questo nuovo principio di responsabilità e rendicontazione.

4. UN DOCUMENTO DECISIVO IN CASO DI CONTROLLO DELL’AUTORITA’.

Si giunge così ad una seconda considerazione, che è strettamente connessa alla prima: il registro è anche il primo documento che mostriamo all’Autorità in caso di controllo e, in questo senso, ci consente di partire con il piede giusto (se ben fatto, ovviamente).

Personalmente, lo raccomando in ogni tipo di progetto di adeguamento al GDPR. Esso dimostra il grado di conformità raggiunto dal titolare, e illustra all’Autorità le scelte compiute per assicurare che i dati siano trattati in maniera lecita, corretta e trasparente.

Possiamo davvero farne a meno?