Tra le novità introdotte dal Regolamento (UE) 2016/679 concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personale e la libera circolazione di tali dati, si ritrova l’introduzione di un nuovo obbligo documentale in capo al Titolare ad al Responsabile del trattamento, avente ad oggetto la redazione e tenuta del c.d. Registro generale delle attività di trattamento svolte.

IL FATTO:

Il Regolamento (UE) 2016/679 ha introdotto una serie di novità alla disciplina in materia di protezione dei dati personali prevista dal D. Lgs. 196/2003.

Tra queste, si segnala l’obbligo di redazione e tenuta del Registro delle attività di trattamento svolte, posto a carico del Titolare e del Responsabile del trattamento, o del rappresentante del Titolare o del Responsabile non stabilito nell’Unione Europea, ove designato ai sensi dell’art. 27 del Regolamento.

Detto onere, previsto dall’art. 30 del Regolamento, si applica in via generale alle imprese o organizzazioni con più di 250 dipendenti, mentre per le imprese o organizzazioni con meno di 250 dipendenti l’obbligo in esame vige solo qualora il trattamento dei dati personali che esse svolgono, presenti un rischio per i diritti e le libertà dell’interessato, non sia occasionale o includa il trattamento dei dati di cui agli artt. 9 e 10 del Regolamento ossia le c.d. categorie particolari di dati (in cui rientrano i dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) e i dati personali relativi a condanne penali e reati.

Il Registro deve essere tenuto in forma scritta, anche in formato elettronico, e deve essere esibito su richiesta del Garante per la protezione dei dati personali.

Ogni Titolare deve annotare nel Registro:

1. il nome e i dati di contatto del Titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del Titolare del trattamento e del Responsabile della protezione dei dati;
2. le finalità del trattamento;
3. una descrizione delle categorie di interessati e delle categorie di dati personali;
4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
5. ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;
6. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

Ogni Responsabile del trattamento deve invece annotare nel Registro le seguenti informazioni relative al trattamento svolto per conto di un Titolare del trattamento:

1. il nome e i dati di contatto del Responsabile o dei Responsabili del trattamento, di ogni Titolare del trattamento per conto del quale agisce il Responsabile del trattamento, del rappresentante del Titolare del trattamento o del Responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
2. le categorie dei trattamenti effettuati per conto di ogni Titolare del trattamento;
3. ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;
4. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

PERCHE’ E’ IMPORTANTE:

Il rispetto degli obblighi imposti dal Regolamento in tema di redazione e tenuta del Registro generale delle attività di trattamento svolte è importante perché  l’eventuale violazione è punibile con sanzione amministrativa fino ai 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore. Dette sanzioni  pecuniarie possono essere inflitte in aggiunta alle sanzioni di cui all’art. 58, lett. da a) a h) e j) del Regolamento (avvertimenti, ammonimenti, ingiunzioni, limitazioni ai trattamenti, ordine di cancellazione, rettifica o limitazioni del trattamento, revoca della certificazione o ingiunzione all’Organismo certificatore di ritirare o non emettere la certificazione, ordine di sospensione dei flussi di dati verso un destinatario) o in luogo di tali misure, tenendo in considerazione diversi elementi.

E’ pertanto importante che i Titolari del trattamento si attivino per tempo, entro il 25 maggio 2018, al fine di procedere puntualmente alla corretta ed esaustiva redazione e tenuta del Registro.