Regolamento Ue n. 679/2016 (di seguito “RGPD”): le istruzioni del Garante Privacy sul Registro dei trattamenti

Il Garante per la protezione dei dati personali ribadisce l’importanza del Registro che deve essere predisposto dal Titolare e dal Responsabile del trattamento.
L’obbligo di redigere il Registro costituisce uno dei principali elementi di
accountability del Titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.
In particolare, si tratta di un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, una società, un’associazione, un esercizio commerciale, un libero professionista ecc.
Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e – al di sotto dei 250 dipendenti – qualunque Titolare o Responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.
La tenuta del Registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, il Garante invita tutti i Titolari di trattamento e i Responsabili, a prescindere dalle dimensioni dell´organizzazione, a compiere i passi necessari per dotarsi di tale Registro e, in ogni caso, a compiere un´accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta. I contenuti del registro sono fissati, come detto, nell´art. 30.
Si ricorda che il nuovo sistema sanzionatorio ex art. 83 GDPR prevede una doppia fascia di sanzioni per le attività non poste in essere da Titolari e Responsabili
fino a 10,000.000 Euro o, per le imprese, fino a 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore in caso di:
– violazione sul consenso dei minori ex Art. 8,
– per violazioni sulla protezione fin dalla progettazione e per impostazione predefinita,
– obblighi relativi alle figure del Titolare/Cotitolare/Responsabili/Incaricati,
– tenuta del registro delle attività,
– cooperazione con l’Autorità di controllo,
– comunicazioni delle violazioni,
– valutazione di impatto,
– consultazione preventiva,
– designazione DPO, ecc

-fino a 20,000.000 Euro o, per le imprese, fino a 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore in caso di:
– violazione dei principi base del trattamento di cui agli Artt. 5, 6, 7 e 9,
– violazione dei diritti degli Interessati di cui agli Artt. da 12 a 22,
– violazione dei trasferimenti di dati in un paese terzo,
– violazione di un qualsiasi obbligo ai sensi delle legislazioni degli Stati membri, ecc).