Privacy, registro obbligatorio nelle aziende sopra i 250 dipendenti
Le aziende con uno staff di oltre 250 dipendenti sono obbligate a tenere il Registro del trattamento dei dati. È uno degli adempimenti più importanti previsti dal Regolamento europeo per la protezione dei dati personali, in vigore dal 25 maggio. Ma in che cosa consiste il Registro e quale è il suo contenuto? Quali sono i soggetti aziendali obbligati a redigerlo e le modalità di aggiornamento?
Il contenuto del Registro
Il Registro è il documento che contiene le attività di trattamento dei dati, redatto preferibilmente in formato elettronico (ad esempio su un foglio excel) per facilitarne l’aggiornamento periodico. L’obbligo di tenuta e di aggiornamento grava sulle organizzazioni medio-grandi, ossia quelle con 250 o più dipendenti (articolo 30 del regolamento 679/2016).
Per le più piccole, il Regolamento Ue prevede un’esenzione limitata, stabilendo che queste debbano documentare i trattamenti solo se:
• sono suscettibili di comportare un rischio per i diritti e le libertà delle persone;
• non sono occasionali;
• coinvolgono categorie di dati particolari o dati relativi a condanne penali o dati giudiziari.
Ci sono, infatti, realtà che, sebbene abbiano meno di 250 dipendenti, trattano dati relativi, ad esempio, a clienti o dati personali relativi alle risorse umane, in maniera non occasionale. In questi casi, la non occasionalità del trattamento impone la tenuta del Registro.
Il «considerando» 75 del Regolamento specifica che i rischi per i diritti e le libertà delle persone fisiche possono derivare da trattamenti di dati personali suscettibili di causare un danno fisico, materiale o immateriale (ad esempio, discriminazioni, furto o usurpazione d’identità). C’è poi un rischio se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza. Ancora, c’è un rischio se sono trattati dati personali di persone fisiche vulnerabili, in particolare di minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.
Le figure aziendali coinvolte
La responsabilità di redigere, aggiornare e tenere correttamente il Registro è in capo al titolare del trattamento e al responsabile del trattamento.
Nelle aziende più strutturate e suddivise in dipartimenti, sarà possibile anche delegare uno o più soggetti interni che si occupino della registrazione e dell’aggiornamento di trattamenti specifici relativi alla propria area (ad esempio un modulo trattamenti dell’area marketing).
Le informazioni contenute nel singolo modulo di area potrebbero poi confluire nel Registro delle attività di trattamento centralizzato, il cui accesso potrebbe essere consentito solo al Titolare del trattamento e al Responsabile per la protezione dei dati (il Dpo), che, se presente, ha il compito di fornire assistenza nella redazione e di verificare la corretta tenuta dei registri.
Il titolare del trattamento, se la struttura organizzativa è particolarmente complessa, potrebbe anche incaricare con un atto scritto un responsabile della tenuta del Registro delle attività di trattamento. Le informazioni contenute nel registro devono essere periodicamente aggiornate per “fotografare” la situazione aziendale relativamente al trattamento dei dati personali. L’aggiornamento, pertanto, è richiesto ogni qual volta si verifichino rilevanti cambiamenti che incidono sui trattamenti dei dati personali. In altri termini, il Registro non è un documento statico, ma dinamico, da aggiornare tutte le volte che ci sono variazioni o modifiche relativamente al trattamento di dati personali. In caso di mancato rispetto degli obblighi di tenuta e aggiornamento del Registro, laddove obbligatorio, i titolari e i responsabili del trattamento potranno subire sanzioni amministrative molto pesanti, per importi fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo.
Leggi la bussola per il registro del trattamento dati