GDPR: 10 regole per redigere il registro del titolare del trattamento

Hai già predisposto il registro del titolare del trattamento? Sei sicuro che sia stato redatto in maniera corretta? Conosci il valore di questo documento per l’accountability aziendale? Hai anche valutato se la tua azienda deve predisporre il registro del responsabile del trattamento? Ecco alcuni suggerimenti.



Il registro dei trattamenti è il documento privacy più importante per un’azienda in quanto consente di mappare tutti i trattamenti di dati personali e può essere sfruttato come “punto di partenza” del resto della compliance aziendale. Infatti, un registro del titolare del trattamento ben fatto consente, per esempio, di:

  • strutturare informative sul trattamento dei dati personali complete e chiare;
  • regolare ruoli e responsabilità privacy in maniera corretta;
  • verificare eventuali trasferimenti extra SEE;
  • verificare l’adeguatezza delle misure di sicurezza adottate per ogni trattamento di dati personali.

Anche il registro del responsabile del trattamento, da predisporre quando l’azienda tratta dati personali per conto di un altro titolare del trattamento, è un documento di fondamentale importanza da redigere con attenzione, in quanto, per esempio, può esserne richiesta l’esibizione da parte dei propri clienti, titolari del trattamento. 

1. VERIFICARE CHE SIANO PRESENTI LE INFORMAZIONI OBBLIGATORIE PREVISTE DALL’ART. 30 GDPR

L’art. 30 GDPR prevede il contenuto tassativo dei registri del trattamento. Come primo step, GDPR alla mano, è molto importante assicurarsi che tutti gli elementi obbligatori richiesta dalla normativa siano presenti nel template di registro che si sta utilizzando. 

Dopo questa verifica, si consiglia di valutare l’inserimento, in una sezione dedicata del registro, di ulteriori informazioni non obbligatore ma utili ai fini della descrizione del trattamento di dati personali mappato. 

Per esempio, l’indicazione dei responsabili del trattamento nominati per quella finalità di trattamento, ai sensi dell’art. 28 GDPR, è un’informazione necessaria anche ai fini della valutazione di un eventuale trasferimento dati extra SEE (elemento obbligatorio art. 30 GDPR) che potrebbe essere posto in essere dal fornitore, nel momento in cui tratta dati personali per conto dell’azienda, da mappare però anche nel registro del titolare di quest’ultima visto che il fornitore agisce per conto del titolare.

2. RACCOGLIERE LE INFORMAZIONI COINVOLGENDO LE FUNZIONI AZIENDALI COMPETENTI, ANCHE TRAMITE CHECK LIST

Per definire con esattezza i trattamenti posti in essere dal titolare del trattamento, e raccogliere le informazioni obbligatorie e quelle utili sopra citate, si suggerisce di schedulare meeting periodici per intervistare i responsabili delle aree aziendali maggiormente impattate lato privacy (es. risorse umane, IT, amministrazione) oppure richiedere loro le informazioni utili tramite di apposite check list. 

Puoi trovare un esempio di check list da cui prendere spunto, relativamente al trattamento di dati personali marketing, al seguente link

3. EFFETTUARE FORMAZIONE PRIVACY AI DIPENDENTI AUTORIZZATI AL TRATTAMENTO DEI DATI PERSONALI

In ottica di accountability aziendale e ai fini di un registro del titolare del trattamento correttamente strutturato, è necessario che tutti i dipendenti autorizzati al trattamento vengano periodicamente formati in tema data protection in quanto gli stessi possono segnalarti trattamenti di dati personali eventualmente sfuggiti durante le interviste di cui al punto 2, da inserire nel registro del titolare del trattamento, solo se conoscono concetti come “dato personale” e “trattamento di dati personali”. 

Ricordati inoltre che formare i dipendenti in ambito privacy è un obbligo del titolare del trattamento. Comincia con un corso e-learning di formazione privacy base per designati

4. AGGIORNARE PERIODICAMENTE IL REGISTRO DEL TITOLARE 

È importantissimo aggiornare periodicamente il registro del titolare del trattamento per mappare eventuali nuovi trattamenti di dati personali

Ad esempio, la tua azienda sta misurando la temperatura corporea, come imposto dalla normativa emergenziale per far fronte alla pandemia Covid-19? Se sì, devi aggiornare il registro del titolare del trattamento, oltre a predisporre idonea informativa e valutare eventuali altri adempimenti privacy, in quanto la temperatura corporea è un dato personale e la misurazione della stessa, anche senza registrazione, costituisce un trattamento di dati personali. 

Un metodo utile per aggiornare periodicamente il documento è quello di fissare preventivamente in agenda del tempo da dedicare a quest’attività anche con il supporto di un consulente privacy. 

5. AVERE UN GESTIONALE A SUPPORTO DELLA REDAZIONE DEL REGISTRO

Avere un gestionale a supporto della redazione del registro del titolare del trattamento è un altro step consigliato. 

Infatti, sempre più aziende decidono di dotarsi di simili software visto che l’”automatismo” che comportano semplifica la predisposizione documentale. 

Un utile strumento, ad esempio, è il software Privacy Encoder

6. VALUTAZIONE DEI RISCHI PRIVACY PER CIASCUN TRATTAMENTO DI DATI PERSONALI

Altro adempimento molto importante, correlato alla mappatura dei trattamenti di dati personali nel registro del titolare, è la predisposizione della valutazione dei rischi privacy per ciascun trattamento. 

Questa valutazione, da effettuarsi dopo aver implementato correttamente l’elenco dei trattamenti nel registro, consente infatti di individuare i trattamenti più rischiosi posti in essere dall’azienda e, pertanto, verificare la necessità di effettuare valutazione d’impatto sulla protezione dei dati (art. 35 GDPR). 

Effettuare la valutazione dei rischi privacy permette, inoltre, di verificare l’adeguatezza delle misure di sicurezza dei dati personali adottate e la necessità di implementarne di nuove. 

7. VERIFICARE LA CORRISPONDENZA DELLE INFORMAZIONI TRA REGISTRO ED ALTRI DOCUMENTI PRIVACY

Aspetto molto importante e oggetto delle verifiche da parte dell’autorità ispettiva è la corrispondenza delle informazioni inserite all’interno del registro del trattamento e di altri documenti di compliance aziendale, tra cui in particolare le informative sul trattamento dei dati personali. 

Presta quindi attenzione a che le informazioni inserite nel registro siano corrispondenti a quelle inserite nelle informative relativamente una stessa finalità di trattamento dati. 

Il medesimo concetto si applica anche ad altri documenti: per esempio, assicurati che i periodi di conservazione dei dati personali indicati nel registro siano i medesimi inseriti nella specifica procedura di conservazione dei dati personali.

8. SUPPORTO DEL RESPONSABILE DELLA PROTEZIONE DEI DATI | DATA PROTECTION OFFICER (DPO)

Ricordati che se hai nominato il DPO, per obbligo di legge o volontariamente, quest’ultimo può supportarti nella redazione del registro del titolare del trattamento. Anzi, di più: l’azienda, sotto la propria responsabilità, può decidere di affidare la tenuta del registro del titolare delle attività di trattamento proprio al DPO (Linee Guida WP29 sul DPO). 

Se invece non sai se la tua azienda deve nominare il DPO o meno, consulta i seguenti link: 

9. VALUTARE LA NECESSITA’ DI PREDISPORRE IL REGISTRO DEL RESPONSABILE E GLI ADEMPIMENTI CORRELATI

Contestualmente alla redazione del registro del titolare, ricordati di valutare la necessità di predisporre anche il registro del responsabile del trattamento se la tua azienda tratta dati personali per conto di un titolare del trattamento ai sensi dell’art. 28 GDPR. Infatti, uno degli adempimenti principali dei responsabili del trattamento è la redazione del correlato registro come da art. 30 par. 2 GDPR. 

Anche qui, come per il registro del titolare, si suggerisce di inserire ulteriori informazioni utili dopo avere verificato la correttezza degli elementi obbligatori dell’art. 30 par. 2 GDPR.

In questo caso, per esempio, l’elenco dei sub-fornitori con cui l’azienda ha a sua volta regolato ruoli e responsabilità privacy come richiesto dall’art. 28 GDPR; questo elenco, inserito all’interno del registro, è infatti utile al responsabile per adempiere l’obbligo di comunicare al titolare del trattamento l’elenco dei sub-responsabili di cui si avvale. 

10. TEMPLATE DI REGISTRI DEL TRATTAMENTO: KEEP CALM AND FATTI SUPPORTARE DA LABOR PROJECT

In conclusione, se dedichi il giusto tempo e risorse adeguate all’implementazione del registro del titolare del trattamento, il resto della compliance aziendale sarà più agevole. 

Per cominciare, al seguente link trovi i modelli di registro del titolare del trattamento e di responsabile del trattamento predisposto dall’autorità Garante per la protezione dei dati personali:

Se pensi di avere bisogno di ulteriore supporto o vuoi capire come applicare in pratica le 10 regole di questo articolo, contatta i consulenti privacy di Labor Project.

Se ti è piaciuto l'articolo condividi: