Informativa Isec n. 1-2023

  • Categoria dell'articolo:Privacy

CONSIDERAZIONI SUL REGISTRO DELLE ATTIVITÀ DEI TRATTAMENTI

In merito al Registro delle attività dei trattamenti, riteniamo utile riassumere alcune considerazioni, in forma di domanda e risposta.

Il Registro è stato istituito per la prima volta con il GDPR (REG UE 2016/679), in particolare all’art. 30 che ha espressamente previsto tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento.

Cosa vuol dire TENUTA?

Che il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante o a eventuali soggetti per autorità ispettive.

Tra le funzioni del registro vi è infatti quella di agevolare il dialogo e la cooperazione con l’Autorità Garante in sede di esercizio dell’attività di controllo, essendo il documento un importante strumento di trasparenza nei confronti dell’Autorità.

Va pubblicato sul sito?

NON essendoci indicazione normativa alcuna per una sua pubblicazione sul sito istituzionale dell’ente, ne SCONSIGLIAMO il suo caricamento. Infatti, vogliamo ricordare che il trattamento di diffusione, ossia, il caricare dati personali sul sito web è possibile SE E SOLO SE esiste una norma di legge o di regolamento che lo richieda. Essendo il Registro un documento che contiene anche dati personali, pur semplici, una sua eventuale pubblicazione violerebbe la norma in quanto non esistono disposizioni che ne richiedano la pubblicazione.

Il Registro va aggiornato?

Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità e finalità di trattamento, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

Il Registro, che, come si è detto, può essere compilato sia in formato cartaceo che elettronico, deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:

“- scheda creata in data XY”

“- ultimo aggiornamento avvenuto in data XY”

Un registro correttamente compilato e costantemente aggiornato permette al Titolare di tenere sotto controllo e monitorare i flussi di dati personali, le categorie di interessati coinvolte nelle operazioni di trattamento, le categorie dei soggetti che trattano dati personali per conto dell’ente, oltre che di documentare le data retention policy, ossia i relativi tempi di conservazione, permettendo di agire proattivamente nell’ottica della prevenzione di eventuali rischi di violazione dati personali.

Il Registro va firmato?

Sulla base del combinato disposto dell’art. 20 del CAD (Codice Amministrazione Digitale) e dell’art. 30 del GDPR, il registro dovrebbe essere sottoscritto e marcato digitalmente dal titolare (timbro del Comune e firma del legale rappresentante ossia il Sindaco) con la conseguenza che, in difetto di tali requisiti formali, non dovrebbe considerarsi valido, con la conseguenza di un adempimento non realizzato.

Se si considera però il registro come un adempimento non statico e formale, bensì dinamico e sostanziale in quanto strumento di consapevolezza e responsabilizzazione da aggiornarsi ed integrarsi costantemente, la presenza o meno della firma non ne pregiudica senz’altro la sua validità. Anzi, le stesse Autorità Garanti lo ritengono un adempimento strategico su cui intervenire prontamente, poiché finalizzato in primis a documentare le scelte di titolari e responsabili in tema di protezione dei dati personali.

Quindi la nostra indicazione finale, già esposta nei momenti di confronto insieme, è comunque di firmarlo in modo da aumentarne il suo grado di certificabilità. Il non farlo NON rappresenta un errore di forma, ma almeno una volta all’anno, nel momento di una sua revisione formale, la firma ne attesterà la validità e i lavori di revisione che sono stati fatti.

Scarica il pdf dell'informativa