Accountability tools: il registro dei trattamenti

di Marco Soffientini e Silvia Mencaroni

Avv. Marco Soffientini, Docente Università degli Studi di Roma UnitelmaSapienza; esperto di Privacy e Diritto delle Nuove Tecnologie; Privacy Officer certified in accordo a ISO/IEC 17024:2003; Coordinatore Nazionale Comitato Scientifico Federprivacy; membro dell’Istituto Italiano per la Privacy; membro Comitato di Delibera TUV Italia per lo schema CDP e docente Ethos Academy www.academy.ethosmedia.it
Silvia Mencaroni sta ultimando il percorso accademico alla facoltà di giurisprudenza presso l’Università degli Studi di Perugia. Iscritta al Registro CDP n. 135 dal 2014 al 2017, dopo aver sostenuto il percorso formativo Master in “Privacy Officer & consulente della privacy” riconosciuti da TUV Examination Istitute. Collabora con lo Studio Legale Rosadi-Soffientini Associati e nel progetto formativo “Videosorveglianza Urbana Integrata”, curato da Ethos Academy e diretto alle Polizie Locali. Ha collaborato alla redazione della terza edizione (2018) del volume “Privacy” a cura di Marco Soffientini edito da Ipsoa. Docente in convegni su Videosorveglianza e privacy e in corsi di formazione aziendale sul nuovo Regolamento UE 2016/679.

Come noto, con il Regolamento UE 2016/679 è stato introdotto nel nostro ordinamento il principio dell’accountability o di responsabilizzazione, consistente nel dovere del titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate al fine di dimostrare che un determinato trattamento è effettuato conformemente al regolamento. Tra le misure da adottare, un ruolo dominante lo riveste il Registro delle attività di trattamento ai sensi dell’articolo 30 del Regolamento UE 2016/679. Il Registro, che deve essere predisposto dal titolare e dal responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da un’impresa, un’associazione, un esercizio commerciale, un libero professionista.

Nelle istruzioni fornite a Ottobre 2018 l’Autorità Garante ha precisato che sono tenuti a redigerlo: imprese o organizzazioni con almeno 250 dipendenti; qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato; qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali; qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD. Rientrano nella categoria delle “organizzazioni”, osserva l’Autorità, anche le associazioni, fondazioni e i comitati. L’obbligo di redigere il Registro, che deve avere forma scritta anche elettronica, costituisce uno dei principali elementi di accountability del titolare (c.d. accountability tools), poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività. Ne segue che, al di là dei profili obbligatori o facoltativi sulla tenuta del registro, è innegabile che esso rappresenti la principale “evidenza” da esibire in sede di ispezione.

La versione integrale dell’articolo riporta tabelle, box o figure, per visualizzarle apri il pdf allegato.