L’installatore e i registri delle attività di trattamento

di Roberta Rapicavoli - Avvocato esperto in Information Technology e privacy e Docente Ethos Academy  

Il Regolamento UE 2016/679 (Regolamento generale sulla protezione dei dati – RGPD – o General Data Protection Regulation – GDPR) introduce l’obbligo, per i titolari e i responsabili del trattamento, di tenere in forma scritta, anche in formato elettronico, i registri delle attività di trattamento. Tali registri, come indicato dal Garante privacy nella Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, pubblicata sul sito web www.garanteprivacy.it, rappresentano uno strumento fondamentale “non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio”.

I registri delle attività di trattamento devono essere tenuti da tutte le imprese o organizzazioni che abbiano più di 250 dipendenti, a prescindere dai trattamenti effettuati, e da quelle che abbiano un numero inferiore a 250 dipendenti se svolgono trattamenti che possono presentare un rischio per i diritti e le libertà dell’interessato, trattamenti non occasionali o riguardanti categorie particolari di dati o di dati personali relativi a condanne penali e a reati. Le condizioni in presenza delle quali anche un’organizzazione con meno di 250 dipendenti deve tenere i registri sono alternative; pertanto, l’obbligo di cui si discute sorge anche se si svolge un trattamento occasionale di dati comuni che presenti dei rischi oppure se si effettua un trattamento non occasionale di qualunque tipologia di dato o se si realizza un trattamento che, seppur occasionale, riguardi tali particolari o giudiziari. 

Chi è escluso

Sulla base di tali osservazioni, di fatto, allora, la sola ipotesi in cui si possa ritenere escluso l’obbligo di tenuta dei registri è quello di una piccola realtà aziendale o professionale o di un piccolo ente che effettui solamente un trattamento occasionale di dati comuni, situazione che sicuramente non si configura per gli installatori, che, per lo svolgimento delle loro attività, effettuano trattamenti non occasionali di dati che peraltro, nel caso di dipendenti, comprendono anche dati particolari (quali sono l’adesione a un sindacato o lo stato di salute). Gli installatori devono dunque tenere i registri delle attività di trattamento previsti dall’art. 30 del GDPR.

Il contenuto dei registri 

Nei registri devono essere riportate tutte le informazioni relative ai trattamenti svolti dai titolari e dai responsabili del trattamento. Il contenuto dei registri è definito nell’art. 30 del GDPR e varia a seconda che ci si riferisca al titolare o al responsabile. Nel registro delle attività svolte quale titolare occorre riportare:

• il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

• le finalità del trattamento;

• una descrizione delle categorie di interessati e delle categorie di dati personali;

• le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

• ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

• ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Nei registri tenuti dai responsabili per le attività svolte per conto di un titolare, invece, occorre inserire:

• il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;

• le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

• ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Quanti registri occorre tenere?

L’art. 30 del GDPR distingue il registro delle attività di trattamento svolte dal titolare e dal responsabile. 

Se pertanto un’impresa o un professionista, oltre ai trattamenti di cui sono titolari, svolgono anche attività che comportano un trattamento di dati per conto del loro cliente e operano, quindi, come responsabili del trattamento, dovranno tenere due registri. In concreto, dunque, l’installatore deve tenere sicuramente il registro delle attività svolte quale titolare del trattamento, in cui andranno riportate le indicazioni relative ai trattamenti effettuati in autonomia (quali, ad esempio, quelli legati alla gestione dei rapporti contrattuali con clienti e fornitori e dei rapporti di lavoro con i propri dipendenti). Nei casi però in cui l’installatore svolga attività di assistenza e manutenzione sui sistemi che comportano un trattamento di dati per conto dei clienti, operando quale responsabile del trattamento, dovrà tenere, per tale ruolo,altro specifico registro, in cui riportare le indicazioni relative ai trattamenti svolti per i singoli clienti.