GDPR: L’Informativa e i Registri

Il Regolamento UE 2016/679 prevede una serie di adempimenti formali che devono essere posti in essere dai Titolari e dai Responsabili dei trattamenti, tra cui la redazione di specifici documenti destinati agli Interessati o per uso interno.

Il Titolare e il Responsabile del Trattamento hanno una serie di obblighi da rispettare tesi a garantire l’Interessato attraverso sia una maggiore consapevolezza sull’uso che viene fatto dei suoi dati, sia sulla buona organizzazione dei dati stessi e delle modalità di trattamento poste in essere.

A tal fine, è richiesta la redazione di una specifica documentazione all’interno della quale assume particolare rilevanza l’Informativa e il Registro dei Trattamenti.

La prima tesa a rendere edotto l’interessato sul perché e sul come sono trattati i dati a lui riferibili e sui relativi diritti che esso può esercitare per tutelare i suoi interessi; il secondo finalizzato a formalizzare le modalità di trattamento e l’organizzazione dello stesso.

Il Regolamento UE 2016/679 prevede che il Titolare e il Responsabile del trattamento predispongano obbligatoriamente della documentazione necessaria al corretto adempimento degli obblighi in esso previsti sia in materia di informazione dell’interessato: l’INFORMATIVA, sia in relazione al principio di accountability: il REGISTRO DEI TRATTAMENTI.

Gli articoli 13 e 14 disciplinano la redazione dell’informativa e la sua forma descrivendo, tra le altre cose, il contenuto minimo che questa deve avere. All’interno di questi articoli sono elencati gli elementi di conoscenza obbligatori che il Titolare deve fornire all’Interessato nel momento della raccolta dei dati sia quando questa avvenga presso l’interessato, sia qualora il reperimento dei dati venga effettuato in maniera indiretta.

Qualora i dati siano raccolti presso l’Interessato, l’informativa deve contenere:

  • l’identità e i dati di contatto del Titolare del trattamento e, ove applicabile, del suo rappresentante;
  • i dati di contatto del Responsabile della protezione dei dati, ove applicabile;
  • le finalità del trattamento cui sono destinati i dati personali
  • la base giuridica del trattamento;
  • i legittimi interessi perseguiti dal titolare del trattamento o da terzi, ove applicabile;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione, ove applicabile;
  • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • l’esistenza dei diritti dell’interessato previsti dal Regolamento;
  • qualora il trattamento sia basato sul consenso dell’Interessato, l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  • il diritto di proporre reclamo a un’Autorità di controllo;
  • se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione e le informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Nel caso in cui, invece, i dati personali non siano raccolti dal Titolare presso l’interessato, il Regolamento stabilisce dei termini entro i quali è necessario comunicare l’informativa all’Interessato:

  • entro un termine ragionevole dall’ottenimento dei dati personali, comunque entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;
  • entro ovvero al momento della prima comunicazione all’interessato, nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato;
  • non oltre la prima comunicazione dei dati personali, nel caso sia prevista la comunicazione ad altro destinatario.

L’informativa deve essere redatta in una forma chiara e intellegibile. In uno stile facilmente comprensibile per l’interessato e il Titolare deve poter dimostrare che essa è stata fornita all’interessato e da questo letta e compresa.

Qualora il Titolare del trattamento intenda trattare ulteriormente i dati personali raccolti per una finalità diversa da quella/e che sono state esplicitate nell’informativa resa, prima di tale ulteriore trattamento, dovrà fornire all’interessato ulteriori informazioni in merito a tale diversa finalità e ogni altra informazione pertinente.

L’articolo 30 del Regolamento Europeo disciplina l’obbligo di tenuta dei registri delle attività di trattamento.

I registri previsti dal Regolamento sono due: il Registro del Titolare del trattamento e il Registro del Responsabile del trattamento. Secondo l’Autorità di Controllo Italiana la tenuta dei registri risponde non solo all’esigenza di un’eventuale supervisione da parte del Garante, ma anche, e forse in maniera preponderante, allo scopo di poter disporre di un cruscotto che permetta di tenere sotto controllo i trattamenti in essere e l’aggiornamento di tutte le informazioni a questi correlate.

I Registri devono avere forma scritta, cartacea o elettronica, e devono essere esibiti su richiesta dell’Autorità Garante per la Protezione dei Dati Personali.

Essi, nell’architettura normativa della tutela dei dati personali, rappresentano uno dei più importanti elementi a testimonianza della tenuta da parte del Titolare di un comportamento aderente a quanto previsto dalle nuove norme in termini di responsabilità e di verifica di quanto posto in essere. I registri, infatti, sono lo strumento idoneo a fornire lo stato dell’arte di quanto relativo ai trattamenti in atto all’interno dell’organizzazione del Titolare o del Responsabile, anche in termini di valutazione o analisi dei rischi connessi ai trattamenti in essere.

Le norme stabiliscono anche un contenuto minimo per questi documenti.

Come previsto, infatti, dall’articolo 30 del GDPR, i Registri devono contenere le seguenti informazioni:

  • il nome e i dati di contatto del Titolare del trattamento e, ove applicabile, del Contitolare del trattamento, del rappresentante del titolare del trattamento e del Responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative implementate.

I Registri sono fondamentali poiché permettono al Titolare o al Responsabile del trattamento di dimostrare la conformità dei propri comportamenti alla normativa in vigore e rappresentano un segno tangibile della responsabilizzazione di questi soggetti.

Non tutti i Titolari sono tenuti alla redazione del Registro dei trattamenti. Infatti, sono escluse da questo obbligo le imprese o le organizzazioni con meno di 250 dipendenti, tranne che nei casi in cui:

  • il trattamento effettuato possa presentare un rischio per i diritti e le libertà dell’interessato;
  • il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati personali o di dati personali relativi a condanne penali e a reati.

È bene sottolineare come, tuttavia, il Garante Italiano abbia consigliato a tutti i Titolari e/o Responsabili la tenuta di questo registro.

Renato Carafa