Data protection

La corretta tenuta del Registro dei trattamenti (art. 30 del GDPR). Suggerimenti per la conduzione di un audit di 1° livello.

Premesso che, il Registro dei trattamenti, oltre ad essere un imprescindibile strumento per mezzo del quale il titolare può dimostrare il proprio grado di responsabilizzazione (accountability), è un documento che viene richiesto dall’autorità di controllo in fase di ispezione ma che può essere richiesto dalla stessa anche a prescindere da un sopralluogo.

Il Registro costituisce uno strumento idoneo a fornire al Titolare del trattamento una rappresentazione aggiornata dei trattamenti in essere all’interno della propria organizzazione, permettendogli di valutare se il trattamento necessiti di una analisi del rischio.

Richiamato il Manuale RPD – Linee guida destinate ai Responsabili della protezione dei dati nei settori pubblici e parapubblici per il rispetto del Regolamento generale sulla protezione dei dati dell’Unione Europea (Regolamento (UE) 2016/679)[1], di Douwe Korff & Marie Georges– Testo approvato, il quale stabilisce quanto di seguito riportato.

Strettamente correlate all’obbligo di dimostrabilità della conformità, sono le norme, generali e specifiche, che il RGPD impone in materia di

  • creazione di un registro dei trattamenti di dati personali;
  • conduzione di un’analisi complessiva di tali trattamenti;
  • valutazione dei rischi per i diritti e le libertà delle persone fisiche derivanti da tali trattamenti;
  • effettuazione di approfondite valutazioni di impatto sulla protezione dei dati in rapporto a trattamenti che la valutazione mostri poter comportare un “rischio elevato”;
  • applicazione dei principi di protezione dei dati fin dalla fase di progettazione e per impostazione predefinita con riguardo a tutti i trattamenti di dati personali;
  • obblighi di notifica delle violazioni dei dati personali.

Prima di tutto, il regolamento impone un obbligo generale fondamentale di tenuta di registri dettagliati delle attività di trattamento dei dati personali effettuate dal titolare,specificando i dettagli di ogni singola attività (Art. 30)[2]; i registri devono dimostrare come e in che modo si è attuata la conformità a quanto stabilito dal Regolamento sia in materia di obblighi generali che specifici (cfr. Considerando 82[3]).

In secondo luogo, il Regolamento impone ai titolari, con l’aiuto dei DPO/RPD, di analizzare i trattamenti svolti e, ove necessario, renderli conformi al Regolamento stesso, indicando nel suddetto registro le attività di analisi e le misure correttive adottate.

In terzo luogo, il Regolamento impone al titolare del trattamento l’obbligo generale di “tenere conto” dei rischi inerenti alle operazioni di trattamento da lui effettuate, l’obbligo di attuare “misure tecniche ed organizzative adeguate” per minimizzare tali rischi, nonché quello di “dimostrare che il trattamento è effettuato conformemente al Regolamento” – ossia, il Regolamento impone l’obbligo di effettuare una valutazione dei rischi e di adottare misure adeguate a tali rischi (Art. 24(1)[4]; si veda anche l’Art. 32).

Ravvisato che, l’art. 30 del Regolamento UE 679/2016 (di seguito, GDPR), prevede che il Registro dei titolari del trattamento (di seguito, Registro) contenga almeno le seguenti informazioni:

a) il nome e i dati di contatto del titolare del trattamento e, se nominati, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO);

b) le finalità del trattamento, distinte per tipologie (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini);

c) una descrizione delle categorie di interessati (es. assistiti, fornitori, dipendenti) e delle categorie dei dati personali trattati (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);

d) destinatari (anche solo per categoria di appartenenza) a cui i dati personali sono stati o saranno comunicati (compreso gli altri titolari, come gli enti previdenziali cui vanno trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi, ma è opportuno indicare anche i responsabili e sub-responsabili ai quali sono trasmessi i dati, come i soggetti ai quali il titolare affidi il servizio di elaborazione delle buste paga dei dipendenti);

e) ove applicabile, trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49[5], la documentazione delle garanzie adeguate;

f) dove possibile, termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) dove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1[6] (tale adempimento può ritenersi assolto anche riportando gli estremi di un link per il tramite del quale potere prendere visione della documentazione). 

Quali ulteriori elementi si suggerisce di inserire:

h) la base giuridica del trattamento. Per i trattamenti di dati di cui all’art. 9 (categorie particolari di dati personali) del GDPR, è opportuno indicare una delle condizioni di cui all’art. 9, par. 2.[7] In caso di trattamenti di dati relativi a condanne penali e reati, si consiglia di riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10[8] del regolamento europeo;

i) il modello di informativa correlato allo specifico trattamento di dati.

Considerato che:

  • Il Registro deve essere tenuto aggiornato in maniera costante, (in tempo reale);
  • L’art. 83, par. 4, lettera a) del GDPR[9] stabilisce che sia irrogata una sanzione amministrativa fino ad un importo di 10 milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore nel caso vi sia una violazione degli obblighi del titolare del trattamento a norma dell’art. 30 del GDPR.

Si rende opportuno che venga condotta, in attuazione di quanto disposto dall’art. 39, paragrafo 2, lettera b) del GDPR[10], un’attività di audit focalizzata al seguente obiettivo:

rilevare la conformità all’articolo 30 del GDPR da parte del Titolare del trattamento per quanto attiene alla regolare tenuta del registro dei trattamenti.”

Di seguito si riportano gli aspetti da prendere in esame nella conduzione dell’audit

  1. Copertura dei trattamenti censiti sul totale dei trattamenti attivati dalla Azienda
  2. Completezza delle voci censite in relazione ai singoli trattamenti
  3. Per ciascun trattamento: individuazione del corrispondente modello di Informativa sul trattamento dei dati personali
  4. Ove esternalizzato, per ciascun trattamento: individuazione del Responsabile ex art 28 del GDPR
  5. Presenza di Policy delle misure di sicurezza
  6. Aggiornamento del Registro

A titolo esemplificativo si riporta la seguente scheda “REGISTRI DEI TRATTAMENTI – CECK LIST PROPEDEUTICA ALLO SVOLGIMENTO DI UN AUDIT DI 1° LIVELLO – Mod. INVEO ISDP 10003:2020 Rev. 0.1”

Legenda

Di seguito si riporta l’elenco dei trattamenti per i quali la ASL di Pescara è Responsabile di cui si ha evidenza:

n.b.

[1] Link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9152429

[2] Articolo 30 Registri delle attività di trattamento (C82)

1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:

a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

f ) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

2. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:

a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

3. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.

4. Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.

5. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

[3] Considerando (82) Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti.

[4] Articolo 24 Responsabilità del titolare del trattamento (C74-C78)

1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

[5] Articolo 49 Deroghe in specifiche situazioni (C111-C114)

1. In mancanza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, o di garanzie adeguate ai sensi dell’articolo 46, comprese le norme vincolanti d’impresa, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale soltanto se si verifica una delle seguenti condizioni:

a) l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate;

b) il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato;

c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato;

d) il trasferimento sia necessario per importanti motivi di interesse pubblico;

e) il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;

f ) il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

g) il trasferimento sia effettuato a partire da un registro che, a norma del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione o degli Stati membri. Se non è possibile basare il trasferimento su una disposizione dell’articolo 45 o 46, comprese le disposizioni sulle norme vincolanti d’impresa, e nessuna delle deroghe in specifiche situazioni a norma del primo comma del presente paragrafo è applicabile, il trasferimento verso un paese terzo o un’organizzazione internazionale sia ammesso soltanto se non è ripetitivo, riguarda un numero limitato di interessati, è necessario per il perseguimento

degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli interessi o i diritti e le libertà dell’interessato, e qualora il titolare e del trattamento abbia valutato tutte le circostanze relative al trasferimento e sulla base di tale valutazione abbia fornito garanzie adeguate relativamente alla protezione dei dati personali. Il titolare del trattamento informa del trasferimento l’autorità di controllo. In aggiunta alla fornitura di informazioni di cui agli articoli 13 e 14, il titolare del trattamento informa l’interessato del trasferimento e degli interessi legittimi cogenti perseguiti.

2. Il trasferimento di cui al paragrafo 1, primo comma, lettera g), non può riguardare la totalità dei dati personali o intere categorie di dati personali contenute nel registro. Se il registro è destinato a essere consultato da persone aventi un legittimo interesse, il trasferimento è ammesso soltanto su richiesta di tali persone o qualora tali persone ne siano i

destinatari.

3. Il primo comma, lettere a), b) e c), e il secondo comma del paragrafo 1 non si applicano alle attività svolte dalle autorità pubbliche nell’esercizio dei pubblici poteri.

4. L’interesse pubblico di cui al paragrafo 1, primo comma, lettera d), è riconosciuto dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento.

5. In mancanza di una decisione di adeguatezza, il diritto dell’Unione o degli Stati membri può, per importanti motivi di interesse pubblico, fissare espressamente limiti al trasferimento di categorie specifiche di dati verso un paese terzo o un’organizzazione internazionale.

Gli Stati membri notificano tali disposizioni alla Commissione.

6. Il titolare del trattamento o il responsabile del trattamento attesta nel registro di cui all’articolo 30 la valutazione e le garanzie adeguate di cui al paragrafo 1, secondo comma, del presente articolo.

[6] Articolo 32 Sicurezza del trattamento (C83)

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

[7] Articolo 9 Trattamento di categorie particolari di dati personali

(omissis)

2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: (C51, C52)

a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;

b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;

e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;

f ) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato; (C55, C56)

h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3; (C53)

i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale; (C54)

j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

[8] Articolo 10 Trattamento dei dati personali relativi a condanne penali e reati

Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica

[9] Articolo 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie. (C148, C150-C152)

(omissis)

4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;

(omissis)

[10] Articolo 39 Compiti del responsabile della protezione dei dati (C97)

1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

(omissis)

b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

(omissis).

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

Microsoft Office 365
Dati personali

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

privacy medico
𝗚𝗮𝗿𝗮𝗻𝘁𝗲 𝗣𝗿𝗶𝘃𝗮𝗰𝘆: 𝗦𝗮𝗻𝘇𝗶𝗼𝗻𝗲 𝗮 𝗠𝗲𝗱𝗶𝗰𝗼 𝗱𝗲𝗹 𝗹𝗮𝘃𝗼𝗿𝗼 | 𝗧𝗶𝘁𝗼𝗹𝗮𝗿𝗲 𝗱𝗲𝗹 𝘁𝗿𝗮𝘁𝘁𝗮𝗺𝗲𝗻𝘁𝗼
9 Maggio 2025
Piattaforma digitale
AGID ha pubblicato la Piattaforma digitale sulla quale i soggetti obbligati dovranno accreditarsi.
9 Luglio 2024
procreazione medicalmente assistita
Istituzione del Registro nazionale delle strutture autorizzate all’applicazione delle tecniche di procreazione medicalmente assistita. Il Garante privacy esprime parere favorevole.
27 Maggio 2025

Start typing and press Enter to search