Il registro delle attività di trattamento è il documento in cui sono censiti tutti i trattamenti aventi per oggetto i dati personali. La compilazione del registro non costituisce un obbligo di portata generale che vede come destinatario qualsiasi titolare o responsabile del trattamento. In particolare, il Regolamento, dopo averne definito i contenuti minimi e le modalità di redazione e conservazione, specifica espressamente i soggetti esenti da tale obbligo: le imprese e le organizzazioni con meno di 250 dipendenti, a meno che il trattamento presenti un rischio per i diritti e le libertà dell’interessato, non sia occasionale oppure abbia ad oggetto categorie particolari di dati personali (per esempio i dati relativi allo stato di salute, all’origine razziale o all’orientamento sessuale) o dati relativi a condanne penali e a reati.
La soglia dei 250 dipendenti, elemento indispensabile per individuare i soggetti sottoposti all’obbligo, non deve però trarre in inganno e portare a considerare la tenuta del registro esclusivamente come mero adempimento di un obbligo formale imposto dalla normativa europea che grava soltanto su alcuni soggetti.
Il titolare del trattamento, in base al nuovo impianto normativo, è sempre responsabile delle sue scelte in materia di trattamento di dati personali; pertanto è opportuno che egli abbia sempre piena consapevolezza degli ambiti operativi propri dell’attività professionale svolta. Il registro dei trattamenti svolge quindi una funzione essenziale: permette di individuare il quando, il come e quali dati personali sono trattati. Allo stesso tempo, il registro svolge altre importanti funzioni:
- costituisce uno dei principali elementi per svolgere l’analisi, la mappatura e la revisione dei processi di trattamento attuati e del relativo rischio;
- è lo strumento tramite il quale è possibile diffondere e condividere, all’interno della struttura aziendale, informazione e consapevolezza;
- è lo strumento di pianificazione e controllo delle politiche di sicurezza sui dati personali;
- costituisce parte della documentazione aziendale che permette di dimostrare la conformità alle prescrizioni normative e l’approccio metodologico adottato per garantire la sicurezza dei dati personali.
Il registro dei trattamenti rappresenta quindi il punto di partenza da cui ogni titolare del trattamento può e deve prendere avvio al fine di raggiungere la piena compliance alla normativa europea, tanto che se ne consiglia la compilazione anche a chi è formalmente esentato da qualsiasi obbligo. Una linea interpretativa condivisa dal Garante italiano che, al fine di agevolare le PMI, indipendentemente dal fatto che siano o meno sottoposte all’obbligo normativo (perché, ad esempio, trattano dati relativi allo stato di salute dei propri clienti), ha recentemente pubblicato un modello semplificato di registro delle attività di trattamento.
