Quando si parla di GDPR, tra le espressione con le quali si ha più a che fare c’è “trattamento dei dati”. Cosa succede nei casi in cui si ha a che fare con la verifica dei suoi contenuti? Prendendo spunto da uno dei post del blog di Privacylab, abbiamo riassunto, nelle prossime righe di questo articolo, la risposta a questa domanda.

Cos’è il registro dei trattamenti?

Prima di capire cosa succede in sede di visita ispettiva da parte della Guardia di Finanza, è il caso di parlare innanzitutto della definizione di registro dei trattamenti. Cos’è di preciso? Uno strumento fondamentale per l’attività del titolare del trattamento dei dati personali, ma anche per quella del responsabile.

Ecco i modi in cui può essere gestito:

50. Forma elettronica
50. Forma cartacea

Su richiesta dell’Autorità Garante, deve essere presentato in sede di controllo. Oggi come oggi, quando lo si nomina si pensa innanzitutto ai trattamenti elettronici, quelli che, in molti casi, vengono percepiti come più pericolosi. Attenzione, però: nel momento in cui si chiama in causa il registro dei trattamenti, infatti, è necessario prendere in considerazione anche la mappatura dei processi di trattamento cartacei.

Un aspetto che è fondamentale tenere presente nel momento in cui si parla del registro di trattamento dei dati riguarda il fatto che, in esso, devono essere riportati quelli strettamente finalizzati all’esercizio dell’attività.

Per capire meglio la situazione, facciamo un esempio conosciuto a molti. Immaginiamo il registro del trattamento dei dati di un centro yoga. Ai fini dell’attività, non interessa se un determinato iscritto ha figli, di quanti anni e quello che fanno nella vita.

Come prepararsi a un controllo

Per evitare di incorrere in sanzioni a seguito di un controllo, è molto importante fare attenzione ad alcuni aspetti. Innanzitutto, è fondamentale che il registro, a prescindere dalla sua forma, sia immediatamente consultabile. Chiaro è che, a seconda del tipo di azienda, la forma può cambiare molto le cose.

Nelle situazioni in cui si ha a che fare con una grande azienda, il registro cartaceo può non conciliarsi alla perfezione con l’appena ricordata necessità di una consultazione immediata.

Quando manca quest’ultima, viene compromesso un diritto fondamentale dell’utente, ossia quello di accesso rapido ai propri dati personali e alle informazioni di chi li tratta.

Per evitare problemi in caso di ispezione, è fondamentale informarsi anche sui casi in cui è obbligatorio il registro di trattamento dei dati. Chi deve tenerlo per forza (e aggiornarlo nel corso del tempo)? L’obbligo riguarda tutti i titolari e i responsabili del trattamento dei dati. In particolare quelli che hanno a che fare con:

50. Imprese o organizzazioni con un numero minimo di 250 dipendenti.
50. Trattamento di dati che possono risultare pericolosi per il diritto alla libertà dell’interessato.
50. Trattamento non occasionale di dati personali.
50. Trattamento di dati personali relativi a condanne penali.

Come muoversi nei casi in cui si ha a che fare con realtà con meno di 250 dipendenti? In questo frangente, il legislatore consente al responsabile e al titolare del trattamento dei dati di ricorrere alla forma semplificata del registro. Il classico esempio da fare è quello del negozio di vestiti che ha solo un dipendente. In questo caso, si può tenere il registro di trattamento unicamente per i dati che riguardano la persona appena citata.

La raccomandazione del Garante della Privacy, però, è quella di focalizzarsi sulla redazione del registro di trattamento dei dati nella sua forma completa, facendo attenzione, come già detto, a completarlo. Sono purtroppo tante le realtà che, dopo averlo istituito nel 2018, non ci hanno più messo mano.