Come redigere il registro del responsabile secondo le indicazioni del GDPR? Dal momento che rappresenta un documento utile per rendicontare gli adempimenti, chiedersi quali siano le modalità corrette per la tenuta e redazione non è affatto argomento di poco conto. Anche perchè potrebbe essere oggetto di audit da parte del titolare per conto del quale sono svolte le attività di trattamento dei dati personali, con tutte le conseguenze del caso sul rapporto contrattuale che regola i rapporti con il responsabile. E soprattutto è bene ricordare che il criterio di esenzione della tenuta del registro del responsabile riguarda le sole organizzazioni con meno di 250 dipendenti che svolgano per conto di un titolare del trattamento attività occasionali, di rischio trascurabile e su dati personali non rientranti in categorie particolari né relativi a condanne penali o reati. Insomma: un’eccezione di portata decisamente ristretta.
Le indicazioni del GDPR su redazione e aggiornamento
L’art. 30 par. 2 GDPR fornisce delle indicazioni specifiche circa il contenuto delle informazioni che devono essere indicate nel registro del responsabile:
Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Ma come chiarisce il Garante Privacy all’interno delle FAQ dedicate, queste informazioni possono essere rese anche con un rinvio a banche dati o anagrafiche, così da collegarlo ad un gestionale in uso che possa rendere un elenco aggiornato dei titolari, così come delle categorie dei trattamenti effettuati.
Per quanto riguarda il livello di approfondimento cui si deve provvedere, le informazioni relative ai trattamenti devono ovviamente corrispondere a quanto è precisato all’interno dell’accordo stipulato fra titolare e responsabile ai sensi dell’art. 28 GDPR ma è sempre possibile inserire dettagli ulteriori. Dal momento che la natura del documento è quella di uno strumento di gestione e rendicontazione, ciò che conta è che sia aggiornato e corrisponda ai trattamenti di dati personali effettivamente svolti.
In mancanza di una corretta tenuta del registro diventa infatti particolarmente ostico per il responsabile mantenere il controllo delle attività di trattamento svolte e soprattutto garantire ai singoli titolari il rispetto degli obblighi contrattuali. Obblighi che possono ben trovare una precisazione in ciascuna delle schede del registro, così da consentire un’attività di controllo interno e di provvedere di conseguenza ad una rendicontazione specifica.
E il registro del sub-responsabile?
Nel caso in cui ci si trovi nella posizione di sub-responsabile (o meglio: ulteriore responsabile) ai sensi dell’art. 28, parr. 2 e 4 GDPR, valgono tutte le prescrizioni relative alla tenuta del registro del responsabile e di rendicontazione delle specifiche attività di trattamento ulteriormente delegate. Di conseguenza è possibile comunque fare riferimento ai contenuti del contratto che regola tali rapporti, sebbene nella maggior parte dei casi è consigliabile indicare anche le modalità attraverso cui il titolare del trattamento ha inteso autorizzare il responsabile a ricorrere ad un altro soggetto, includendo anche l’adempimento dei relativi obblighi informativi e le garanzie richieste e presentate.
Così come nella sicurezza delle informazioni è importante che i flussi dati siano mantenuti sotto controllo, lo è anche nella garanzia del rispetto del GDPR. Anche perchè ciò comporta avere contezza delle responsabilità di tutti i soggetti coinvolti nello svolgimento delle attività di trattamento.