L’Autorità Garante Belga pubblica Raccomandazione sui registri delle attività di trattamento ex art. 30

Scenario
L’Autorità Garante Belga ha emanato in data 14 Giugno 2017 la Raccomandazione n.06/2017 (disponibile in Francese e Olandese), al fine di fornire le linee guida per i titolari del trattamento e i responsabili del trattamento con riferimento agli obblighi di stabilire e mantenere registri interni delle attività di trattamento dei dati (“Registri Interni”) a partire dal 25 Maggio 2018, ai sensi dell’art.30 del Regolamento europeo in materia di protezione dei dati (“Regolamento”).

Questione principale
L’Autorità Garante Belga apre la Raccomandazione sottolineando che l’obbligo derivante dall’art. 30 del Regolamento riguarda sia i titolari del trattamento che i responsabili del trattamento. Il documento tratta le seguenti questioni:

– Chi deve tenere i Registri Interni? Ci sono eccezioni?

I destinatari dell’obbligo sono i titolari del trattamento (come definiti dall’art.4(7) del Regolamento), ai sensi dell’art.30(1) del Regolamento, insieme a eventuali loro rappresentanti, e i responsabili del trattamento (come definiti dall’art.4(8) del Regolamento), ai sensi dell’art.30(2) del Regolamento.
L’obbligo di mantenere Registri Interni non si applica alle imprese o organizzazioni con meno di 250 dipendenti, ai sensi dell’art.30(5) del Regolamento, a meno che si verifichi una delle seguenti condizioni: (1) il trattamento che esse effettuano può presentare un rischio per i diritti e le libertà dell’interessato; (2) il trattamento non è occasionale (per esempio, ove si tratti di trattamento finalizzato alla gestione della clientela o delle risorse umane); (3) il trattamento include il trattamento di categorie particolari di dati ai sensi dell’art.9 del Regolamento; (4) il trattamento riguarda dati personali relativi a condanne penali e a reati ai sensi dell’art.10 del Regolamento. Ciononostante, l’Autorità Garante Belga esorta tutti i titolari del trattamento e i responsabili del trattamento a mantenere tali Registri Interni, ogniqualvolta si occupino di trattamento di dati su base regolare.

– Qual è la ragione di tale obbligo?

Nell’opinione dell’Autorità Garante Belga, i Registri Interni sarebbero strumentali al principio di responsabilizzazione del titolare del trattamento (e indirettamente del responsabile del trattamento) sottostante all’insieme degli obblighi a lui imposti dal Regolamento. Ai sensi dell’art.30(4) del Regolamento, l’Autorità Garante può richiedere al titolare del trattamento e al responsabile del trattamento di mettere i Registri Interni a disposizione. Di conseguenza, l’informazione ivi contenuta è cruciale per l’Autorità Garante nel condurre ispezioni.

– Cosa deve contenere il Registro Interno?

Il Registro Interno deve contenere le debite informazioni relative all’insieme di attività di trattamento dei dati svolte alla data del 25 Maggio 2018, indipendentemente dal fatto che tali attività siano state previamente o recentemente iniziate.
Ciascun titolare del trattamento e, ove applicabile, il suo rappresentante, ha l’obbligo di mantenere il Registro Interno contenente le seguenti informazioni: a) chi gestisce i dati: il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b) perché: le finalità del trattamento; c) cosa: una descrizione delle categorie di interessati e delle categorie di dati personali; d) dove: le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, informazioni sui trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, e la documentazione delle garanzie adeguate; f) fino a quando: ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) come: ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art.32 (1) del Regolamento.
Ciascun responsabile del trattamento e, ove applicabile, il suo rappresentante, ha l’obbligo di mantenere il Registro Interno contenente le seguenti informazioni: a) chi gestisce i dati: il nome e i dati di contatto del responsabile o responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati; b) cosa: le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, e la documentazione delle garanzie adeguate; d) come: ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art.32 (1) del Regolamento.
L’Autorità Garante Belga puntualizza che i Registri Interni possono contenere informazioni ulteriori che posso essere utili per i titolari del trattamento e per i responsabili del trattamento, al fine di indentificare una serie di misure da adottare in rispetto degli obblighi derivanti dal Regolamento.

– Come stabilire un Registro Interno?

I Registri Interni devono essere resi disponibili per iscritto, anche in forma elettronica. Devono essere chiari e facilmente comprensibili per l’Autorità Garante. Il formato può essere flessibile al fine di soddisfare le esigenze di ogni tipo di trattamento. I Registri Interni devono essere costantemente aggiornati. Il periodo di conservazione per le informazioni una volta terminato il trattamento non è specificato, ma l’Autorità Garante Belga consiglia ai titolari del trattamento e ai responsabili del trattamento di conservare tali informazioni a fini di responsabilità. La lingua non è specificata. Le imprese multinazionali, ad esempio, possono stabilire il loro Registro Interno in inglese. Una traduzione in una delle lingue nazionali a spese del titolare del trattamento e del responsabile del trattamento può essere richiesta dall’Autorità Garante.
– A chi è rivolto un Registro Interno?
Il Registro Interno è in primo luogo uno strumento finalizzato a supportare i titolari del trattamento e i responsabili del trattamento nel rispetto degli obblighi derivanti dal Regolamento. In secondo luogo, è indirizzato all’Autorità Garante alla quale deve essere reso disponibile alla prima richiesta. Non è indirizzato al pubblico o agli interessati.
– Quale sanzione deriva dalla mancata osservanza dell’obbligo?
La mancata osservanza dell’obbligo di cui all’art.30 del Regolamento può comportare:
(1) una sanzione amministrativa fino a 10.000.000 euro;
(2) o, se si tratta di una società, il 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Implicazioni pratiche
Le imprese devono essere consapevoli che tenere traccia delle attività di trattamento dei dati e conservare registri di esse è essenziale sia per i titolari del trattamento che per i responsabili del trattamento. Solo una chiara e aggiornata panoramica di tali attività permette di rispettare gli obblighi derivanti dal Regolamento. La presente considerazione vale anche per le piccole e medie imprese, laddove si verifichino le circostanze sopra menzionate.

Come suggerito dall’Autorità Garante Belga, tutti i soggetti responsabili a livello operativo per il trattamento dei dati personali dovrebbero essere coinvolti nella preparazione di tali registri. Pertanto, non solo il titolare del trattamento e il responsabile del trattamento, ma anche i loro rappresentanti, ove applicabile, e soprattutto il responsabile della protezione dei dati.

Si esortano le imprese ad inserire informazioni ulteriori nei registri, al di là dei requisiti obbligatori.
Le imprese devono assicurarsi che tali registri siano aggiornati, chiari, comprensibili, disponibili per iscritto e in formato elettronico, e che siano consultabili su prima richiesta dall’Autorità Garante.