Registro dei Trattamenti e base giuridica: l’accountability

Il Registro delle attività di Trattamento (o più semplicemente il “Registro dei Trattamenti”) è uno strumento fondamentale – in ottica accountability – per le imprese e le pubbliche amministrazioni che effettuano trattamenti di dati personali in virtù delle attività che svolgono e in conformità alle disposizioni contenute nel Regolamento (UE) 2016/679 (Regolamento Generale sulla Protezione dei Dati – RGPD). Più specificatamente, esso contiene le informazioni principali sui trattamenti dei dati personali effettuati dal Titolare, tra cui le finalità del trattamento, le categorie di dati personali trattati, i destinatari dei dati, i termini di conservazione dei dati e le misure di sicurezza tecniche e organizzative implementate per proteggere i dati personali, nonché gli eventuali trasferimenti di questi ultimi fuori dallo Spazio Economico Europeo.

Registro dei trattamenti e accountability

Il Registro dei Trattamenti è stato introdotto Regolamento (UE) 2016/679 per migliorare la trasparenza e l’accountability del titolare del trattamento, in modo che possa documentare e tenere traccia dei trattamenti dei dati personali effettuati nell’ambito della propria attività. Questo documento è un elemento fondamentale in tal senso, poiché permette di dare atto dei trattamenti eseguiti e delle loro caratteristiche, di prendere coscienza delle loro eventuali modifiche, potendone individuare le differenze e i conseguenti impatti. Pertanto, è necessario che tale Registro sia mantenuto aggiornato regolarmente e reso disponibile all’Autorità Garante per la Protezione dei Dati, in caso di eventuale controllo, in quanto permette di fornire alla già menzionata Autorità una “fotografia” sui trattamenti posti in essere.

La base giuridica, non obbligatoria ma consigliata

Come si può notare, tra gli elementi che non è obbligatorio inserire o comunque documentare nel Registro c’è la base giuridica del trattamento, infatti, l’art. 30 del Regolamento non prevede che tale informazione sia inserita in questo documento. Tuttavia, essa risulta essere molto utile ai fini dell’accountability, in quanto i dati personali possono essere oggetto di trattamento solo se sussiste una base giuridica che ne permetta il loro impiego. Le basi giuridiche sono le ragioni legali che giustificano il trattamento dei dati personali. Esse sono previste dall’art. 6 Regolamento (UE) 2016/679 e tra le principali citiamo il consenso dell’interessato, l’esecuzione di un contratto, l’adempimento di un obbligo legale o l’interesse legittimo del Titolare.

Indicare le basi giuridiche nel Registro dei Trattamenti consente all’organizzazione di giustificare il trattamento dei dati personali e ciò è molto importante perché, in caso di loro assenza, esso può essere considerato illecito e di conseguenza il Titolare può essere soggetto a sanzioni.

Inoltre, indicare le basi giuridiche nel Registro dei Trattamenti consente anche di valutare la liceità del trattamento effettuato in modo rapido ed efficiente. Ciò è particolarmente utile nel caso in cui il Titolare debba rispondere ad un’istanza presentata da un interessato ai sensi degli artt. 15 ss. del Regolamento (UE) 2016/679.

L’opinione dell’Autorità Garante

Non a caso, l’Autorità Garante per la Protezione dei Dati Personali nelle FAQ sul Registro dei Trattamenti presenti sul proprio siti web ha messo in evidenza che “nel campo ‘finalità del trattamento’ oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento, sarebbe opportuno indicare anche la base giuridica dello stesso (v. art. 6 del RGPD)” e per i trattamenti che hanno come base giuridica il legittimo interesse (art.6 comma 1 lett. f) “si rappresenta che il registro potrebbe riportare la descrizione del legittimo interesse concretamente perseguito, le ‘garanzie adeguate’ eventualmente approntate, nonché, ove effettuata, la preventiva valutazione d’impatto posta in essere dal titolare”, nonché “in caso di trattamenti di ‘categorie particolari di dati’, indicare una delle condizioni di cui all’art. 9, par. 2 del RGPD” e nel caso in cui venissero effettuati trattamenti di dati relativi a condanne penali e reati è necessario “riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del RGPD”.

In conclusione, indicare le basi giuridiche del trattamento dei dati personali nel Registro dei Trattamenti è un passo essenziale per migliorare l’accountability del Titolare e dimostrare la conformità alla normativa sulla protezione dei dati. Ciò consente alle organizzazioni di proteggere i dati personali degli interessati, di evitare sanzioni e di tutelare anche la propria brand reputation.