La compilazione del Registro del Titolare del trattamento
Parte II
Come si è potuto approfondire nell’articolo relativo alla tipologia dei Registri che Titolare e Responsabile del trattamento devono redigere come necessari adempimenti imposti dal Regolamento 679/16.
Con riferimento alle voci richieste da inserire con minuziosa attenzione e concreta corrispondenza rispetto alla realtà organizzativa e aziendale cui si riferisce, è bene analizzare l’art 30 del GDPR, il quale, con riferimento ai contenuti, prevede, nello specifico le seguenti voci.
1) “finalità del trattamento”: il richiamo è al perché il Titolare richiede determinati dati personali e quest’ultimo dovrà specificarlo, caso per caso, in base alla tipologia di scopo per il quale richiede quei determinati dati personali. Le finalità devono essere distinte per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto degli utenti in caso di servizio di newsletter.
Naturalmente, ad ogni finalità si deve correlare la relativa base giuridica dello stesso.
E qui il richiamo è senz’altro all’art art. 6 del GDPR ossia, nello specifico:
- l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità
- il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
- il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
- il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
Oltre alla base giuridica, è importante correlare per ciascuna la tipologia dei dati personali oggetto di trattamento: dati identificativi, di contatto, contabili/finanziari, dati di natura particolare e dati giudiziari.
Si ricorda inoltre, in caso di trattamenti di “categorie particolari di dati”, di dover indicare in quali ipotesi si ricade rispetto a quelle previste dall’art. 9, par.2.
Ancora più importante è sottolineare che in caso di trattamenti di dati relativi a condanne penali e reati, il Titolare del Trattamento dovrà riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento come prescrive l’art. 10 del RGPD.
Proseguendo nella compilazione, si dovranno menzionare le categorie di interessati e delle categorie di dati personali” specificando in tale senso, tutti quei soggetti a cui i dati sono stati o saranno comunicati, riportati, anche semplicemente per categoria di appartenenza (es. enti previdenziali, istituti bancari e assicurativi, Agenzia delle Entrate, Studi professionali, Autorità pubbliche, Forze dell’Ordine)
Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali.
Ancora, si dovrà dare contezza dell’eventuale presenza di eventuali “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del GDPR (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.).
Senza considerare l’importanza di tale specificazione alla luce dell’abolizione del cd. “Privacy shield” a seguito della sentenza del 16 luglio 2020 nella causa C-311/18 tra il Data Protection Commissioner/Maximilian Schrems e Facebook Ireland, con la quale la Corte di Giustizia dell’Unione Europea (CGUE) ha dichiarato il Privacy Shield UE-US incompatibile con il GDPR e, quindi, non più valido.
Sezione di fondamentale importanza è poi quella relativa all’indicazione dei tempi di conservazione dei dati personali, dovendo indicare i “termini ultimi previsti per la cancellazione delle diverse categorie di dati” e i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”).
Qualora non si possa determinare in maniera precisa i tempi di conservazione, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”).