Con comunicato dell'8 ottobre 2018, il Garante della privacy rende note le istruzioni per la tenuta e per la compilazione del registro delle attività di trattamento. previsto dal Regolamento (EU) n. 679/2016 (RGPD). Il registro è un documento, da predisporre in forma scritta, anche elettronica, che contiene le principali informazioni relative alle operazioni di trattamento svolte da imprese, associazioni, liberi professionisti; lo stesso deve essere costantemente aggiornato a tutela dell'effettività dei trattamenti dei dati posti in essere.

Il registro delle attività di trattamento è obbligatorio per:

- le imprese o organizzazioni con almeno 250 dipendenti;

- qualunque titolare o responsabile che effettui trattamenti che possano presentare un rischio per i diritti e le libertà dell'interessato;

- qualunque titolare o responsabile che effettui trattamenti non occasionali;

- qualunque titolare o responsabile che effettui trattamenti delle categorie particolari di dati di cui all'art. 9, par. 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all'art. 10 RGPD.

Di conseguenza, devono istituire il registro:

- gli esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);

- i liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

- le associazioni, fondazioni e comitati ove trattino categorie particolari di dati e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. vulnerabili quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull'orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);

- il condominio ove tratti categorie particolari di dati (es. delibere per interventi volti al superamento e all'abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all'interno dei locali condominiali).

Il Garante raccomanda inoltre la redazione del Registro a tutti i titolari e responsabili del trattamento.

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare e in quello del responsabile. In particolare:

- nel campo finalità del trattamento è utile indicare la base giuridica di ciascun trattamento insieme al legittimo interesse concretamente perseguito;

- nel campo descrizione delle categorie di interessati e delle categorie di dati personali, le tipologie di interessati, i dati personali oggetto di trattamento;

- nel campo categorie di destinatari a cui i dati sono stati o saranno comunicati gli altri titolari cui siano comunicati i dati e gli eventuali altri soggetti ai quali siano trasmessi i dati da parte del titolare;

- nel campo trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, l'informazione relativa ai suddetti trasferimenti unitamente all'indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle garanzie adottate;

- nel campo termini ultimi previsti per la cancellazione delle diverse categorie di dati, i tempi di cancellazione per tipologia e finalità di trattamento o il relativo criterio di riferimento;

- nel campo descrizione generale delle misure di sicurezza andranno indicate le misure tecnico-organizzative adottate dal titolare.

Il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all'effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

Esso deve contenere, in maniera verificabile, la data della sua prima istituzione e quella dell'ultimo aggiornamento.

Il responsabile del trattamento tiene un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare.

Nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti titolari, le informazioni di cui all'art. 30, par. 2 del RGPD dovranno essere riportate nel registro con riferimento a ciascuno dei suddetti titolari. In questi casi il responsabile dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce.