istruzioni dell’autorità garante sulla tenuta del registro dei trattamenti, ai sensi dell’art. 30 del regolamento

istruzioni dell’autorità garante sulla tenuta del registro dei trattamenti, ai sensi dell’art. 30 del regolamento

Nei giorni scorsi l’Autorità Garante ha fornito utili chiarimenti in merito ai soggetti tenuti alla redazione del Registro delle attività di trattamento e sulle modalità della stessa.

L’art. 30 del Regolamento Europeo 679/2016 prevede che il titolare e, ove applicabile, il suo rappresentante conservino un registro delle attività di trattamento svolte sotto la propria responsabilità contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare.
La tenuta del registro è uno strumento utile per consentire la ricognizione dei trattamenti svolti all’interno dell’organizzazione aziendale, operazione indispensabile per ogni valutazione o analisi del rischio e, pertanto, preliminare rispetto a tali attività.
Il paragrafo n. 2 dell’art. 30 del Regolamento estende l’obbligo anche ai casi in cui vengano condotti i trattamenti in qualità di responsabile.
Pertanto, anche il responsabile deve tenere un registro in cui siano indicati i trattamenti svolti sia in qualità di titolare del trattamento, sia in qualità di responsabile. In quest’ultima ipotesi dovrà, in particolare, specificare i trattamenti per i quali è stato nominato responsabile, attenendosi alle istruzioni attribuitegli dal titolare, indicando le finalità per le quali acquisisce e tratta i dati degli interessati, il periodo di detenzione degli stessi, nonché le condizioni di liceità.

Entrambi i registri devono essere tenuti in forma scritta, anche in formato elettronico; essi devono essere messi a disposizione dell’Autorità di controllo, qualora questa ne richieda l’esibizione.

Ai sensi del par. 5 dell’art. 30 sono obbligati a tenere il registro:

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell'interessato;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’art. 9, par. 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’art. 10 GDPR.


L’Autorità Garante ha chiarito che rientrano nel novero delle “organizzazioni” obbligate alla tenuta dei registri, ai sensi dell’ art. 30, anche le associazioni, le fondazioni e i comitati.

Infine, l’Autorità ha fornito, a titolo esemplificativo, un elenco dei potenziali soggetti tenuti alla redazione del registro.

Sono tenuti all’obbligo di redazione del registro, ad esempio:

  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
  • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
  • il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).


Inoltre, ai sensi del Considerando n. 82 del GDPR, l’Autorità raccomanda la redazione del registro “a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”.

A presto, con ulteriori approfondimenti.