Chi deve procedere alla tenuta del registro delle operazioni di trattamento?

La maggior parte delle organizzazioni dovrà documentare le proprie attività di trattamento.
Sia i titolari che i responsabili hanno propri e specifici obblighi di documentazione, anche se la documentazione in capo ai titolari del trattamento ha un contenuto più esteso rispetto a quella richiesta ai responsabili. Nello specifico l’obbligo di tenuta della documentazione spetta alle organizzazioni con 250 o più dipendenti (art. 30 punto 5 GDPR).
Se si tratta di imprese di dimensioni medio piccole con un numero di dipendenti inferiore a 250, il GDPR prevede un'esenzione limitata, stabilendo che tali organizzazioni devono documentare i trattamenti se le attività di trattamento di dati personali:

• sono suscettibili di comportare un rischio per i diritti e le libertà delle persone (ad esempio, qualcosa che potrebbe influenzare negativamente le persone); 
• non sono occasionali o
• coinvolgono categorie di dati particolari o dati relativi a condanne penali o dati giudiziari (come definiti dagli articoli 9 e 10 del GDPR).

Il nostro Garante potrebbe individuare dei casi specifici in cui non è necessario tenere il registro.

Facciamo un ESEMPIO:

Una scuola di formazione con 50 dipendenti. La scuola, sebbene abbia meno di 250 dipendenti, tratta dati relativi ai clienti cui vende i corsi di formazione, dati personali relativi alle risorse umane, ad eventuali reclami, in maniera non occasionale. La scuola è tenuta a redigere un registro di questi trattamenti.
La scuola effettua anche dei sondaggi per verificare il gradimento dei docenti da parte degli allievi e sulla base dei risultati ottenuti offre dei benefit ai suoi collaboratori che hanno raggiunto punteggi specifici, anche questa attività deve essere documentata per iscritto nel registro delle attività di trattamento.

Anche se si ritenesse di non rientrare nell’obbligo, la redazione e la tenuta dei registri resta comunque un’ottima pratica, in quanto supporta titolari e responsabili ad avere un quadro generale di riferimento, al fine di adempiere a tutti gli altri obblighi previsti dal GDPR. Ad ogni modo, è bene ricordare che il Gruppo di lavoro articolo 29 (WP29) sta attualmente valutando il campo di applicazione dell'esenzione dalla documentazione delle attività di trattamento per le PMI.

Molte organizzazioni sono soggette alla tenuta di documenti e registri per soddisfare altri obblighi normativi, al di là delle norme sulla privacy, pertanto esse potrebbero già disporre di una documentazione o di prassi operative che hanno a che fare con la governance dei dati;
la documentazione già disponibile in azienda potrebbe anche soddisfare i requisiti di tenuta dei registri in base al GDPR; il GDPR infatti non vieta di armonizzare e includere la documentazione delle attività di trattamento con procedure di tenuta e conservazione dei dati già esistenti in azienda.
Ad ogni modo, si dovrebbe verificare che quanto già presente nell’organizzazione soddisfi i requisiti di cui all’art. 30 e se necessario adeguare a ciò la struttura di governance dei dati di cui si dispone.