Il registro dei trattamenti è un documento che descrive tutte le operazioni effettuate sui dati personali da parte del titolare e, se presente, del responsabile del trattamento.
- Il titolare del trattamento è il soggetto che decide finalità e modalità del trattamento dei dati. Nel caso di un sito web (sia vetrina che e-commerce), il titolare coincide con il proprietario del sito.
- Il responsabile del trattamento è il soggetto che gestisce i dati per conto del titolare, come ad esempio una web agency. La stessa web agency, però, può essere anche titolare per i dati interni (es. dei propri dipendenti).
Il registro deve essere redatto per iscritto, anche in formato elettronico, e deve essere esibibile su richiesta del Garante.
Sono obbligati a possedere il registro:
- le aziende con almeno 250 dipendenti;
- chi effettua trattamenti che comportano rischi per i diritti e le libertà delle persone;
- chi svolge trattamenti non occasionali.
Un sito web attivo o una web agency che gestisce clienti rientrano quasi sempre in quest’ultimo caso: trattano dati in modo continuativo e devono quindi avere il registro sempre aggiornato.
Contenuti minimi del registro
Il documento deve riportare almeno:
- Finalità del trattamento: esecuzione di contratti, adempimenti fiscali, assistenza clienti, difesa in giudizio.
- Base giuridica: consenso (es. iscrizione a newsletter), contratto (ordine online), obbligo di legge (fatturazione), legittimo interesse (gestione richieste utenti).
- Categorie di interessati e dati: utenti, clienti, dipendenti; dati anagrafici, indirizzi, email, codice fiscale.
- Categorie di destinatari: spedizionieri, commercialisti, web agency, autorità pubbliche.
- Eventuali trasferimenti verso paesi terzi: ad esempio utilizzo di server negli Stati Uniti.
- Misure di sicurezza: possono essere descritte sinteticamente o con rinvio a policy e procedure interne.
Quanti registri deve avere una web agency
Una web agency, in qualità di responsabile del trattamento, deve predisporre una sezione per ciascun cliente titolare.
Se i clienti sono numerosi, è possibile rinviare a schede o banche dati anagrafiche, purché siano complete e costantemente aggiornate.
Modelli, aggiornamenti e buone pratiche
Il Garante Privacy mette a disposizione modelli semplificati, distinti per titolari e responsabili del trattamento. Possono essere usati come traccia, ma vanno sempre adattati alla realtà specifica, meglio se con il supporto di un consulente.
Il registro deve essere aggiornato ogni volta che cambiano i trattamenti. È buona prassi:
- conservare le versioni precedenti;
- verificare e aggiornare il registro almeno una volta all’anno;
- affidarsi, quando possibile, a un professionista per una revisione accurata.