Elemento centrale della nuova disciplina del trattamento dei dati personali, introdotta con il GDPR – REG. UE 2016/679, è certamente il registro dei trattamenti, un documento di autoanalisi che, se compilato con attenzione, permette di sapere precisamente quali dati vengono trattati e come questi vengono, e devono essere, protetti.
Non solo. Compilare bene il registro dei trattamenti significa, per il Titolare, avere una guida già pronta per la redazione delle Informative Privacy ai sensi degli articoli 13 e 14, GDPR.

L’articolo 30 del GDPR prevede, in capo ad ogni Titolare del trattamento e ad ogni Responsabile del trattamento, la tenuta di un registro delle attività di trattamento svolte sotto la propria responsabilità.
Tale registro deve contenere, come minimo:
• nome (o denominazione) del Titolare e suoi dati di contatto, nome (o denominazione) e dati di contatto del rappresentante del Titolare e, ove nominato, del Responsabile della Protezione dei Dati (DPO, Data Protection Officer);
• le finalità dei trattamenti;
• una descrizione delle categorie degli Interessati e delle categorie di dati personali (solo comuni o anche Particolari e Giudiziari);
• le categorie dei destinatari cui i dati verranno comunicati, compresi i destinatari collocati in Paesi terzi (rispetto all’UE) o le organizzazioni internazionali;
• l’eventuale trasferimento dei dati verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione;
• se possibile, i termini ultimi per la cancellazione delle diverse categorie di dati;
• ove possibile, una generale descrizione delle misure di sicurezza tecniche e organizzative adottate secondo l’articolo 32, GDPR

I soggetti obbligati alla tenuta del registro sono:
• aziende con almeno 250 dipendenti; tuttavia, sono obbligate anche le imprese o organizzazioni con meno di 250 dipendenti qualora si tratti di:
• aziende che effettuino trattamenti che possono presentare un rischio per i diritti e le libertà dell’interessato;
• aziende che effettuino trattamenti non occasionali e che effettuino profilazione;
• aziende che richiedano particolari tipologie di dati (sulla salute, giudiziari ecc., descritti nell’art. 9 del GDPR).

Sebbene dalla lettura dell’art. 30 del GDPR l’amministratore di condominio, e il condominio stesso, sembrerebbe essere escluso dalla tenuta del registro, il Garante Privacy italiano è intervenuto indicando i soggetti che sono comunque obbligati alla tenuta del registro e tra questi troviamo:
• qualsiasi tipo di attività ed esercizi commerciali (bar, ristoranti, officine, negozi ecc.) con almeno 1 dipendente: in questo caso infatti, secondo il Garante, viene fatto un trattamento non occasionale;
• qualsiasi tipo di attività ed esercizi commerciali che trattino dati sensibili dei clienti (parrucchieri, ottici, tatuatori ecc.);
• liberi professionisti che trattino categorie particolari di dati (commercialisti, avvocati, fisioterapisti, notai ecc.);
• associazioni che trattino dati particolari, come dati sulla salute, giudiziari, sull’orientamento politico ecc.;
• tutti i condomini che richiedano dati sensibili (per esempio in caso di delibere per abbattimento delle barriere architettoniche ai sensi della Legge n. 13/1989, richieste di risarcimento danni per spese mediche in caso di sinistri).

L’amministratore di condominio è quindi tenuto a redigere il registro dei trattamenti qualora:
• tratti sinistri con lesioni a persone;
• vi siamo delibere relative all’abbattimento di barriere architettoniche;
• amministri almeno due condomini;
• abbia almeno un dipendente, sia che si tratti dell’ufficio dell’amministratore stesso o sia che si tratti di dipendente del condominio (per esempio, il portiere);
• svolga l’attività in forma societaria.

Il registro dei trattamenti deve essere tenuto in forma scritta, in formato cartaceo o elettronico.
L’amministratore di condominio dovrà quindi tenere due registri dei trattamenti, uno relativo ai trattamenti che egli svolge in qualità di Titolare del trattamento, come datore di lavoro in relazione alla sua attività professionale e ai suoi dipendenti o o fornitori, ed uno per i trattamenti eseguiti come Responsabile del trattamento, in qualità di amministratore dei condomini che gestisce.

Il registro dei trattamenti non deve essere solo predisposto una tantum, ma deve essere sempre aggiornato in relazione ai nuovi trattamenti di dati che l’amministratore effettua.

La mancata tenuta del registro dei trattamenti determina, a carico dell’amministratore di condominio, sanzioni amministrative pecuniarie importanti.

A cura di: Dott. Marco Massavelli – Consulente e Formatore Privacy

Lascia un commento Annulla risposta

Devi essere connesso per inviare un commento.