L’art. 30 del Regolamento EU n. 679/2016 impone al titolare e al responsabile del trattamento la tenuta del registro delle attività di trattamento, uno dei principali elementi di accountability del titolare, in quanto «strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività».

Nello specifico. Le FAQ precisano che il registro deve essere tenuto in forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Nel settore privato, sono obbligati a tenere il registro «le imprese o organizzazioni con almeno 250 dipendenti; qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato; qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali; qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD». Per citare qualche esempio, sono tenuti alla redazione del registro gli esercizi commerciali con almeno un dipendente che trattino dati sanitari dei clienti, come parrucchieri, estetisti, ottici, odontotecnici, liberi professionisti con almeno un dipendente che trattano dati sanitari o relativi a condanne penali, come avvocati, commercialisti, notai, medici, ma anche il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche).