Il Registro dei trattamenti è il registro di tutte le attività di trattamento dei dati personali.
Previsto dal Regolamento UE 2016/679, il registro dovrà essere messo a disposizione dell’Autorità Garante Privacy nel caso in cui lo richieda, come è previsto dal par. 4 dell’art. 30:
su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.
L’onere della tenuta del Registro dei trattamenti è a carico del titolare del trattamento e, nel caso ci fosse, del responsabile del trattamento.
Il Registro deve essere tenuto in forma scritta ed in formato elettronico, e deve essere esibito all’autorità di controllo (Garante) in caso di verifiche.
Il Registro dei trattamenti consente di avere un quadro aggiornato di tutti i trattamenti in essere nell’azienda per poter effettuare così in maniera più rapida la valutazione e l’analisi dei rischi di tali trattamenti.
Chi deve tenere il Registro dei trattamenti
La tenuta del Registro dei trattamenti secondo quanto indicato dal par. 5 dell’art. 30 non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”
La tenuta del Registro dei trattamenti è comunque consigliabile anche per le aziende con meno di 250 dipendenti.
Il Registro consente di tenere traccia di tutte le operazioni di trattamento che sono effettuate all’interno di una determinata azienda e allo stesso tempo di dimostrare di aver adempiuto alle prescrizioni del regolamento.
Non bisogna quindi ritenere che l’adozione del Registro dei trattamenti sia solo un obbligo, ma bisogna considerare che la sua redazione aiuti a:
- diffondere informazioni, consapevolezza e condivisione all’interno dell’azienda;
- costituire la pianificazione ed il controllo della sicurezza di dati.
L’art. 30 prevede una serie di elementi che devono essere contenuti obbligatoriamente nel Registro.
Oltre a questi requisiti si possono inserire altri dati facoltativi ( utili per opportune la valutazione di impatto dei trattamenti svolti) quali ad esempio la base giuridica del trattamento, ossia il fondamento sulla base del quale il titolare del trattamento effettua operazione di trattamento di dati personali.
Cosa deve contenere il Registro dei trattamenti
Nel Registro dei trattamenti devono essere indicati:
- il nome ed i dati di contatto del titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO);
- le finalità del trattamento dei dati;
- la descrizione delle categorie di interessati e delle categorie dei dati personali;
- le categorie dei destinatari a cui i dati personali sono stati comunicati o lo saranno in futuro, compresi i destinatari di paesi terzi;
- i trasferimenti di dati personali verso paesi terzi e la loro identificazione (se ci sono);
- i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- una descrizione generale delle misure di sicurezza adottate.
Seguici per ricevere altre informazioni sul GDPR.
Non farti trovare impreparato…contattaci per saperne di più!
