L’art. 30 prevede che ogni titolare del trattamento, e in caso applicabile, il suo rappresentante (che gestisca un trattamento con almeno 250 dipendenti o che, anche al di sotto di tale soglia dimensionale, effettui un trattamento che possa presentare un rischio per i diritti e le libertà degli interessati che non sia occasionale o che includa dati sensibili, genetici, biometrici, giudiziari) è obbligato a tenere un registro delle attività di trattamento svolte sotto la propria responsabilità (Capo IV, art. 30).
Registro delle attività di trattamento cosa contiene?
a) il nome e i dati di contatto del titolare del trattamento e di ogni contitolare del trattamento, del rappresentante del titolare del trattamento e dell'eventuale responsabile della protezione dei dati.
b) le finalità del trattamento.
c) una descrizione delle categorie di interessati e delle categorie di dati personali.
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi.
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate.
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati.
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
Registro attività trattamento per conto del titolare
Il secondo comma del medesimo articolo, prevede anche che ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:
a) nome e dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e dell'eventuale responsabile della protezione dei dati.
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento.
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate.
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative.
Su richiesta, il titolare del trattamento o il responsabile del trattamento e l’eventuale rappresentante del titolare del trattamento o del responsabile del trattamento, mettono il registro a disposizione dell’autorità di controllo.
LEGGI ANCHE: Il GDPR, solamente un costo per le aziende o vera utilità?
Registro attività di trattamento dati per meno di 250 dipendenti
L’articolo 30, però, non prevede un obbligo generale, ma stabilisce che l’obbligo di tenuta di questi registri non si applica alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati come quelli di cui all’art. 9 del GDPR (dati particolari) o all’art. 10 del GDPR (dati relativi a condanne penali, reato o connessi a misure di sicurezza.
Tuttavia, proprio nel rispetto di quel principio di accountability, e al fine di monitorare tutti i trattamenti della realtà organizzativa di riferimento, l’Autorità Garante ha consigliato a tutti gli enti pubblici di predisporre un registro delle attività di trattamento, a prescindere dagli obblighi normativi, anche al fine di facilitare la stessa attività ispettiva dell’Autorità.
Per quanto riguarda le modalità di compilazione, lo stesso art. 30 del GDPR prevede che il registro debba rispettare la forma scritta anche in formato elettronico; anche se più che la forma, è necessario che il registro contenga tutti gli elementi richiesti dall’art. 30 del Regolamento.
