Registro delle attività di trattamento


Con il nuovo Regolamento Europeo in materia di protezione dei dati personali sono stati delineati una serie di adempimenti e obblighi a carico del Titolare del Trattamento, come il registro attività di trattamento

Tempo di lettura: 5 minuti



L’art. 30 prevede che ogni titolare del trattamento, e in caso applicabile, il suo rappresentante (che gestisca un trattamento con almeno 250 dipendenti o che, anche al di sotto di tale soglia dimensionale, effettui un trattamento che possa presentare un rischio per i diritti e le libertà degli interessati che non sia occasionale o che includa dati sensibili, genetici, biometrici, giudiziari) è obbligato a tenere un registro delle attività di trattamento svolte sotto la propria responsabilità (Capo IV, art. 30).

Registro delle attività di trattamento cosa contiene?

Registro delle attività di trattamento cosa contiene?

a) il nome e i dati di contatto del titolare del trattamento e di ogni contitolare del trattamento, del rappresentante del titolare del trattamento e dell'eventuale responsabile della protezione dei dati.

b) le finalità del trattamento.

c) una descrizione delle categorie di interessati e delle categorie di dati personali.

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi.

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate.

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati.

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

Registro attività trattamento per conto del titolare

Il secondo comma del medesimo articolo, prevede anche che ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:

a) nome e dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e dell'eventuale responsabile della protezione dei dati.

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento.

c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate.

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative.

Su richiesta, il titolare del trattamento o il responsabile del trattamento e l’eventuale rappresentante del titolare del trattamento o del responsabile del trattamento, mettono il registro a disposizione dell’autorità di controllo.

LEGGI ANCHE: Il GDPR, solamente un costo per le aziende o vera utilità?

Registro attività di trattamento dati per meno di 250 dipendenti

L’articolo 30, però, non prevede un obbligo generale, ma stabilisce che l’obbligo di tenuta di questi registri non si applica alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati come quelli di cui all’art. 9 del GDPR (dati particolari) o all’art. 10 del GDPR (dati relativi a condanne penali, reato o connessi a misure di sicurezza.

Tuttavia, proprio nel rispetto di quel principio di accountability, e al fine di monitorare tutti i trattamenti della realtà organizzativa di riferimento, l’Autorità Garante ha consigliato a tutti gli enti pubblici di predisporre un registro delle attività di trattamento, a prescindere dagli obblighi normativi, anche al fine di facilitare la stessa attività ispettiva dell’Autorità.

Per quanto riguarda le modalità di compilazione, lo stesso art. 30 del GDPR prevede che il registro debba rispettare la forma scritta anche in formato elettronico; anche se più che la forma, è necessario che il registro contenga tutti gli elementi richiesti dall’art. 30 del Regolamento.

Clicca su Mi piace!


Categoria

Privacy

ARTICOLI CONSIGLIATI


Scopri nel video come gestire al meglio il tuo studio legale

La registrazione è stata effettuata, a breve verrà verificata dallo staff.

Riceverai l'email di accesso da cui potrai scaricare LEGALDESK.

Ora verrai rediretto alla home page.