Privacy: il registro delle attività di trattamento è l’evoluzione del DPS

L’art. 30 del Regolamento UE 2016/679 (Regolamento Generale sulla protezione dei dati – General Data Protection Regulation, GDPR) prescrive ai Titolari e ai Responsabili del trattamento la tenuta di un “registro delle attività di trattamento” svolte sotto la propria responsabilità.

L’obbligo del Registro non si applica alle imprese od organizzazioni con meno di 250 dipendenti, ad eccezione dei casi in cui il trattamento:

  1. possa presentare un rischio per i diritti e le libertà dell’interessato;
  2. il trattamento a rischio non sia occasionale;
  3. riguardi categorie particolari di dati personali o dati personali relativi a condanne penali e a reati.

Al titolare del trattamento dei dati è imposto l’obbligo di documentazione della conformità della propria organizzazione alle prescrizioni della legge. L’obbligo grava anche sul responsabile, per i trattamenti che questi svolga per conto di un titolare.

Il registro è uno degli adempimenti più importanti concernenti le attività di trattamento dei dati.

L’adozione del registro non è solo un obbligo e la sua redazione può avere altri scopi quali diffondere l’informazione, la consapevolezza e la condivisione interna e essere uno strumento di pianificazione e controllo della politica della sicurezza di dati e delle banche di dati.

Tenuto anche in formato elettronico dal Titolare del trattamento dei dati, tale registro dovrà essere messo a disposizione dell’Autorità Garante qualora lo richieda, così come è previsto dal par. 4 dell’art. 30:

Il registro del trattamento dati dovrà contenere:

  • Il nome e i dati di contatto del titolare del trattamento e, quando presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • Le finalità del trattamento dei dati personali;
  • La descrizione delle categorie di interessati e delle categorie di dati personali;
  • Le categorie di destinatari a cui i dati personali sono stati comunicati o verranno comunicati, compresi i destinatari di paesi terzi;
  • L’identificazione dei trasferimenti dei dati personali verso paesi terzi quando presenti;
  • I termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • Una descrizione generale delle misure di sicurezza tecniche e organizzative.

In sintesi:

Si tratta di un adempimento formale che sostituisce, nell’ordinamento italiano, l’obbligo di notificare il trattamento all’autorità garante;
È funzionale alla definizione delle misure di sicurezza dei trattamenti per la valutazione di impatto privacy;
Deve essere compilato un registro dei trattamenti specifico per le attività come Titolare e uno per le attività come Responsabile;
L’obbligo del registro NON si applica per:
• le imprese o organizzazioni con meno di 250 dipendenti
• trattamento occasionale
• trattamento di dati non sensibili o relativi a condanne penali e Reati
I registri, da tenere in forma scritta, anche in formato elettronico, devono essere messi a disposizione dell’autorità garante per ispezioni e controlli.   

Vuoi maggiori informazioni?