Mondo-Privacy-Blog-registro-trattamento-dati

Il registro del trattamento dei dati: cosa contiene e quando è necessario

28 Febbraio 2017

Il GDPR – Regolamento Europeo Privacy prevede, all’articolo 30, un importante strumento di compliance aziendale, in materia di dati personali: il registro delle attività di trattamento dei dati personali.

Tenuto anche in formato elettronico dal Titolare del trattamento dei dati, tale registro dei trattamenti  dovrà essere messo a disposizione del Garante Privacy qualora lo richieda, così come è previsto dal par. 4 dell’art. 30: “su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.”

Cosa deve contenere il registro del trattamento dati

  • Il nome e i dati di contatto del titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • Le finalità del trattamento;
  • La descrizione delle categorie di interessati e delle categorie di dati personali;
  • Le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi;
  • Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
  • I termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • Una descrizione generale delle misure di sicurezza tecniche e organizzative.

Questo registro dei trattamenti rappresenta dunque una delle novità e, al tempo stesso, uno degli adempimenti più importanti concernenti le attività di trattamento.

Così, al titolare del trattamento è imposto l’obbligo di documentazione della conformità della propria organizzazione alle prescrizioni della legge; quest’obbligo grava anche sul responsabile, per i trattamenti che questi svolga per conto di un titolare.

Chi deve dotarsi di questo strumento

L’obbligo di redazione e adozione del registro dei trattamenti non è generale: infatti il par. 5 dell’art. 30 specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”

Inoltre, non bisogna ritenere che l’adozione del registro sia un mero obbligo, infatti la sua redazione potrebbe avere anche scopi ulteriori:

  • Diffondere informazione, consapevolezza e condivisione interna;
  • Costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati.

Leggi la nostra pagina di approfondimento sul registro dei trattamenti

 

 

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci