Privacy

La nuova Privacy: i registri delle attività di trattamento

Cosa devono contenere e come devo essere tenuti tali registri

Subito si precisa che l’art. 30 del Regolamento Europeo n. 2016/679 (GDPR) prevede due tipologie di registri, distinti in riferimento ai due soggetti responsabili (Titolare del trattamento e Responsabile del trattamento).

Quindi i registri sono:

  1. il registro del titolare del trattamento (art. 30, par. 1, GDPR);

  2. il registro del responsabile del trattamento (art. 30, par. 2 GDPR).

*****

Le caratteristiche generali di tali 2 registri

  • Tali registri devono essere tenuti in forma scritta, anche in formato elettronico (art. 30, par. 3, GDPR).

  • Non devono essere trasmessi all’autorità di controllo (Garante della Privacy), ma devono essere messi a disposizione di eventuali controlli da parte del Garante (art. 30, par. 4, GDPR).

  • Sono obbligatori per le imprese o organizzazioni con più di 250 dipendenti, oppure con meno di 250 dipendenti, ma i dati trattati devono avere in s è il rischio per i diritti e le libertà dell’interessato. Sono obbligatori tali registri se il trattamento dei dati personali includa le categorie particolari indicate nell’art. 9, par. 1, del GDPR o se i dati personali sono relativi a condanne penali ed a reati di cui all’articolo 10 (art. 30, par. 5, GDPR).

    *****

Le caratteristiche specifiche di tali 2 registri

Il registro del titolare del trattamento (art. 30, par. 1, GDPR)

Tale registro deve contenere tutte queste informazioni:

a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

*****

Il registro del responsabile del trattamento (art. 30, par. 2, GDPR)

Tale registro deve contenere tutte queste informazioni:

a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

*****

Raccomandazioni del Garante della Privacy

Il Garante della Privacy, in riferimento all’obbligatorietà della tenuta di tali 2 scritture, precisa che la tenuta di tali registri è parte integrante di tale sistema di tutela della Privacy. Quindi è opportuno, per tutti i titolari i titolari e responsabili di trattamento, di tenere tali registri e di aggiornarli continuamente.

Precisamente:

La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta. I contenuti del registro sono fissati, come detto, nell’art. 30; tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti. (per vedere il testo completo clicca qui)”.

Tags