Privacy

La nuova Privacy: i registri delle attività di trattamento

Cosa devono contenere e come devo essere tenuti tali registri

Subito si precisa che l’art. 30 del Regolamento Europeo n. 2016/679 (GDPR) prevede due tipologie di registri, distinti in riferimento ai due soggetti responsabili (Titolare del trattamento e Responsabile del trattamento).

Quindi i registri sono:

  1. il registro del titolare del trattamento (art. 30, par. 1, GDPR);

  2. il registro del responsabile del trattamento (art. 30, par. 2 GDPR).

*****

Le caratteristiche generali di tali 2 registri

  • Tali registri devono essere tenuti in forma scritta, anche in formato elettronico (art. 30, par. 3, GDPR).

  • Non devono essere trasmessi all’autorità di controllo (Garante della Privacy), ma devono essere messi a disposizione di eventuali controlli da parte del Garante (art. 30, par. 4, GDPR).

  • Sono obbligatori per le imprese o organizzazioni con più di 250 dipendenti, oppure con meno di 250 dipendenti, ma i dati trattati devono avere in s è il rischio per i diritti e le libertà dell’interessato. Sono obbligatori tali registri se il trattamento dei dati personali includa le categorie particolari indicate nell’art. 9, par. 1, del GDPR o se i dati personali sono relativi a condanne penali ed a reati di cui all’articolo 10 (art. 30, par. 5, GDPR).

    *****

Le caratteristiche specifiche di tali 2 registri

Il registro del titolare del trattamento (art. 30, par. 1, GDPR)

Tale registro deve contenere tutte queste informazioni:

a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

*****

Il registro del responsabile del trattamento (art. 30, par. 2, GDPR)

Tale registro deve contenere tutte queste informazioni:

a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

*****

Raccomandazioni del Garante della Privacy

Il Garante della Privacy, in riferimento all’obbligatorietà della tenuta di tali 2 scritture, precisa che la tenuta di tali registri è parte integrante di tale sistema di tutela della Privacy. Quindi è opportuno, per tutti i titolari i titolari e responsabili di trattamento, di tenere tali registri e di aggiornarli continuamente.

Precisamente:

La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta. I contenuti del registro sono fissati, come detto, nell’art. 30; tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti. (per vedere il testo completo clicca qui)”.

Back to top button