GDPR PRIVACY: Il registro delle attività di trattamento

Regolamento europeo privacy 2018 registro delle attività di trattamento

L’articolo 30 del Regolamento UE 2016/679 o GDPR (General Data Protection Regulation) apporta un’altra delle novità in materia di privacy ossia l’obbligo per il titolare a tenere un registro delle attività del trattamento dei dati personali.

Tale registro non deve essere considerato come una sorta di adempimento formale alla legge, bensì come uno strumento valido per attuare una gestione corretta del trattamento dei dati personali, anche in ottica di realizzazione del principio dell’accountability. E, in quest’ottica, il titolare di trattamento potrebbe articolare il registro anche in modo tale da inserire sia le informazioni espressamente previste dal legislatore, sia integrarle con ogni dato che possa consentirgli un perfetto allineamento con tutti i settori aziendali coinvolti, in grado di dargli una più ampia e organizzata valutazione di impatto dei trattamenti svolti.

In questo articolo approfondiremo i seguenti argomenti, per poter arrivare preparati all’appuntamento con la nuova legge sulla privacy:

Cosa deve riportare il registro delle attività di trattamento?

Secondo il Regolamento Europeo il registro deve contenere i seguenti dati:

  • il nome e i dati di contatto del titolare di trattamento e, dove previsto, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati
  • le finalità del trattamento
  • una descrizione delle categorie di interessati e delle categorie di dati personali
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali
  • i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, qualora siano effettuati
  • i termini ultimi previsti per la cancellazione delle diverse categorie di dati
  • se possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative

Il registro deve essere in forma scritta, anche elettronica e deve essere messo a disposizione dell’autorità di controllo, qualora ne venga fatta richiesta.

E’ consigliabile integrare le informazioni richieste dalla normativa con ulteriori dati, con il fine di rendere questo registro uno strumento operativo più completo per la gestione dei dati personali. Per questo, si potrebbero inserire anche informazioni come:

  • processi e/o macro-attività
  • base giuridica e modalità di raccolta del consenso (dati questi che possono essere utilissimi per la predisposizione dell’informativa da consegnare all’interessato)
  • referente interno e categorie di soggetti autorizzati al trattamento: in questo modo sarà semplice individuare chi ha i compiti esecutivi all’interno del modello di funzionamento del trattamento dei dati personali
  • responsabili esterni del trattamento, per individuare tutti i soggetti terzi che trattano dati personali per conto del titolare del trattamento e che dovranno essere nominati responsabili esterni, richiamando le tipologie di trattamento consentite
  • modalità di trattamento dei dati, per poter mappare con esattezza, attraverso l’elencazione dei soli applicativi utilizzati per il trattamento dei dati personali, le misure di sicurezza implementate/da implementare, nonché per poter condurre efficacemente la valutazione dei rischi.

Chi è obbligato a tenere il registro?

Anche se, come detto, sarebbe auspicabile che tutti i titolari di trattamento compilassero il registro, il regolamento ha previsto che siano esonerate da tenerlo le imprese e le organizzazioni con meno di 250 dipendenti, a meno che:

  • il trattamento che loro effettuano non presenti un rischio per i diritti e le libertà dell’interessato
  • il trattamento non sia occasionale
  • il trattamento non riguardi particolari categorie (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) o i dati personali relativi a condanne penali e a reati


 

Vuoi saperne di più?

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!