Registro dei trattamenti dei dati personali

Cos’è il Registro dei Trattamenti dei Dati Personali

Il Registro dei Trattamenti dei Dati Personali è una delle novità, adempimenti, introdottedal GDPR. È il documento che i titolari dei dati personali trattati redigono, ed attraverso il quale devono espongono chiaramente tutte le informazioni relative alla gestione dei trattamenti stessi.
Il registro può essere creato in forma scritta o elettronica e al suo interno dovranno essere riportati i dettagli delle attività svolte in merito ai dati personali. Ad esempio dovranno essere indicate le modalità e gli scopi del trattamento, le categorie di dati trattati, le misure di sicurezza adottate. Deve essere sempre aggiornato e sottoposto a revisione per tenere traccia di ogni eventuale nuovo trattamento dei dati o di modifiche a quelli esistenti.
L’obbligatorietà della redazione del registro è indicata chiaramente negli ARTT. 30, 9 e 10 del regolamento. Dall’attenta analisi di questo articoli si evince che Il registro è obbligatorio per le imprese o organizzazioni con più di 250 dipendenti, ovvero quando vi sono meno di 250 dipendenti, deve essere comunque redatto se si effettua un trattamento dei dati di persone fisiche:

  • in modo non occasionale (ad es. un servizio web che raccoglie dati dei propri utenti);
  • con potenziali rischi per diritti e libertà dell’interessato (ad es. il tracciamento della posizione geografica);
  • che riguarda dati sensibili o relativi a condanne penali o reati (ad es. dati che possono ricondurre agli orientamenti politici, religiosi o sessuali degli interessati).

È abbastanza evidente quindi, che con l’aggiunta di queste specifiche il registro dei trattamenti diventa obbligatorio per il 90% delle aziende ed anche nei casi in cui non ci sia l’obbligatorietà evidente, predisporre un registro dei trattamenti è sempre consigliato pertenere sempre traccia delle attività svolte ed avviare così un’attività di mappatura dei dati trattati (ad es. annotare nuovi trattamenti, modifiche nei destinatari extra-UE, cessione di trattamenti, etc.), ma soprattutto per poter mostrare al Garante Privacy (se lo richiede) la propria conformità al principio di responsabilizzazione richiesto dal GDPR.

Secondo il GDPR, sia il titolare del trattamento (colui che decide finalità e mezzi) sia, se nominato dal titolare e quindi presente il suo responsabile (colui che tratta i dati per conto del Titolare), devono redigere il registro e tenerlo sempre in costante aggiornamento. Se si effettuano trattamenti sia come titolare che come responsabile, dovranno essere redatti due registri distinti e separati. Il registro del responsabile contiene informazioni diverse rispetto a quello del titolare: ad esempio andrà indicato per ogni trattamento il titolare per conto del quale sarà effettuato il trattamento a non dovranno essere specificate alcune informazioni sui trattamenti che saranno state già inserite nel registro del titolare.
Ma vediamo quali sono i dati fondamentali che il modello di Registro dei trattamenti deve contenere.

È obbligatorio che nel registro del titolare vengano indicati:

  • Dati di contatto: per identificare il titolare e se presenti, il responsabile del trattamento, eventuali Rappresentanti del titolare,il responsabile della protezione dei dati (DPO);
  • finalità del trattamento: gli scopi per cui si raccolgono i dati personali (per esempio fini statistici, profilazione dell’utente, gestione dei pagamenti, etc.).
  • base giuridica del trattamento: per specificare il motivo della legittimità del trattamento dei dati (es. basato sul consenso dell’interessato, necessario per rispettare un obbligo di legge, etc.;
  • periodo di conservazione dei dati: va specificato per quanto tempo vengono conservati i dati;
  • categorie di dati: per specificare quali dati personali vengono raccolti e trattati;
  • categorie di interessati e di destinatari dei dati: l’elenco dei soggetti da cui vengono raccolti i dati e, se presenti, di quelli a cui verranno comunicati (specificando se si trovano in paesi extra UE);
  • misure di sicurezza adottate: le tutele tecniche e organizzative che sono state adottate per prevenire rischi di distruzione, perdita, o di accesso non autorizzato ai dati personali.

Come abbiamo visto, il registro dei trattamenti è un documento fondamentale nella gestione della privacy, potremmo paragonarlo al DVR in materia di sicurezza sul lavoro. È per questo motivo che una redazione precisa ed una puntuale revisione diventano tanto importanti.

Noi dalla Tutor Consulting, siamo in grado di seguirvi, con la professionalità che da sempre ci contraddistingue, in tutte le fasi necessarie per una perfetta redazione e gestione del registro dei trattamenti.

I NOSTRI CLIENTI

Contattaci ora per chiedere informazioni

Non esitare a scriverci per richiedere maggiori info sui nostri servizi

Grazie per il messaggio. E' stato inviato.
Errore nell'invio del messaggio. Si prega di riprovare.