GDPR: Documento Registro dei Trattamenti - MSPD ACME SPA
GESTIONE DEL SISTEMA PRIVACY
E PROTEZIONE DEI DATI - DPO
Menu principale:
GDPR: Documento Registro dei Trattamenti
La privacy europea è e sarà perennemente evolutiva!
FOTOGRAFARE LA ORGANIZZAZIONE (Registri del trattamento - ART. 30 )
Il registro dei trattamenti è un documento che censisce le caratteristiche principali dell'attività del titolare del trattamento (impesa, ente, studio professionale, associazione, ecc.) e del responsabile del trattamento (soggetto che opera per conto del titolare).
La funzione del registro è prevalentemente descrittiva e il suo contenuto deve corrispondere alla realtà dei fatti.
Il registro del trattamento è la base per eseguire ulteriori adempimenti, dalle informative alle misure di sicurezza.
OBBLIGHI MANDATORI
Sono obbligati a tenere ed aggiornare il registro del trattamento tutti i titolari/responsabili del trattamento, ad eccezione di imprese o organizzazioni con meno di 250 dipendenti. A tale riguardo si sottolinea che per impresa s intende la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un'attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un'attività economica. Sono comunque obbligate anche le imprese e le organizzazioni sotto la soglia indicata se il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, oppure i dati personali relativi a condanne penali e a reati di cui all'articolo 10.
NOTA: Il soggetto obbligato può demandare l'adempimento al responsabile della protezione dei dati, se nominato.
DOCUMENTAZIONE INDISPENSABILE
Il soggetto obbligato è tenuto a redigere il registro dei trattamenti.
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all'art. 30. Si tratta di uno strumento fondamentale non soltanto ai fini dell'eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all'interno di un'azienda o di un soggetto pubblico — indispensabile per ogni valutazione e analisi del rischio.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell'organizzazione, dovrebbero compiere i passi necessari per dotarsi di tale registro. Compiere un'accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche è parte integrante di un percorso di Piano di Adeguamento per la migrazione dal precedente Sistema Privacy del Codice (Dlg.196/03).
Opinione
Autorità garante
nostra opinione
I contenuti del registro sono fissati, come detto, nell'art. 30; tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell'ottica della complessiva valutazione di impatto dei trattamenti svolti. Nello specifico, si richiama l'attenzione sulla sostanziale coincidenza fra i contenuti della notifica dei trattamenti di cui all'art. 38 del Codice e quelli che devono costituire il registro dei trattamenti ex art. 30 regolamento; l'Autorità mette a disposizione un modello di registro dei trattamenti sul proprio sito, e i singoli titolari potranno integrare la loro documentazione.
Dal Gruppo di Lavoro Art. 29 - (Faq Linee Guida DPO)
Per quanto riguarda il registro dei trattamenti, la sua tenuta è un obbligo che ricade sul titolare del trattamento o sul responsabile del trattamento, e non sul RPD. Nulla vieta al titolare del trattamento o al responsabile del trattamento di affidare al RPD il compito di tenere il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile stesso. Tale registro va considerato uno degli strumenti che consentono al RPD di adempiere agli obblighi di sorveglianza del rispetto del regolamento, informazione e consulenza nei riguardi del titolare del trattamento o del responsabile del trattamento.
IL REGISTRO DEI TRATTAMENTI in CHECK LIST
Titolare Del Trattamento
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei datib) le finalità del trattamentoc) una descrizione delle categorie di interessati e delle categorie di dati personalid) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionalie) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguatef) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorieg) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1
Responsabile Del Trattamento
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei datib) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamentoc) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguated) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1
