riforma madia

Manca meno di un mese all’entrata in vigore del Regolamento Ue in materia di Privacy. Tra le attività da mettere a regime c’è anche la tenuta del registro delle attività di trattamento.

Il Gdpr prevede la tenuta del registro soltanto nei casi previsti dalla legge. Tuttavia, per fini di rendicontazione, è bene che ogni titolare del trattamento, e ove applicabile il suo rappresentante, tengano un registro delle attività di trattamento che sono svolte sotto la propria responsabilità.

Come deve essere redatto e tenuto il Registro delle attività di trattamento secondo il Gdpr

La legge prevede che i registri debbano essere tenuti in forma scritta, anche in formato
elettronico. Tale previsione è in linea con il cosiddetto principio di accountability e con i derivanti adempimenti per i soggetti obbligati alla loro tenuta.

Ricordiamo che il Gdpr contempla che su richiesta il titolare o il responsabile del trattamento e, se esistente, il rappresentante del titolare del trattamento o del responsabile
del trattamento sono tenuti a mettere a disposizione dell’Autorità di controllo il registro da loro tenuto.

Il registro del trattamento dei dati contiene tutte le seguenti informazioni:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare
    del trattamento, del rappresentante del titolare del trattamento e del responsabile
    della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi
    i destinatari di Paesi terzi od organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione
    internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e, per i trasferimenti effettuati a partire da un registro che mira a fornire
    informazioni al pubblico e può essere consultato anche da chiunque sia in grado di dimostrare un legittimo interesse, la documentazione delle garanzie adeguate;
  • laddove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie
    di dati,
  • laddove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

La differenza tra il registro del titolare e quello dei responsabile del trattamento

Rispetto al registro di trattamento dei dati personali del titolare, quello previsto per il responsabile differisce, anche se non di molto.
Quest’ultimo dovrà contenere:

  • il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni
    titolare del trattamento per conto del quale agisce il responsabile del trattamento, del
    rappresentante del titolare del trattamento o del responsabile del trattamento e, ove
    applicabile, del responsabile della protezione dei dati;
  • le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  • ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione
    internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e, per i trasferimenti effettuati a partire da un registro che mira a fornire
    informazioni al pubblico e può essere consultato anche da chiunque sia in grado di dimostrare un legittimo interesse, la documentazione delle garanzie adeguate;
  • laddove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

La predisposizione del registro delle attività di trattamento dei dati personali non è obbligatoria, ma sicuramente opportuna, in quanto permette sia di articolare – e meglio definire – gli adempimenti privacy sia di comprovare l’esecuzione degli stessi nei confronti di eventuali terzi e Autorità di controllo.

La legge prevede che gli obblighi in questione non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati o i dati personali
relativi a condanne penali e a reati.

Questo articolo è tratto da

Il nuovo regolamento privacy

Il nuovo regolamento privacy

Carlo Nocera, 2018, Maggioli Editore

L’avvento del nuovo GDPR rappresenta una svolta epocale per il mondo della privacy, soprattutto in virtù del ripensato approccio alla materia, che prevede il passaggio da un regime autorizzatorio a quello di responsabilizzazione dei diversi attori operanti sulla scena del trattamento e della...



© RIPRODUZIONE RISERVATA


SCRIVI UN COMMENTO

Scrivi il tuo commento!
Inserisci il tuo nome