Il Gdpr prevede la tenuta del registro soltanto nei casi previsti dalla legge. Tuttavia, per fini di rendicontazione, è bene che ogni titolare del trattamento, e ove applicabile il suo rappresentante, tengano un registro delle attività di trattamento che sono svolte sotto la propria responsabilità.
Come deve essere redatto e tenuto il Registro delle attività di trattamento secondo il Gdpr
La legge prevede che i registri debbano essere tenuti in forma scritta, anche in formato
elettronico. Tale previsione è in linea con il cosiddetto principio di accountability e con i derivanti adempimenti per i soggetti obbligati alla loro tenuta.
Ricordiamo che il Gdpr contempla che su richiesta il titolare o il responsabile del trattamento e, se esistente, il rappresentante del titolare del trattamento o del responsabile
del trattamento sono tenuti a mettere a disposizione dell’Autorità di controllo il registro da loro tenuto.
Il registro del trattamento dei dati contiene tutte le seguenti informazioni:
- il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare
del trattamento, del rappresentante del titolare del trattamento e del responsabile
della protezione dei dati; - le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi
i destinatari di Paesi terzi od organizzazioni internazionali; - ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione
internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e, per i trasferimenti effettuati a partire da un registro che mira a fornire
informazioni al pubblico e può essere consultato anche da chiunque sia in grado di dimostrare un legittimo interesse, la documentazione delle garanzie adeguate; - laddove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie
di dati, - laddove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
La differenza tra il registro del titolare e quello dei responsabile del trattamento
Rispetto al registro di trattamento dei dati personali del titolare, quello previsto per il responsabile differisce, anche se non di molto.
Quest’ultimo dovrà contenere:
- il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni
titolare del trattamento per conto del quale agisce il responsabile del trattamento, del
rappresentante del titolare del trattamento o del responsabile del trattamento e, ove
applicabile, del responsabile della protezione dei dati; - le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
- ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione
internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e, per i trasferimenti effettuati a partire da un registro che mira a fornire
informazioni al pubblico e può essere consultato anche da chiunque sia in grado di dimostrare un legittimo interesse, la documentazione delle garanzie adeguate; - laddove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
La predisposizione del registro delle attività di trattamento dei dati personali non è obbligatoria, ma sicuramente opportuna, in quanto permette sia di articolare – e meglio definire – gli adempimenti privacy sia di comprovare l’esecuzione degli stessi nei confronti di eventuali terzi e Autorità di controllo.
La legge prevede che gli obblighi in questione non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati o i dati personali
relativi a condanne penali e a reati.
Questo articolo è tratto da
Il nuovo regolamento privacy
Aggiornato con lo schema di decreto per l’adeguamento della normativa nazionale alle disposizioni UE (approvato in CdM il 21 marzo 2018)La data del 25 maggio 2018 segna l’entrata in vigore del nuovo Regolamento UE 2016/679 ma non fuga dubbi interpretativi e di ordine pratico della nuova disciplina. Strutturato in forma di quesiti, il testo, in oltre 200 domande e risposte, esplica termini, modalità e obblighi derivanti dalla nuova disciplina, con qualche anticipazione su aspetti di rilievo contenuti nello schema di decreto legislativo recante le disposizioni per l’adeguamento della normativa nazionale al Regolamento. Completa il volume l’appendice normativa contenente i “considerando” e l’intero Regolamento.CARLO NOCERAAvvocato in Roma, dopo avere maturato un’esperienza accademica di oltre un lustro in “Diritto dell’informazione e della comunicazione” si occupa da diversi anni di questioni legali in materia di trattamento e protezione dei dati personali e di reati informatici. Collabora stabilmente con i più prestigiosi quotidiani giuridico-economici e svolge assidua attività di formazione per primarie Società di formazione nonché per Ordini professionali ed Enti istituzionali.
Carlo Nocera | 2018 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento