Tra i tanti cambiamenti introdotti in materia di tutela della privacy dal GDPR Regolamento generale sulla protezione dei dati personali, vi è anche il cosiddetto Registro delle attività di trattamento (Record of processing activities) un documento che rientra tra le azioni necessarie per poter risultare conformi alla normativa europea.
Scopriamo nel dettaglio quali sono le caratteristiche principali che questo documento deve avere.
A cosa serve il registro attività di trattamento
Il registro è importante sia perché deve essere esibito su richiesta del Garante Privacy ai fini di eventuali controlli da parte di quest’ultimo, ma anche perché serve al titolare o al responsabile del trattamento perché consente di avere un quadro aggiornato dei trattamenti di dati personali che vengono realizzati. Quest’ultima circostanza è importante, in particolare, per poter svolgere una corretta ed efficace analisi e valutazione dei rischi.
Il registro è obbligatorio?
Non sempre. Dipende dal numero di dipendenti e dal tipo di trattamento dati che viene svolto. L’articolo 30 del GDPR stabilisce l’obbligo per le imprese e le organizzazioni con almeno 250 dipendenti.
Per chi ha meno di 250 dipendenti non è previsto l’obbligo di tenere il registro, a meno che:
- il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato;
- si tratti di un trattamento dei dati non occasionale;
- il trattamento riguardi categorie particolari di dati (come i dati genetici), nonché quelli relativi a condanne penali e reati. In quest’ultimo caso l’articolo 10 del regolamento stabilisce che il registro debba essere tenuto soltanto sotto il controllo dell’autorità pubblica.
Tuttavia, il Garante ha invitato tutti i titolari e i responsabili del trattamento a compiere i passi necessari per dotarsi del registro, a prescindere dalle dimensioni dell’organizzazione, in quanto esso costituisce parte integrante del sistema di corretta gestione dei dati personali.
Quali informazioni deve contenere il registro attività di trattamento?
Se tenuto dal titolare del trattamento, il registro deve contenere le seguenti informazioni:
- il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale;
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32 del regolamento.
Se tenuto dal responsabile del trattamento, il registro deve contenere le seguenti informazioni:
- il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
- le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32 del regolamento.
In quale formato deve essere compilato il registro attività di trattamento?
Secondo le prescrizioni del GDPR, bisogna tenere il registro in forma scritta e può essere sia cartaceo che in formato elettronico.