Il registro del trattamento dei dati: cosa contiene e quando è necessario
Il GDPR
Il Regolamento Europeo 2016/679 (GDPR) prevede, all’articolo 30, un importante strumento di compliance aziendale, in materia di dati personali: il registro delle attività di trattamento dei dati personali.
Tenuto anche in formato elettronico dal Titolare del trattamento dei dati, tale registro dovrà essere messo a disposizione dell’Autorità Garante qualora lo richieda, così come è previsto dal par. 4 dell’art. 30: “su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.”, proprio come del resto è ben specificato anche durante il nostro corso di Formazione alla privacy.
COSA DEVE CONTENERE IL REGISTRO DEL TRATTAMENTO DATI
- Il nome e i dati di contatto del titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- Le finalità del trattamento;
- La descrizione delle categorie di interessati e delle categorie di dati personali;
- Le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi;
- Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
- I termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- Una descrizione generale delle misure di sicurezza tecniche e organizzative.
Questo registro rappresenta dunque una delle novità e, al tempo stesso, uno degli adempimenti più importanti concernenti le attività di trattamento.
Così, al titolare del trattamento è imposto l’obbligo di documentazione della conformità della propria organizzazione alle prescrizioni della legge; quest’obbligo grava anche sul responsabile, per i trattamenti che questi svolga per conto di un titolare.
CHI DEVE DOTARSI DI QUESTO STRUMENTO – IL GDPR
L’obbligo di redazione e adozione del registro non è generale: infatti il par. 5 dell’art. 30 specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”
Inoltre, non bisogna ritenere che l’adozione del registro sia un mero obbligo, infatti la sua redazione potrebbe avere anche scopi ulteriori:
- Diffondere informazione, consapevolezza e condivisione interna;
- Costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati.
Per qualsiasi ulteriore informazione o consulenza contatti i Ns TECNICI in ufficio allo 0809648231 o tramite il seguente form https://corsisicurezzalavoroweb.it/contatti/
Tutti i nostri corsi organizzati e certificati da For.Sic Formazione Sicurezza (vai al sito)