Il registro delle attività di trattamento è un documento obbligatorio per molte aziende, per adempiere agli obblighi previsti dal GDPR. Show
Nello specifico, è l'art. 30 del Regolamento Europeo 679/2016 a prevedere, tra gli adempimenti del titolare e del responsabile del trattamento dei dati, la tenuta di tale registro. Strumento contenente le principali informazioni sulle operazioni di trattamento dei dati svolte dall’impresa, esso risulta fondamentale non solo per un'eventuale supervisione del Garante per la Privacy, ma anche per avere un quadro sempre aggiornato dei trattamenti in essere. Il registro delle attività di trattamento costituisce uno dei principali elementi di accountability del titolare (novità introdotta dal regolamento), in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività. Il registro deve avere forma scritta (anche elettronica) e va esibito, su richiesta, al Garante. In questo articolo vedremo:
Registro delle attività di trattamento: quando è obbligatorio e chi deve redigerloIn generale, tutti i titolari e responsabili del trattamento sono tenuti a redigerlo. A livello normativo, tuttavia, i soggetti obbligati per legge a redigere il registro delle attività sono:
Alcuni esempi di attività soggette all'obbligo di redazione del registro sono:
In ogni caso, imprese e organizzazioni che hanno meno di 250 dipendenti e che sono obbligate alla redazione e tenuta del registro, possono circoscrivere l’obbligo alle sole attività specifiche di trattamento elencate qui sopra. Registro trattamento dei dati personali: come compilarloNelle FAQ pubblicate dal Garante per la Privacy, viene ripreso quanto presente all'art.30 (paragrafi 1 e 2) del Regolamento Generale sulla Protezione dei Dati, per chiarire come compilare il registro dei trattamenti. Quali sono, dunque, i contenuti da inserire? Eccoli di seguito:
Nel registro, comunque, può essere inserita e aggiunta anche qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare. Registro trattamenti GDPR: conservazione e aggiornamentoCome anticipato, il registro delle attività di trattamento può essere compilato sia in formato cartaceo che elettronico. A prescindere da quello scelto, tuttavia, è sempre necessario riportare delle annotazioni (in modo che siano sempre verificabili) che indichino:
Fondamentale, infine, che il registro dei trattamenti sia tenuto sempre aggiornato, per avere un quadro fedele dei trattamenti dei dati effettivamente applicati. Di conseguenza, ogni cambiamento inerente modalità, finalità, categorie di dati e/o di soggetti interessati dev’essere subito inserito nel registro. Ai seguenti link puoi trovare:
Per approfondire, qui puoi leggere le FAQ sul registro delle attività di trattamento, pubblicate dal Garante per la Privacy. Se vuoi essere certo di rispettare gli obblighi di legge in ambito GDPR e trattamento dei dati, contattaci oggi stesso e richiedi la consulenza di un nostro esperto.
Quando va compilato il registro delle attività di trattamento?Registro delle attività di trattamento: quando è obbligatorio e chi deve redigerlo. imprese o organizzazioni con almeno 250 dipendenti;. titolari o responsabili che effettuano trattamenti potenzialmente rischiosi (anche con rischio non elevato) per i diritti e le libertà dell'interessato.. Chi non ha l'obbligo di redigere il registro dei trattamenti?Gli obblighi […] non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all' ...
Chi ha l'obbligo di mantenere il registro dei trattamenti GDPR?Registro dei trattamenti
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti - ma solo se non effettuano trattamenti a rischio (articolo 30, paragrafo 5) - devono tenere un registro delle operazioni di trattamento, i cui contenuti sono indicati all'articolo 30.
Chi deve redigere il GDPR?L'informativa al trattamento dei dati personali è il documento predisposto dal titolare del trattamento, che informa l'interessato quali dati vengono trattati ed in che modo.
|