Quali informazioni deve contenere il registro dei trattamenti

L’art. 30 del Reg. (UE) 679/2016 GDPR impone a ogni titolare di trattamento, o al suo rappresentante, di tenere un registro delle attività svolte sotto la propria responsabilità. Le attività di trattamento come raccolta, registrazione, elaborazione, trasmissione o comunicazione, archiviazione, cancellazione o distruzione, di dati personali deve essere documentate e documentabili.

Il registro deve contenere le seguenti informazioni:

il nome e i dati di contatto del titolare, dell’eventuale contitolare, del suo rappresentante e del responsabile del trattamento;
le finalità del trattamento;
categorie di interessati;
categorie di destinatari a cui i dati personali sono stati o saranno comunicati:
trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale;
termini ultimi previsti per la conservazione/cancellazione;
rischi e misure di sicurezza adottate, organizzative e tecniche

Il registro è tenuto in forma scritta, anche in formato elettronico. Su richiesta, il titolare del trattamento, o il responsabile, mettono il registro a disposizione dell’Autorità di controllo. Tra le informazioni non obbligatorie rientrano l’indicazione della motivazione del livello scelto e i c.d. contenuti ulteriori, su cui annotare le particolarità dell’operazione di trattamento.

Ogni responsabile del trattamento è tenuto a indicare chiaramente quali categorie di trattamenti sono da lui effettuati per conto di ogni titolare.

L’obbligo del registro non si applica alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, o che il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’art. 9, par. 1, o i dati personali relativi a condanne penali e a reati di cui all’art. 10.

Tenere il registro dei trattamenti ordinato e aggiornato è segno di “Accoutability”, elemento tramite cui è possibile valutare la buona fede e trasparenza del titolare che espleta le sue operazioni di trattamento. L’associazione Privacy Academy, durante il CORSO AVANZATO per DPO, previsto tra settembre e dicembre 2021 dalla durata di 120 ORE (90 ore in Webinar e 30 ore in Presenza), approfondirà il tema nella terza sessione. Unitamente a fornire bozze di modelli, verrà spiegato come effettuare l’analisi dei rischi e a predisporre le adeguate misure di sicurezza, nonché come vengono poi effettuate le modalità di ispezione sui registri stessi.

INFO E ISCRIZIONI: [email protected]

Quale informazioni deve contenere il registro dei trattamenti?

Deve mappare non solo i trattamenti elettronici, ma anche quelli cartacei, contenere le misure di sicurezza e indicare i dati personali trattati.

Quali informazioni non sono richieste nel registro dei trattamenti del responsabile?

Il Registro del Trattamento per il Responsabile del Trattamento è molto più semplice in quanto non è necessario indicare finalità, interessati, categorie di dati, destinatari e tempi di conservazione. Questi infatti sono stabiliti dal Titolare per cui devono essere indicate nel suo Registro.