Dall’entrata in vigore del Regolamento (EU) n. 679/2016 le attività aziendali sono obbligate a tenere il registro dei trattamenti dei dati e a tal proposito il Garante della Privacy ha pubblicato le istruzioni relative al registro, documento indispensabile per ogni attività di valutazione o analisi del rischio. Ecco cosa c’è da sapere:
Registro dei trattamenti privacy
Il registro è un documento contenente le principali informazioni relative alle operazioni di trattamento di dati rilevanti ai fini della privacy svolte da un’impresa, un’associazione, un esercizio commerciale o un libero professionista.
Si tratta di un documento nel quale indicare le caratteristiche del titolare del trattamento e del responsabile del trattamento: potrà essere utilizzato a fini di controllo ma serve soprattutto a tutte le imprese e le organizzazioni come strumento utile a fornire le informazioni sui trattamenti effettuati, sui possibili rischi e sulle valutazioni effettuate.
Chi lo deve redigere
Sono tenuti a redigere il Registro tutti i titolari e i responsabili del trattamento, ovvero la maggior parte di imprese e professionisti. Nel dettaglio:
- le imprese o le organizzazioni con almeno 250 dipendenti
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio, anche non elevato, per i diritti e le libertà dell’interessato
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9
Quali informazioni deve contenere
Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del RGPD) e in quello del responsabile (art. 30, par. 2 del RGPD). Tuttavia, nulla vieta ad un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno, in ottica della complessiva valutazione di impatto dei trattamenti svolti.
Quali sono le modalità di conservazione, compilazione e aggiornamento
Il registro deve essere costantemente aggiornato perché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti effettuati dal titolare o responsabile. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere tempestivamente inserito nel registro.
Il registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione contestualmente a quella dell’ultimo intervento.
Registro del responsabile
Il responsabile del trattamento tiene un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare” (art. 30, par. 2 del GDPR).
Cos’è il modello semplificato per le Pmi
Le imprese con meno di 250 dipendenti sono obbligate alla redazione del registro, ma tuttavia hanno una gestione più agevolata.
Il Garante ha fornito 2 modelli per le Pmi relativi al registro semplificato:
- il registro per il responsabile del trattamento
- il registro per il per il titolare
Per maggiori informazioni sul registro delle attività di trattamento Clicca qui