Una delle novità introdotte dal Regolamento generale sulla protezione dei dati (GDPR) è la tenuta del registro delle attività di trattamento (art. 30 del reg. 679/2016).

Chi deve tenerlo

Secondo l’Articolo 30, i titolari ed i responsabili del trattamento sono tenuti a redigere il registro delle attività di trattamento, nello specifico:

• Le imprese e organizzazioni (tra cui le associazioni, le fondazioni e i comitati) con più di 250 dipendenti;
• Qualsiasi impresa o organizzazione con meno di 250 dipendenti se:
  • Il trattamento dei dati rappresenta un rischio per i diritti e le libertà degli interessati;
  • Il trattamento è occasionale;
  • Il trattamento riguarda categorie particolari di dati o dati relativi a condanne penali e reati.

Qualche esempio

Dal sito del Garante Privacy:

• Esercizi commerciali o pubblici con almeno un dipendente che trattano dati sanitari dei clienti – dentisti, tatuatori, estetisti, ottici, ecc;
• Liberi professionisti con almeno un dipendente che trattano dati sanitari o relativi a condanne penali/reati – commercialisti, notai, fisioterapisti, farmacisti, ecc;
• Associazioni, fondazioni o comitati che trattano categorie particolari di dati o dati relativi a condanne penali/reati – associazioni che tutelano ex denuti, persone con disabilità, associazioni sportive, sindacati, ecc;
• Il condominio, nel caso in cui tratti categorie particolari di dati.

Tuttavia, il Garante Privacy invita tutti i titolari e i responsabili del trattamento alla tenuta del registro, come prova del principio di accountability e dimostrazione di conformità al Regolamento.

Cosa contiene (art. 30 del regolamento)

• Nome e dati di contatto del titolare del trattamento e del responsabile del trattamento, ed eventualmente del contitolare del trattamento, del rappresentante del titolare e del responsabile della protezione dei dati (DPO);
• La finalità del trattamento;
• Le categorie degli interessati e dei dati personali;
• I destinatari terzi a cui sono comunicati i dati;
• I trasferimenti internazionali di dati personali (se applicabile);
• I termini ultimi per la cancellazione dei dati;
• Una descrizione generale delle misure di sicurezza tecniche ed organizzative implementate a protezione dei dati.

Formato del registro

Il registro deve essere tenuto in forma scritta e può essere compilato in formato cartaceo o elettronico, a discrezione del titolare e del responsabile del trattamento. Inoltre, deve indicare la data della creazione e dell’ultimo aggiornamento. É necessario che sia costantemente aggiornato in modo da riflettere i cambiamenti in merito al trattamento dei dati e messo a disposizione su richiesta dell’autorità di vigilanza.

Modelli precompilati personalizzabili

Il Garante Privacy ha messo a disposizione i modelli di “registro semplificato” per aiutare le PMI ad adempiere all’obbligo di tenuta del registro. Fonte Garante Privacy e itgovernance.eu