GDPR: Cos’è il Registro delle Attività di Trattamento dei Dati?

  • GDPR
GDPR - Registro Trattamento Dati

Cos'è il registro delle attività di trattamento?

Il Regolamento stabilisce (art.30) che tutti Titolari ed i Responsabili di trattamento dei dati personali debbano conservare un registro di tutte le attività di trattamento dei dati effettuate all’interno dell’azienda (organizzazione).

Il Registro risulta estremamente importante nell’economia di una azienda o di un ente che segue le direttive del GDPR . Se da un lato è obbligatorio esibirlo in caso di controlli ed accertamenti da parte dell’Autorità Garante, dall’altro è uno strumento che permette di monitorare tutti i processi interni che coinvolgono il trattamento dei dati

Dal punto di vista formale, Il regolamento non fornisce indicazioni riguardo alla creazione del Registro; le uniche indicazioni riguardano la modalità di conservazione del registro; nello specifico si consiglia di archiviare le informazioni su supporto fisico cartaceo o in formato elettronico e di metterle a disposizione su richiesta all’autorità di controllo.

Chi deve redigere il Registro?

La necessità di dimostrare la legittimità del trattamento dei dati, e di conseguenza la sua conformità alla disciplina dettata dal GDPR, prescinde dalle dimensioni effettive dell’organizzazione aziendale, e quindi in un panorama di questo tipo il registro diventa un valido strumento per tutte le organizzazioni.

Tutti i titolari ed i responsabili sono tenuti a redigere il registro, nello specifico: 

  • imprese o organizzazioni con  almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Alla luce di quanto detto sopra, sono tenuti all’obbligo di redazione del registro, ad esempio:

  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
  • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
  • il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Quali informazioni deve contenere il Registro del Trattamento?

In merito al trattamento dei dati, il registro deve contenere una serie di informazioni obbligatorie per legge:

  1. Il nome e i dati di contatto del titolare del trattamento, del rappresentante del titolare e del responsabile della protezione dei dati;
  2. Le finalità del trattamento;
  3. Una descrizione delle categorie di interessati e delle categorie di dati personali trattati;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi eventualmente i destinatari di paesi terzi non appartenenti all’Unione Europea od organizzazioni internazionali;
  5. Nel caso in cui sia previsto, l’indicazione del fatto che i dati personali saranno trasferiti verso un paese terzo o un’organizzazione internazionale, indicando anche di quale paese od organizzazione internazionale si tratta e, inoltre, la documentazione delle garanzie previste;
  6. I termini ultimi stabiliti per la cancellazione delle diverse categorie di dati;
  7. Una descrizione generale delle misure di sicurezza tecniche e organizzative individuate al fine di garantire un livello di sicurezza dei dati personali adeguato al rischio cui gli stessi sono esposti.
  8. Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

Quali sono le modalità di conservazione e aggiornamento del Registro?

Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

Chiudi il menu
Chiama Ora