Il Garante della privacy ha fornito dei chiarimenti per una corretta tenuta del registro del trattamento, previsto dal Gdpr
mano con lettere gdpr regolamento privacy europeo

di Valeria Zeppilli - Tra i principali adempimenti previsti dal Gdpr vi è il registro del trattamento, che, in buona sostanza, è un documento nel quale vanno censiti tutti i trattamenti di dati personali effettuati dal titolare e dal responsabile del trattamento e che deve essere esibito a richiesta al Garante.

Per agevolare tutti coloro che si trovano alle prese con la novità, il Garante privacy ha diffuso un vademecum che fa chiarezza su come procedere a una corretta tenuta e le faq (sotto allegate).

Gdpr: chi deve tenere il registro

[Torna su]

Il registro deve essere tenuto da:

  • imprese o organizzazioni che hanno almeno 250 dipendenti;
  • titolari o responsabili che effettuano trattamenti che possono comportare rischi, anche bassi, per i diritti e le libertà dell'interessato o che effettuano trattamenti non occasionali, anche se l'impresa o l'organizzazione in cui operano ha meno di 250 dipendenti;
  • titolari o responsabili che effettuano trattamenti di categorie particolari di dati di cui all'art. 9, paragrafo 1, del Gdpr o di dati personali relativi a condanne penali e a reati di cui all'articolo 10 del Gdpr, anche se l'impresa o l'organizzazione in cui operano abbia meno di 250 dipendenti.

Si precisa che sono organizzazioni anche le associazioni, le fondazioni e i comitati.

Per il Garante della privacy, in ogni caso, il registro andrebbe tenuto sempre, anche se non si è sottoposti all'obbligo.

Contenuto del registro

[Torna su]

Il Garante si è occupato anche dei contenuti del registro, specificando innanzitutto che nel campo "termini ultimi previsti per la cancellazione delle diverse categorie di dati" devono essere indicati i tempi di cancellazione per tipologia e finalità di trattamento. Se questi non possono essere predeterminati, basterà specificarli con criteri indicativi.

Sotto la voce "descrizione generale delle misure di sicurezza", invece, è possibile anche indicare che, per una valutazione più dettagliata, si rimanda a documenti esterni di carattere generale, come le procedure organizzative e le policy aziendali. Tale voce deve comunque avere carattere dinamico ed essere quindi continuamente adeguata alle nuove tecnologie e ai nuovi rischi.

Nel campo "finalità del trattamento", poi, è opportuno indicare la relativa base giuridica e, se si tratta di un legittimo interesse, anche la sua descrizione, le adeguate garanzie e l'eventuale preventiva valutazione di impatto.

Infine, nel campo "categorie di destinatari a cui i dati sono stati o saranno comunicati", vanno inclusi tutti i soggetti destinatari dei dati, compresi gli altri titolari, i responsabili e gli eventuali sub-responsabili.

Aggiornamenti

[Torna su]

Nel registro dei trattamenti vanno poi indicate sempre la data di istituzione, o di creazione di una nuova scheda relativa a una specifica tipologia di trattamento, e quella dell'ultimo aggiornamento.

Il registro infatti, sia esso in formato digitale o in formato cartaceo, deve essere aggiornato con costanza.

Responsabile esterno

[Torna su]

Il registro deve essere predisposto dal titolare e dal responsabile del trattamento.

Se il responsabile è un soggetto esterno che agisce per più autonomi e distinti titolari, le informazioni devono essere riportate nel registro in maniera specifica per ogni titolare, a ognuno del quale deve essere quindi dedicata una apposita sezione del documento.

Le Faq del Garante Privacy sul registro del trattamento
Valeria Zeppilli
Avv. Valeria Zeppilli (profilo e articoli)
Consulenza Legale
E-mail: valeria.zeppilli@gmail.com
Avvocato e dottore di ricerca in Scienze giuridiche, dal 2015 fa parte della redazione di Studio Cataldi -- Il diritto quotidiano. Collabora con la cattedra di diritto del lavoro, diritto sindacale e diritto delle relazioni industriali dell'Università 'G. D'Annunzio' di Chieti - Pescara.
Condividi
Feedback

Foto: 123rf.com
In evidenza oggi: