Registro delle attività di trattamento
Che cosa è il Registro delle attività di trattamento
Il Registro delle attività di trattamento è un documento prescritto dal GDPR che illustra il quadro dei trattamenti eseguiti, relazionando su parecchi adempimenti e caratteristiche del trattamento. Il Registro delle attività di trattamento è un utile strumento per eseguire un’analisi delle implicazioni di ogni trattamento in essere o pianificato. Il Registro facilita la fattiva valutazione del rischio delle attività di trattamento svolte da titolari e responsabili sui diritti delle persone, e l’identificazione ed implementazioni di adeguate misure di sicurezza per proteggere i dati – entrambi componenti chiave del principio di «accountability» incluso nel GDPR. Deve essere mantenuto aggiornato.
Deve essere tenuto in forma scritta, anche in formato elettronico. Sia i titolari sia i responsabili sono tenuti a redigere il Registro delle attività di trattamento. È da esibire all’autorità di controllo su sua richiesta.
La tenuta e aggiornamento del Registro delle attività di trattamento rientra nel principio di «accountability» che impone di assumere la responsabilità della compliance al GDPR in tutti i suoi requisiti.
Il GDPR stabilisce anche deroghe dall’obbligo di detenere il Registro delle attività di trattamento.
Che cosa deve contenere il Registro delle attività di trattamento
Il GDPR prescrive che i titolari devono indicare tutte le seguenti informazioni:
1. nome e dati di contatto del titolare, del rappresentante nello Stato del titolare (se applicabile) e del «Data Protection Officer» (se designato)
2. finalità del trattamento
3. categorie dei dati e degli interessati
4. categorie di destinatari cui i dati sono stati o saranno comunicati (inclusi i destinatari in Paesi terzi o organizzazioni internazionali)
5. eventuali trasferimenti di dati personali verso Paesi terzi (con identificazione del Paese) e la documentazione di adeguate garanzie per il trasferimento
6. i termini ultimi per la cancellazione delle differenti categorie di dati
7. generale descrizione delle misure di sicurezza tecniche e organizzative.
Se si ritiene utile, si possono aggiungere altre informazioni per meglio descrivere il trattamento.
I responsabili devono detenere un Registro delle attività di trattamento abbastanza simile a quello prescritto per i titolari, con elementi che richiamano, ovviamente, i trattamenti svolti per conto di ogni titolare.
Per facilitare le micro, piccole e medie organizzazioni a adempiere a questo obbligo, le autorità di controllo hanno diffuso esempi – non obbligatori – per redigere il Registro delle attività del trattamento. Il Garante italiano ha messo a disposizione un modello scaricabile in formato PDF e Excel.
Per approfondire, clicca qui oppure consulta le FAQ oppure contattatami.