info@rpadvisor.it

Privacy

Registro dei trattamenti

Cos’è il registro dei trattamenti?

L’art.30 del Regolamento UE n. 679/2016 prevede, tra gli adempimenti principali del Titolare e del Responsabile del trattamento la tenuta del Registro delle attività di Trattamento.

Con l’entrata in vigore del Regolamento Europeo per la protezione dei dati (GDPR) è nata la figura del DPO (Data Protection Officer) o Responsabile per la protezione dei dati. L’articolo 38 del Regolamento Europeo 2016/679 (GDPR) sancisce le caratteristiche e la posizione che il Responsabile della Protezione dei Dati deve avere

Il registro dei trattamenti è un documento che contiene le principali informazioni relative alle operazioni di trattamento svolte dal Titolare e dal Responsabile del Trattamento

Il Registro dei Trattamenti è espressione dell’accountability (responsabilizzazione) del Titolare/Responsabile del trattamento e costituisce l’elemento preliminare, nonché essenziale, per qualsiasi attività di valutazione o analisi del rischio.

Il Registro dei Trattamenti deve essere redatto in forma scritta, cartacea o elettronica ed è il primo documento che richiede il Garante della Privacy in caso di controllo.

Chi è tenuto a redigere il registro dei trattamenti?

L’articolo 30 del GDPR riferisce che i Titolari del trattamento e i Responsabili devono redigere un Registro delle attività di trattamento, e in particolare il comma 5 esplicita in quali casi il registro è obbligatorio: imprese o organizzazioni con più di 250 dipendenti, il trattamento effettuato possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

Per meglio definire quali soggetti rientrano in tale disposizione, il Garante Privacy, nelle sue FAQ, a titolo esemplificativo e non esaustivo, elenca i soggetti che, in ambito privato sono tenuti all’obbligo di redazione del registro

  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
  • il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);

Al di fuori dei casi di tenuta obbligatoria del Registro, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che cataloga in modo dettagliato le diverse operazioni di trattamento dei Dati personali effettuate da un soggetto, fornendo una completa ricognizione e valutazione dei trattamenti individuati.

Cosa contiene il registro dei trattamenti ?

Il Regolamento illustra nel dettaglio le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del GDPR) e nel registro del responsabile (art. 30, par. 2 del GDPR).

In particolare, possono essere così riassunte:

il nome e i dati di contatto del Titolare, del Responsabile e del DPO;

  • le finalità del trattamento e la loro base giuridica.
  • le categorie di interessati e di dati personali coinvolti nel trattamento;
  • le categorie di destinatari a cui saranno comunicati i dati;
  • il trasferimento, dei dati personali verso paesi extra UE e le relative garanzie adeguate;
  • i tempi di cancellazione previsti;
  • le misure di sicurezza tecnico-organizzative adottate

Come deve essere conservato il registro dei trattamenti ?

Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere.

Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, nonché le relative misure di sicurezza, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute

Il Registro deve recare, in maniera verificabile, la data della sua prima istituzione prima creazione unitamente a quella dell’ultimo aggiornamento.

Consulenza e supporto
in materia di Privacy

Scopri tutti i nostri servizi

Altre aree tecniche in cui operiamo

SECURITY
WHISTLEBLOWING
D-LGS 231/2001

RP Advisor Srl
P.iva 09694750960
REA: CO – 415782 

Contatti

Como: Via Padre Masciadri 2H Mariano Comense

Milano: Via San Pietro all’Orto 9

Roma: Via Nazionale 214

info@rpadvisor.it
+ 39 031 2250748