GDPR: Cos’è il registro delle attività di trattamento (Guida al GDPR 6.3)

privacy computer

Come stabilito dall’art. 30 del GDPR, tutti i titolari e i responsabili di trattamento dei dati personali, ad eccezione delle imprese e organizzazioni che hanno meno di 250 dipendenti (ma solo se non effettuano trattamenti a rischio), devono tenere un registro di tutte le attività di trattamento dei dati effettuate.

Questo registro è un documento che dovrà contenere, per legge, una serie di informazioni sulle attività riguardanti il trattamento dei dati personali, quali:

  1. il nome e i dati di contatto del titolare (ed eventualmente del contitolare) del trattamento, del rappresentante del titolare e del responsabile della protezione dei dati;
  2. le finalità del trattamento;
  3. una descrizione delle categorie di interessati e delle categorie di dati personali trattati;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi eventualmente i destinatari di paesi terzi non appartenenti all’Unione Europea od organizzazioni internazionali;
  5. nel caso in cui sia previsto, l’indicazione del fatto che i dati personali saranno trasferiti verso un paese terzo o un’organizzazione internazionale, indicando anche di quale paese od organizzazione internazionale si tratta e, inoltre, la documentazione delle garanzie previste;
  6. i termini ultimi stabiliti per la cancellazione delle diverse categorie di dati; e infine
  7. una descrizione generale delle misure di sicurezza tecniche e organizzative individuate al fine di garantire un livello di sicurezza dei dati personali adeguato al rischio cui gli stessi sono esposti.

Per quanto concerne i soggetti obbligati alla tenuta del registro dei trattamenti, come risulta dall’art. 30, paragrafi 2 e 3 (“Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente: a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati; b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1. 3. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico”) essi sono tanto il titolare quanto il responsabile del trattamento o, se presenti, i loro rappresentanti. Su entrambi incombe pertanto uno specifico dovere in tal senso, tenendo però conto che, dal punto di vista del contenuto, nel caso in cui il registro sia tenuto direttamente dal titolare del trattamento, o dal suo rappresentante, avrà una portata più estesa, invece qualora esso sia tenuto dal responsabile del trattamento, o dal suo rappresentante, dovrà indicare obbligatoriamente (ma ogni ulteriore informazione sarà sempre utile, nell’ottica del GDPR) solo:

  • i contatti del titolare, del responsabile del trattamento e dei loro rappresentanti, se presenti, nonché del responsabile della protezione dei dati;
  • le categorie di trattamenti effettuati per ciascun titolare del trattamento;
  • il trasferimento dei dati ad un paese terzo (extra-europeo) o ad un’organizzazione internazionale, specificando di quale paese o organizzazione si tratta ed evidenziando le adeguate garanzie previste per il trasferimento stesso; e infine
  • se possibile, la descrizione delle misure di sicurezza tecniche ed organizzative adeguate ai rischi preventivati.

Il registro delle attività di trattamento si configura come uno strumento fondamentale non soltanto ai fini di eventuali controlli di legittimità da parte del Garante, ma anche perché consente di avere a disposizione un quadro aggiornato dei trattamenti che vengono realizzati nell’azienda, organizzazione o soggetto pubblico. Quest’ultima circostanza sarà importante, in particolare, per poter realizzare una corretta ed efficace analisi e valutazione dei rischi.

Da un punto di vista strettamente formale, il GDPR non detta delle regole generali né individua le concrete modalità attraverso cui il registro delle attività di trattamento dovrà essere formato.

L’art. 30 si limita infatti a precisare che il registro delle attività di trattamento dei dati dovrà essere tenuto in forma scritta, su supporto tangibile oppure, e preferibilmente, in formato elettronico, e dovrà inoltre essere messo a disposizione su richiesta dell’autorità di controllo (nel caso dell’Italia, il Garante per la protezione dei dati personali).

Al contrario poi di altri adempimenti sanciti dal nuovo Regolamento europeo a titolo obbligatorio, la predisposizione di un tale registro delle attività di trattamento non è un adempimento formale. Esso si configura, piuttosto, come uno strumento che è parte integrante di quel generale sistema di corretta gestione dei dati personali che le aziende, organizzazioni o soggetti pubblici dovranno creare.

Un’adeguata predisposizione del registro delle attività di trattamento potrà essere, infatti, un elemento importante al fine di realizzare un corretto trattamento dei dati personali, in linea quindi con l’obiettivo di responsabilizzazione (la c.d. accountability), che, come precisato in più occasioni in questo Speciale di approfondimento sul GDPR, è uno dei principi fondamentali che il legislatore europeo ha voluto incentivare maggiormente e su cui fonda l’intera disciplina del Regolamento.

La necessità di dimostrare la legittimità del trattamento dei dati, e di conseguenza la sua conformità alla disciplina dettata dal GDPR, prescinde dalle dimensioni effettive dell’organizzazione aziendale, e quindi in un panorama di questo tipo il registro diventa un valido strumento per tutte le organizzazioni.

Proprio per questa ragione, su indicazione del Garante della Privacy, tutti i titolari ed i responsabili del trattamento dei dati, a prescindere dalle dimensioni dell’organizzazione (e quindi anche qualora vi siano meno di 250 dipendenti), sono invitati a predisporre un tale registro.

In ogni caso, anche se tale registro non verrà predisposto, è necessario che i titolari e i responsabili del trattamento si impegnino per effettuare in altro modo una scrupolosa individuazione dei trattamenti posti in essere e delle loro caratteristiche principali.

D’altra parte, come visto più sopra, i contenuti del registro dei trattamenti, delineati dall’art. 30, possono essere integrati anche con altre informazioni da parte del titolare o del responsabile, i quali potranno infatti inserire ogni elemento aggiuntivo, se lo riterranno opportuno alla luce della complessiva valutazione d’impatto sulla protezione dei dati e sulla base delle attività di trattamento svolte.

FocusGDPRNormativaPrivacy e sicurezza Informatica
marzo 26, 2018
gdprprivacyRegolamento europeo
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it