
Il Registro delle attività di trattamento dati è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.
Rappresenta lo strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Chi è tenuto a redigerlo?
Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (art. 30, par. 1 e 2 del RGPD).
In particolare, in ambito privato, i soggetti obbligati sono così individuabili:
– imprese o organizzazioni con almeno 250 dipendenti;
– qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio, anche non elevato, per i diritti e le libertà dell’interessato;
– qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
– qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.
Imprese con meno di 250 dipendenti
Le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate.
Se ad esempio il trattamento delle categorie particolari di dati si riferisce a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento .
Contenuti del registro
La sezioni più significative riguardano:
– campo “finalità del trattamento;
– campo “descrizione delle categorie di interessati e delle categorie di dati personali”;
– campo “categorie di destinatari a cui i dati sono stati o saranno comunicati”;
– campo “trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale”;
– campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati”;
– campo “descrizione generale delle misure di sicurezza”.
Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare.
Se pensi di avere bisogno della mia consulenza contattami qui, riceverai un consiglio gratuito e il preventivo specifico e utile per te.