Registro del Trattamento Dati

Il Regolamento Europeo 2016/679 prevede, all’articolo 30, un importante strumento di compliance aziendale, in materia di dati personali: il registro delle attività di trattamento dei dati personali.      

Tenuto anche in formato elettronico dal Titolare del trattamento dei dati, tale registro dovrà essere messo a disposizione dell’Autorità Garante qualora lo richieda, così come previsto dal par. 4 dell’art. 30: “su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.”        

Il Registro del Trattamento Dati deve contenere:      

  • Il nome e i dati di contatto del titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • Le finalità del trattamento;
  • La descrizione delle categorie di interessati e delle categorie di dati personali;
  • Le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi;
  • Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
  • I termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • Una descrizione generale delle misure di sicurezza tecniche e organizzative.

Questo registro rappresenta dunque una delle novità (resiscitando in un certo modo il D.P.S. e uno degli adempimenti più importanti concernenti le attività di trattamento.

L’obbligo di redazione e adozione del registro non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”

Bisogna ritenere che l’adozione del registro sia un mero obbligo, ma, come avveniva per il D.P.S., la sua redazione potrebbe avere ulteriori scopi:

  • Costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati.

Propagare all’interno informazione, consapevolezza e condivisione delle problematiche relative alla Privacy