Il registro dei trattamenti dei dati personali: cosa prevede

Posted onAuthorStefano BendandiLeave a comment

Il registro dei trattamenti dei dati personali, previsto dal regolamento UE 679/2016, è un documento fondamentale nel caso si gestiscano dati personali.

La sua funzione è identificare in modo puntuale tutti i trattamenti svolti, prima di analizzare e valutare i relativi rischi, e dimostrare la conformità alla normativa.

Per certi versi, può essere visto come una mappa dei trattamenti effettuati da un soggetto, da esibire, a richiesta, in caso di controlli.

Perciò, dopo essere stato creato va aggiornato in relazione ai cambiamenti che interessano i trattamenti. Sia la creazione che l’aggiornamento devono essere accompagnate da date verificabili. E, naturalmente, deve essere conservato e protetto.

Registro dei trattamenti: chi sono i soggetti obbligati

L’obbligo interessa tutti i titolari e responsabili del trattamento, comprese le fondazioni, associazioni e i comitati.

L’unica eccezione è prevista per le organizzazioni con meno di 250 dipendenti. Tuttavia l’esenzione richiede anche l’esistenza di queste ulteriori condizioni:

  • i trattamenti svolti non devono avere un rischio per i diritti e le libertà dei soggetti interessati,
  • i trattamenti non devono avere natura occasionale oppure riguardare dati particolari o dati relativi a condanne penali e reati

Si tratta di circostanze di difficile realizzabilità, soprattutto per la necessità che non vi sia un rischio per i diritti e le libertà degli interessati.

Infatti, la normativa non richiede che il rischio sia elevato. Inoltre, il rischio è pressocchè connaturato all’utilizzo dei dati personali, per cui è molto difficile dimostrare che nessuno dei trattamenti svolti presenti un tale rischio.

Tuttavia, l’autorità garante ha stabilito che le organizzazioni con meno di 250 dipendenti possano beneficiare di una semplificazione nella tenuta del registro, come contenuto nella faq pubblicata sull’argomento, nella quale sono riportate anche ulteriori informazioni in merito ai contenuti del registro.

Registro dei trattamenti: quali informazioni sono necessarie

In entrambi i casi è richiesta la descrizione delle attività di trattamento svolte sotto la responsabilità dei soggetti obbligati. In particolare, nel caso del titolare sono richieste le seguenti informazioni:

  1. i dati di contatto del titolare, del rappresentante del titolare, degli eventuali contitolari e del responsabile della protezione dei dati,
  2. le finalità del trattamento, cioè lo scopo/i per i quali i dati personali sono utilizzati,
  3. una descrizione delle categorie di interessati (i soggetti i cui dati personali sono oggetto di trattamento) e di dati personali trattati,
  4. le categorie di destinatari, cioè dei soggetti ai quali i dati personali sono o saranno comunicati (comprese le organizzazioni internazionali o i destinatari di paese terzi),
  5. l’indicazione che i dati sono trasferiti al di fuori dell’UE, con la descrizione del paese terzo o dell’organizzazione internazionale destinatarie e, nel caso di trasferimento effettato in presenza di garanzie adeguate, la loro documentazione,
  6. i termini previsti per la cancellazione dei dati,
  7. una descrizione generale delle misure tecniche ed organizzative (art. 32)

Nel caso del responsabile le informazioni da riportare sono, oltre ai dati di contatto e alle categorie dei trattamenti svolti per conto del titolare, quelle indicate ai nr. 5 e 7.

Ovviamente queste sono soltanto le informazioni minime. In realtà, al registro possono essere aggiunte anche ulteriori informazioni ritenuti utili in funzione del suo scopo, ad esempio collegamenti a documenti riguardanti l’analisi e gestione dei rischi, la valutazione d’impatto, ecc.

Quale formato deve avere il registro?

Il regolamento prevede l’obbligo della forma scritta per questo documento. Tuttavia, è possibile che il registro sia creato e conservato in formato elettronico.

Esiste un modello di registro utilizzabile?

L’autorità garante ha pubblicato due distinti modelli semplificati di registro dei trattamenti per l’utilizzo da parte delle PMI:

  • un primo modello utilizzabile dal titolare,
  • un altro modello utilizzabile dal responsabile del trattamento

Il gruppo di lavoro dell’art. 29 ha pubblicato un documento di interpretazione sul registro di trattamento, disponibile in lingua inglese.

Quali sono le sanzioni applicabili in caso di violazione dell’obbligo

La violazione dell’obbligo di gestione del registro dei trattamenti prevede una pena pecuniaria massima fino a 10 mln € oppure fino al 2% dell’ultimo fatturato annuo globale.

Ti è piaciuto l’articolo? Puoi contattarci per farci sapere la tua opinione o chiedere maggiori informazioni sui servizi, cliccando sul pulsante qui sotto.

Contattaci per maggiori informazioni

Oppure puoi iscriverti alla newsletter, così riceverai automaticamente tutti gli aggiornamento del blog. Puoi anche condividere l’articolo sui social network, cliccando su una delle icone in basso.

Iscriviti alla nostra newsletter e unisciti agli altri.
Proteggiamo la riservatezza dei tuoi dati e li utilizziamo solo per inviarti la newsletter. Se hai dato il consenso i tuoi dati saranno utilizzati anche per finalità di marketing e comunicazione commerciale. I tuoi dati saranno condivisi soltanto con i fornitori di servizi essenziali che permettono l'invio della newsletter e di altre comunicazioni. Per maggiori informazioni consulta la Privacy Policy
Do il consenso per trattare i miei dati personali a scopo di marketing
Condividi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.