Il registro dei trattamenti rappresenta un documento introdotto dalla recente normativa sulla privacy e anche la base per la gestione dei dati personali.
Vediamo a cosa serve, quando è obbligatorio e quali dati devono essere raccolti.
Indice degli argomenti
Tra i principali adempimenti in capo al titolare e al responsabile del trattamento, il Regolamento UE 679/2016 (GDPR) prevede la tenuta del registro dei trattamenti.
Tale registro altro non è che un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, ove presente, dal responsabile del trattamento.
La tenuta del registro dei trattamenti consente di tenere traccia e mappare tutte le attività di trattamento presenti all’interno di un’organizzazione aziendale.
Può essere compilato sia in formato cartaceo che elettronico, ma deve in ogni caso recare, in maniera verificabile, la data della sua prima creazione, oltre che quella dell’ultimo aggiornamento.
Ai sensi del GDPR, i soggetti obbligati alla redazione e tenuta del registro dei trattamenti sono:
Al di fuori dei casi in cui è obbligatorio, l’Autorità Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento.
E in effetti, nella pratica, la tenuta di un documento di questo genere è particolarmente utile e funzionale per evitare di commettere errori nel trattamento dei dati personali.
Fornendo piena contezza del tipo di trattamenti svolti, il registro dei trattamenti contribuisce a meglio attuare il principio di accountability previsto dal GDPR.
Il Regolamento UE individua dettagliatamente le informazioni che il registro dei trattamenti deve contenere (art. 30 GDPR), e in particolare:
All’interno del registro dei trattamenti può essere riportata qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare come ad esempio i sistemi informatici che trattando quei dati o le aree aziendali che ne hanno accesso.
È possibile inserire, ad esempio, le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, le misure di sicurezza tecniche e organizzative adottate, ecc.
Il registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile.
In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere.
Qualsiasi cambiamento, in particolare con riferimento alle modalità, finalità, categorie di dati, categorie di interessati, deve essere prontamente inserito nel registro, dando conto delle modifiche di volta in volta sopravvenute.
BIT4LAW può supportare la tua azienda nella prima costruzione del registro dei trattamenti e per ogni adempimento in ambito privacy, compreso il servizio di DPO esterno o formazione in ambito privacy per il personale e per gli amministratori di sistema.