Compilare il registro dei trattamenti secondo il GDPR

Il Registro dei Trattamenti è il punto di partenza fondamentale per la conformità in materia di protezione dei dati personali.

Il Garante per la protezione dei dati personali, nella sua Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali ritiene che: “il registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”, invitando tutti, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro.

E’ difficile pensare di poter dimostrare di aver adottato tutte le misure necessarie a garantire il rispetto della normativa privacy se non siamo nemmeno in grado di sapere con esattezza quali trattamenti sono svolti in azienda, con quali modalità e misure di sicurezza?

L’Art. 30 del GDPR prevedere che il registro debba essere tenuto in forma scritta, in formato elettronico e che debba essere esibito su richiesta al Garante, fornisce una lista di contenuti obbligatori:

  • - il nome e i dati di contatto del titolare del trattamento/contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati
  • - le finalità del trattamento
  • - una descrizione delle categorie di interessati e delle categorie di dati personali le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali
  • - ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale.
  • - ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • - ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Il co. I dell’art. 30 disciplina il registro dei trattamenti del titolare, stabilendo che ogni titolare del trattamento e, ove applicabile, il suo rappresentante, tengono un registro delle attività di trattamento svolte sotto la propria responsabilità;

Il co. II dell’art. 30 disciplina invece il registro dei trattamenti del responsabile, stabilendo che ogni responsabile del trattamento e, ove applicabile, il suo rappresentante, tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un Titolare del trattamento.

I due registri presentano delle differenze dal punto di vista contenutistico, avendo il primo una portata più ampia che si estende all’indicazione delle finalità del trattamento, delle categorie di interessati e delle categorie di dati personali, delle categorie di destinatari a cui i dati personali sono stati o saranno comunicati (compresi i destinatari di paesi terzi od organizzazioni internazionali), dei termini ultimi previsti per la cancellazione delle diverse categorie di dati (ove possibile).