Privacy: arrivano le istruzioni del Garante sul registro dei trattamenti dei dati

?Stampa l'articolo o salvalo in formato PDF (selezionando la stampante PDF del tuo sistema operativo)

Stampa articolo PDF

Registro dei trattamenti dei dati: cos’è, i soggetti obbligati, i contenuti.  Le FAQ del Garante e il modello semplificato per le Pmi

Dal 25 maggio 2018 è in vigore il Regolamento (EU) n. 679/2016 (General Data Protection Regulation, GDPR) che ha introdotto importanti novità per professionisti ed imprese in materia di protezione dei dati personali; tra questi l’obbligo di tenuta del registro dei trattamenti dei dati (art. 30 del GDPR).

Al riguardo, il Garante ha pubblicato sul proprio sito (comunicato 8 ottobre 2018) le istruzioni relative al registro, documento indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.

Nelle FAQ aggiornate ad ottobre, viene chiarito cosa è il registro delle attività di trattamento, chi è tenuto a redigerlo, le informazioni che deve contenere, nonché le modalità per la sua conservazione e il suo aggiornamento.

Registro dei trattamenti privacy, cos’è?

Il registro è un documento contenente le principali informazioni relative alle operazioni di trattamento di dati rilevanti ai fini della privacy svolte da un’impresa, un’associazione, un esercizio commerciale o un libero professionista.

Si tratta, in pratica, di un documento all’interno del quale bisognerà indicare le caratteristiche del titolare del trattamento e del responsabile del trattamento: potrà essere utilizzato a fini di controllo ma serve soprattutto a tutte le imprese e le organizzazioni come strumento utile a fornire le informazioni sui trattamenti effettuati, sui possibili rischi e sulle valutazioni effettuate.

Registro dei trattamenti privacy, chi lo deve redigere?

L’obbligo di tenuta del registro riguarda tutti i titolari e responsabili del trattamento dei dati personali, ad esclusione delle Pmi con meno di 250 dipendenti.

L’obbligo si estende anche alle piccole e medie imprese qualora il trattamento dei dati si configuri come un rischio per i diritti e le libertà dell’interessato, qualora il trattamento non sia occasionale o se riguardi particolari tipologie di dati.

Tuttavia, il Garante suggerisce a tutte le imprese di compilare il registro, anche le più piccole, per le quali è stato messo a disposizione un modello di registro dei trattamenti semplificato (comunicato 8 ottobre 2018).

Secondo le istruzioni del Garante (art. 30, par. 1 e 2 del RGPD), sono tenuti a redigere il Registro tutti i titolari e i responsabili del trattamento, ossia buona parte di imprese e professionisti. In particolare, in ambito privato, i soggetti obbligati sono:

• le imprese o le organizzazioni con almeno 250 dipendenti
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio, anche non elevato, per i diritti e le libertà dell’interessato
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD

Registro dei trattamenti privacy, quali informazioni deve contenere?

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del RGPD) e in quello del responsabile (art. 30, par. 2 del RGPD). Tuttavia, nulla vieta ad un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno, in ottica della complessiva valutazione di impatto dei trattamenti svolti.

Registro dei trattamenti privacy, modalità di conservazione, compilazione e aggiornamento

Il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti effettuati dal titolare o responsabile. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel registro, dando conto delle avvenute modifiche.

Il registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento.

Registro del responsabile

Il responsabile del trattamento tiene un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare” (art. 30, par. 2 del RGPD).

Registro dei trattamenti privacy, modello semplificato per le Pmi

Per le imprese e organizzazioni con meno di 250 dipendenti, comunque obbligate alla redazione del registro, potranno beneficiare di alcune misure di semplificazione. In particolare, la redazione del registro riguarderà soltanto le specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).

Al fine di semplificare il rispetto degli adempimenti previsti, il Garante ha pubblicato 2 modelli per le Pmi relativi al registro semplificato, rispettivamente:

• il registro per il responsabile del trattamento
• il registro per il per il titolare

Clicca qui per conoscere CerTus-LdL, il software pere la sicurezza nei luoghi di lavoro

Clicca qui per accedere alle FAQ

Indirizzo articolo: https://biblus.acca.it/registro-dei-trattamenti-privacy-arrivano-le-istruzioni-del-garante/