search

Cosa deve contenere il registro dei trattamenti

1 annos fa
Commenti: 0
Visualizzazioni: 195

Cosa deve contenere il registro dei trattamenti

Show

Il registro trattamento dati è un documento interno all’azienda, ed è disciplinato dall’art. 30 del GDPR

Il GDPR, se da un lato mette al centro i diritti personali dell’interessato, innalzando la privacy al valore di diritto fondamentale, dall’altro lato per far sì che la tutela della privacy sia effettiva impone degli obblighi al titolare del trattamento.

Il regolamento europeo responsabilizza il titolare per garantire la sicurezza dei dati trattati, affidandogli un ruolo proattivo e di responsabilità. Nel farlo stabilisce i principi a cui si deve attenere nel prendere qualsiasi decisione che riguarda i dati, dalla fase di raccolta fino alla fase di cancellazione.

Il GDPR impone quindi al titolare di seguire determinate procedure che sono obbligatorie per essere compliance con il GDPR : 

  • effettuare la valutazione del rischio;
  • redigere l’informativa privacy;
  • tenere il registro dei trattamenti.

INDICE

  • 1 Cos’è il registro trattamento dati?
  • 2 ISCRIVITI ORA alla newsletterLegal for Digital
  • 3 Quando è obbligatorio il registro dei trattamenti?
  • 4 Chi tiene il registro dei trattamenti?
  • 5 Quali sono i contenuti obbligatori del registro trattamento dati?
  • 6 Quali sono le modalità di gestione e conservazione del registro trattamento dati?
  • 7 Il registro trattamenti semplificato per le PMI
  • 8 Il registro dei trattamenti GDPR del responsabile esterno
  • 9 Le sanzioni relative al registro trattamento dati
  • 10 Conclusioni registro trattamento

Cos’è il registro trattamento dati?

Il registro GDPR è un documento interno all’azienda e si inserisce nel sistema di corretta gestione dei dati.

Rappresenta un documento fondamentale per la conformità al GDPR

È un adempimento nuovo rispetto alla disciplina della privacy precedente.

Il regolamento europeo ne prescrive anche i requisiti formali: il registro deve avere forma scritta, anche elettronica.

Come precisa il Garante per la privacy

Il registro dei trattamenti non costituisce un adempimento formale, bensì è parte integrante di un sistema di corretta gestione dei dati personali.

Quest’affermazione per sottolineare il fatto che la tenuta e corretta compilazione del registro trattamento dati ha un ruolo basilare per dimostrare il rispetto del principio di accountability da parte del titolare del trattamento.

Il Garante raccomanda l’utilizzo del registro anche laddove non sia obbligatorio, perché nel momento in cui il titolare del trattamento deve dimostrare di aver rispettato il principio di accountability, il registro è il principale strumento di supervisione che permette di avere un quadro preciso di come viene trattato il dato.

E visto che è onere del titolare dimostrare di agire in conformità del GDPR, è prima di tutto nel suo interesse tenere e aggiornare il registro dei trattamenti di dati personali.

Il registro trattamento dati è il punto di partenza per dimostrare la conformità alla normativa sulla privacy.

Affinché il registro del trattamento dati adempia alla sua funzione deve essere strutturato in modo che dai suoi contenuti emergano tutte le caratteristiche dei dati trattati, le finalità del trattamento, ogni vicenda rilevante del dato, ogni decisione che lo ha coinvolto e ogni comunicazione fatta all’interessato su sua richiesta. 

Dal registro trattamenti GDPR deve emergere la liceità del trattamento, il rispetto dei principi fondamentali e le eventuali misure adottate per garantirne la sicurezza.

Per quanto riguarda la comunicazione della tenuta del registro, è obbligatoria per le PA, perché è un documento amministrativo. Non è obbligatoria per le imprese perché è un documento interno.

ISCRIVITI ORA alla newsletterLegal for Digital

🟢 Aggiornamenti su ciò che riguarda il mondo legale legato al digitale
🟢 Anteprime su eventi formativi organizzati dallo studio a cui siamo invitati
🟢 Materiale formativo da scaricare, per aiutarti a essere sempre a norma di legge

Quando è obbligatorio il registro dei trattamenti?

Il registro privacy è obbligatorio per le pubbliche amministrazioni e per le imprese con più di 250 dipendenti. Ma se l’impresa tratta dati a “rischio”, è obbligatorio comunque, anche se i dipendenti sono meno di 250.

Per comprendere se l’azienda con meno di 250 dipendenti è tenuta a redigere il registro dei trattamenti deve essere fatta prima di tutto la valutazione e analisi del rischio del trattamento, che è uno degli obblighi imposti dal GDPR al titolare del trattamento.

Il garante della privacy fornisce un’interpretazione estensiva del rischi, chiarendo che è obbligatorio anche quando l’attività di trattamento implica un basso rischio per la sicurezza e le libertà dell’interessato. 

Quindi sono tenuti a tenere il registro trattamento dati le PMI se rientrano in questi casi:

  • Sono attività commerciali che hanno anche un solo dipendente ma che trattano dati potenzialmente a rischio; 
  • Attività anche con meno di 250 dipendenti che trattano dati sanitari dei clienti o comunque dati particolari (ad esempio i dentisti);
  • Sono liberi professionisti che trattano dati particolari dei clienti (avvocati);
  • Associazioni, fondazioni, comitati che trattano categorie particolari di dati;
  • Società che trattano i dati dei clienti in modo non occasionale.

Chi tiene il registro dei trattamenti?

Per quanto riguarda i soggetti responsabili del registro sono i titolari e contitolari del trattamento, i responsabili esterni al trattamento, gli eventuali sub-responsabili.

Mentre il responsabile esterno ha obblighi solo in merito al proprio registro, il titolare risponde per il proprio registro ma anche per quelli del responsabile su cui ha un potere/dovere di controllo.

Quali sono i contenuti obbligatori del registro trattamento dati?

Il regolamento europeo parla di registro attività trattamento. Cosa significa “attività”?

Bisogna che il registro del trattamento sia la fotografia perfetta di ogni dettaglio dei dati trattati.

Il GDPR scioglie ogni dubbio interpretativo su cosa si intende per attività perché stabilisce i contenuti obbligatori del registro trattamento dati: 

  •  Il registro del trattamento deve indicare tutte le persone coinvolte nel trattamento dati:
    • titolare e sue generalità
    • contitolare se c’è, e sue generalità
    • DPO se previsto, con i recapiti
    • soggetti a cui vengono comunicati i dati trattati. Ad esempio soggetti terzi che profilano i dati degli utenti sul sito web appartenente al titolare del trattamento. 
    • responsabili ed eventuali sub-responsabili del trattamento
    • eventuali incaricati al trattamento
  • Deve poi indicare la base giuridica e le finalità del trattamento;
  • Categorie di interessati (dipendenti, clienti, utenti) e tipologie di dati trattati (dati anagrafici, dati biometrici, dati sanitari);
  • Se i dati vengono trasferiti all’estero o ad un organizzazione internazionale, deve essere indicato il Paese o l’organizzazione, ma anche specificata la modalità di trasferimento in relazione alla disciplina prevista dal GDPR;
  • Le misure di sicurezza adottate dal titolare del trattamento;
  • Devono essere stabiliti i termini per la cancellazione dei dati trattati o, se questo non è possibile, va richiamato il rispetto delle norme che disciplinano la fattispecie;
  • Eventuali casi di data breach.

Questi sono i contenuti minimi del registro trattamento dati.

Ma, come precisa il GDPR, il registro può contenere ulteriori informazioni rilevanti per documentare le attività di trattamento. Ed essendo lo strumento principale con cui il Garante verifica la conformità al GDPR, è meglio annotare tutto. 

Cosa deve contenere il registro dei trattamenti

Quali sono le modalità di gestione e conservazione del registro trattamento dati?

Il registro trattamento dati è uno strumento operativo dell’impresa. Non si può sottovalutare l’aspetto di gestione del registro. È un documento dinamico dove è fondamentale l’aggiornamento. Sul registro deve quindi essere presente la data in cui è stato redatto e la data dell’ultimo aggiornamento. E, come già detto, il registro deve avere forma scritta, meglio ancora se elettronica. 

Nelle grandi aziende è opportuno nominare delle figure referenti per la tenuta del registro e, ove possibile, un gruppo di lavoro che si occupi della redazione del documento, visto che è molto complesso. Possono essere adibiti a questo ruolo i c.d. designati che con il GDPR prendono il posto degli incaricati del trattamento. Eseguono delle mansioni di trattamento secondo le istruzioni del titolare e sotto la sua responsabilità, quindi rispondono perfettamente all’esigenza di compilare e aggiornare il registro.

Bisogna tener conto del fatto che nelle grandi realtà le tipologie di dati personali trattati sono tante, e per ognuna di esse le informazioni devono essere complete. Ma non solo: è necessario aggiornare il registro ad ogni mutamento di ogni contenuto.

Purtroppo nella realtà molte imprese trascurano il fatto che ogni trattamento necessita di un registro a sé. Quindi ad esempio i dati raccolti dall’HR per il recruiting saranno trattati separatamente rispetto ai dati trattati per la formazione anche se se ne occupa lo stesso ufficio HR. 

La sinteticità è sintomo di trascuratezza, e il Garante la prima cosa che va a verificare è proprio la corrispondenza fra ciò che è documentato nel registro e quella che è la realtà dell’impresa.

Il registro trattamenti semplificato per le PMI

Per quanto riguarda le piccole e medie imprese, che, ricordo, non sono esonerate in quanto tali dal GDPR registro dei trattamenti, è possibile compilare un documento semplificato.

Lo stesso garante per la privacy mette a disposizione sia per il titolare che per il responsabile un modello del registro per le PMI

Il titolare dovrà inserire:

  • Tipologia di trattamento
  • Finalità del trattamento
  • Categorie di interessati
  • Tipologie di dati personali
  • Categorie di destinatari
  • Trasferimento dei dati verso Paesi terzi
  • Termini ultimi di cancellazione dei dati
  • Misure di sicurezza tecniche e organizzative

Il responsabile dovrà inserire:

  • I dati di contatto del responsabile e del DPO se previsto
  • Categoria di trattamento
  • Dove presente trasferimento verso Paesi terzi o organizzazioni internazionali
  • Misure di sicurezza tecniche e organizzative

Al fine di stimolare l’utilizzo del registro del trattamento, il garante stabilisce che questo modello può essere adottato anche dalle imprese che non sono obbligate a tenere il registro dei trattamenti, ma scelgono di utilizzarlo.

Il responsabile esterno è tenuto come il titolare del trattamento ad avere il registro trattamenti privacy.

Se agisce per conto di più titolari, deve redigere una sezione per ciascuno di essi. Ma se i titolari sono un numero eccessivo e cambiano frequentemente, si pensi ad esempio ad un’agenzia di marketing strutturata, allora è opportuno fare dei rinvii ad anagrafiche esterne dove sono riportate tutte le informazioni richieste dall’art. 30.

I contenuti obbligatori per il responsabile sono limitati alla descrizione dell’attività di trattamento svolta, l’eventuale comunicazione dei dati a Stati terzi e le misure di sicurezza adottate per rendere l’ambiente lavorativo idoneo al trattamento.

Se è prevista la presenza anche di sub-responsabili, sono tenuti a compilare il registro trattamenti. In questo caso l’attività di trattamento svolta dovrà corrispondere a quella prevista dal contratto stipulato con il responsabile dei trattamento.

Le sanzioni relative al registro trattamento dati

Il GDPR stabilisce che per determinate imprese è obbligatorio tenere il registro del trattamento dati. 

La mancata o incompleta attuazione dell’obbligo di tenere il registro costituisce violazione del principio di accountability.

Non parliamo quindi di una mera violazione formale, ma siamo nell’ambito della violazione della principale responsabilità del titolare del trattamento: quella per cui il titolare non solo è responsabile e risponde delle misure che intraprende, ma ha anche la responsabilità della verificabilità di ciò che mette in atto.

E come già detto il registro del trattamento dati è lo strumento che permette di dimostrare l’iter delle misure adottate e delle decisioni prese, quindi è il primo segnale che fa capire se il titolare è stato accountable oppure no.

Quindi il GDPR prevede una sanzione amministrativa per violazione delle procedure, stabilendo una multa fino a 10 milioni di euro o fino al 2% del fatturato dell’impresa. 

Cosa deve contenere il registro dei trattamenti

Conclusioni registro trattamento

Il registro dei trattamenti ha una ratio simile all’informativa privacy: non si tratta di meri adempimenti formali ma sono il presupposto per l’esercizio dei principi stabiliti dal GDPR.

L’informativa privacy è uno strumento di tutela per l’interessato perché gli permette di essere a conoscenza di come sono trattati i suoi dati e di avere i mezzi per fare le scelte in merito al consenso.

Il registro è lo strumento che tutela il titolare del trattamento perché gli dà l’opportunità di dimostrare di essere accountable nel gestire i dati. È quindi nel suo interesse tenerlo anche se non è obbligato, e compilarlo correttamente. 

Come l’informativa anche il registro va concepito come un documento che deve essere costruito ad hoc per la singola azienda.

Non sono documenti il cui ruolo è meramente formale e burocratico. Servono a rendere effettive le disposizioni del GDPR. 

È raccomandato affidarsi ad un esperto esterno che analizza tutti gli aspetti dell’azienda per redigere un documento su misura. E, se è possibile, è opportuno affidare ad un incaricato interno la compilazione e l’aggiornamento del registro. 

Questo articolo ti è stato utile?

Aiutaci a migliorare la qualità dei contenuti del blog fornendoci un rapidissimo feedback. Ti ringraziamo anticipatamente per il tempo dedicatoci.

Brunella Martino

Avvocato specializzato in privacy e proprietà intellettuale con 15 anni di esperienza, DPO, arbitro in materia societaria, autrice Flaccovio Editore, formatrice aziendale, socia FederPrivacy, segretario dell'Aiga sezione Lucca e componente Aiga nazionale Dipartimento Diritto delle nuove tecnologie

A cosa serve il Registro dei trattamenti e chi lo deve prevedere?

In particolare, prevedere nel modello di Registro la necessità di fornire una descrizione del trattamento di dati personali risulta utile al fine di comprenderne in maniera più estesa le finalità perseguite e le modalità con cui viene effettuato il trattamento, nonché altri aspetti importanti (ad esempio, strumenti ...

In che cosa consiste il registro dei trattamenti di cui all'art 30?

L'art. 30 del Regolamento Europeo 679/2016 prevede che il titolare e, ove applicabile, il suo rappresentante conservino un registro delle attività di trattamento svolte sotto la propria responsabilità contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare.

Articoli correlati

Preghiera dello spirito santo di giovanni paolo ii
Preghiera dello spirito santo di giovanni paolo ii

Come togliere l alito di cipolla yahoo
Come togliere l alito di cipolla yahoo

B&b napoli centro storico via dei tribunali
B&b napoli centro storico via dei tribunali

Cosa dire ad un uomo che si allontana
Cosa dire ad un uomo che si allontana

B&b la certosa di san martino napoli
B&b la certosa di san martino napoli

Aladdin il mondo è mio gigi d alessio
Aladdin il mondo è mio gigi d alessio

Now tv smart stick telecomando non funziona
Now tv smart stick telecomando non funziona

Chi canta il mondo è mio in italiano
Chi canta il mondo è mio in italiano

The showmen non si può leggere nel cuore
The showmen non si può leggere nel cuore

Quante ostriche ci sono in un kg
Quante ostriche ci sono in un kg

Pubblicità

ULTIME NOTIZIE

Dove trovo il reddito lordo sul cud
1 annos fa . di ElectrostaticTheater
Preghiera dello spirito santo di giovanni paolo ii
1 annos fa . di InstitutionalBreadth
Come togliere l alito di cipolla yahoo
1 annos fa . di SouthernTossing
B&b napoli centro storico via dei tribunali
1 annos fa . di TrampledFetish
Cosa dire ad un uomo che si allontana
1 annos fa . di SultryStole
B&b la certosa di san martino napoli
1 annos fa . di ClericalRetirement
Aladdin il mondo è mio gigi d alessio
1 annos fa . di InternationalWhiteness
Now tv smart stick telecomando non funziona
1 annos fa . di SlickBarrier
Chi canta il mondo è mio in italiano
1 annos fa . di GrayishGenitals
The showmen non si può leggere nel cuore
1 annos fa . di AutomatedReader

Pubblicità

Popoler

Pubblicità

Di

Legale

Aiuto

Sociale

homeendefrkoptzhitthjphi
Diritto d'autore © 2024 nguoilontuoi Inc.