Articolo 30 GDPR

Registri delle attività di trattamento

1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle
   attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
   a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del
   trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
   b) le finalità del trattamento;
   c) una descrizione delle categorie di interessati e delle categorie di dati personali;
   d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
   e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
   f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
   g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
2. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:
   a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
   b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
   c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
   d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
3. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.
4. Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.
5. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

SPIEGAZIONE

Il registro delle attività di trattamento rappresenta uno degli aspetti in cui si declina il principio di accountability previsto dal Regolamento. Infatti, per dimostrare di conformarsi alla normativa, il titolare e il responsabile del trattamento devono tenere un registro delle attività di trattamento effettuate sotto la loro responsabilità e, quando richiesto, metterlo a disposizione dell’Autorità di controllo.

Le finalità perseguite attraverso l’obbligo di tenuta del registro sono duplici:

• da un lato, rappresenta lo strumento di cooperazione con il Garante Privacy, che consente allo sesso di inquadrare i trattamenti posti in essere;
• dall’altro lato, costituisce un documento da redigere al termine di un’analisi dei dati e di una ricognizione delle finalità perseguite.

In tal modo, il registro dei trattamenti diviene un mezzo di documentazione della conformità della propria organizzazione alle prescrizione di legge ma anche un ottimo mezzo di comunicazioen interna tra titolare del trattamento e responsabile del trattamento.

Il registro deve essere mantenuto sempre aggiornato e sempre effettivamente corrispondente con la realtà dei trattamenti posti in essere. Ciò implica che ogni cambiamento che sopraggiunge deve essere inserito nel registro (dando conto delle modifiche intervenute).

Bisogna dire, infine, due cose riguardo al registro delle attività di trattamento.

La prima è che il registro, tenuto in formato cartaceo o elettronico, deve soddisfare il requisito della forma scritta perché possa considerarsi validamente tenuto ed opponibile in giudizio. Per tal motivo, deve essere tenuto in conformità alle disposizioni del combinato disposto di cui agli artt. 1350 e 1325 Codice civile se tenuto in modalità cartacea; se tenuto in formato elettronico, deve seguire le disposizioni del Codice dell’amministrazione digitale (CAD).

Per ultimo, rimane da analizzare il contenuto del registro delle attività di trattamento. Questo deve contenere:

• il nome e i dati di contatto del titolare, se presenti anche quelli del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
• le finalità del trattamento;
• una descrizione delle categorie di interessati;
• una descrizione delle categorie di dati personali;
• le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
• se posti in essere, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale;
• i termini ultimi previsti per la cancellazione delle diverse categorie;
• ove possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative di cui all’art. 32 par. 1

Inoltre, il registro può contenere qualsiasi altra forma che il titolare o il responsabile del trattamento ritengano utile.

Rimani aggiornato, segui la nostra pagina Facebook!

Pagina creata da FreeAttitude.net