Il Registro del Trattamento
Il Registro del Trattamento
Il GDPR obbliga sia i titolari che i responsabili del trattamento a tenere e mantenere aggiornato un registro “completo e esaustivo” delle particolari attività di trattamento dati che stanno svolgendo.
Il registro è espressamente richiesto quando le attività di trattamento dati:
- non sono occasionali; oppure
- possono comportare un rischio elevato per i diritti e le libertà degli interessati; oppure
- includono il trattamento di dati sensibili o di “categorie speciali di dati”; oppure
- sono effettuate da un’organizzazione con più di 250 dipendenti.
Di fatto questo vale per quasi tutti i titolari e responsabili del trattamento dei dati.
Il Registro del Trattamento deve essere tenuto per iscritto. È possibile tenere il registro sia in formato cartaceo che elettronico. Tuttavia, il formato elettronico è considerato una best practice in quanto ne agevola l’aggiornamento.
Il registro tenuto dal titolare del trattamento deve includere:
- il nome e le informazioni di contatto del titolare del trattamento e, se designati, dei responsabili del trattamento e del DPO;
- le finalità del trattamento;
- una descrizione delle diverse tipologie di utenti e di dati trattati;
- le categorie dei soggetti terzi che accedono ai dati, specificando l’eventuale Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti (in caso di trasferimento di dati verso un Paese extra UE);
- l’eventuale trasferimento di dati personali verso un Paese extra UE, identificando il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, inclusa una documentazione relativa alle misure di sicurezza adottate (se applicabile);
- i termini previsti per la cancellazione delle varie categorie di dati (ove possibile);
- una descrizione generale delle misure di sicurezza tecniche e organizzative adottate (ove possibile).
Il registro tenuto dal responsabile del trattamento deve includere:
- il nome e le informazioni di contatto del titolare del trattamento e degli ulteriori responsabili del trattamento che agiscono per suo conto e, se del caso, del DPO;
- le categorie di trattamenti effettuati per conto di ciascun titolare;
- l’eventuale trasferimento di dati personali verso un Paese extra UE, identificando il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, inclusa una documentazione relativa alle misure di sicurezza adottate (se applicabile);
- i termini previsti per la cancellazione delle varie categorie di dati (ove possibile);
- una descrizione generale delle misure di sicurezza tecniche e organizzative adottate (ove possibile).
Attenzione
Anche se le tue attività di trattamento non rientrano nelle situazioni sopra elencate, i tuoi obblighi di informare gli utenti (articoli 13 e 14) ti impongono di tenere un registro di base contenente i dati da te raccolti, le finalità, tutte le parti coinvolte e il periodo di conservazione dei dati – questo è obbligatorio per tutti.
Potresti trovare molto utile fare delle valutazioni periodiche dei dati in possesso della tua organizzazione: questa pratica è consigliata non solo per soddisfare gli obblighi di registrazione, ma anche per facilitare la revisione e l’ottimizzazione delle procedure di trattamento dei dati.
La nostra soluzione di Internal Privacy Management risulta molto utile a questo proposito, in quanto semplifica enormemente il processo di creazione e mantenimento del tuo Registro del Trattamento.
fonte: iubenda.com