Una delle novità introdotte dal Regolamento generale sulla protezione dei dati (GDPR) è la tenuta del registro delle attività di trattamento.
Chi deve tenerlo
Secondo l’Articolo 30, i titolari ed i responsabili del trattamento sono tenuti a redigere il registro delle attività di trattamento, nello specifico:
- Le imprese e organizzazioni (tra cui le associazioni, le fondazioni e i comitati) con più di 250 dipendenti;
- Qualsiasi impresa o organizzazione con meno di 250 dipendenti se:
- Il trattamento dei dati rappresenta un rischio per i diritti e le libertà degli interessati;
- Il trattamento è occasionale;
- Il trattamento riguarda categorie particolari di dati o dati relativi a condanne penali e reati.
Qualche esempio
Dal sito del Garante Privacy:
- Esercizi commerciali o pubblici con almeno un dipendente che trattano dati sanitari dei clienti – dentisti, tatuatori, estetisti, ottici, ecc;
- Liberi professionisti con almeno un dipendente che trattano dati sanitari o relativi a condanne penali/reati – commercialisti, notai, fisioterapisti, farmacisti, ecc;
- Associazioni, fondazioni o comitati che trattano categorie particolari di dati o dati relativi a condanne penali/reati – associazioni che tutelano ex denuti, persone con disabilità, associazioni sportive, sindacati, ecc;
- Il condominio, nel caso in cui tratti categorie particolari di dati.
Tuttavia, il Garante Privacy invita tutti i titolari e i responsabili del trattamento alla tenuta del registro, come prova del principio di accountability e dimostrazione di conformità al Regolamento.
Cosa contiene
Come spiegato dall’Articolo 30, il registro contiene le seguenti informazioni:
- Nome e dati di contatto del titolare del trattamento e del responsabile del trattamento, ed eventualmente del contitolare del trattamento, del rappresentante del titolare e del responsabile della protezione dei dati (DPO);
- La finalità del trattamento;
- Le categorie degli interessati e dei dati personali;
- I destinatari terzi a cui sono comunicati i dati;
- I trasferimenti internazionali di dati personali (se applicabile);
- I termini ultimi per la cancellazione dei dati;
- Una descrizione generale delle misure di sicurezza tecniche ed organizzative implementate a protezione dei dati.
Formato del registro
Il registro deve essere tenuto in forma scritta e può essere compilato in formato cartaceo o elettronico, a discrezione del titolare e del responsabile del trattamento. Inoltre, deve indicare la data della creazione e dell’ultimo aggiornamento. É necessario che sia costantemente aggiornato in modo da riflettere i cambiamenti in merito al trattamento dei dati e messo a disposizione su richiesta dell’autorità di vigilanza.
Modelli precompilati personalizzabili
Il Garante Privacy ha messo a disposizione i modelli di “registro semplificato” per aiutare le PMI ad adempiere all’obbligo di tenuta del registro.
Scarica: Registro delle attività di trattamento del titolare per PMI
Scarica: Registro delle attività di trattamento del responsabile per PMI
Diventa esperto di GDPR in 5 giorni
Il registro delle attività di trattamento è solo uno degli obblighi a cui le aziende devono sottostare per rispettare il GDPR. Se sei un titolare o un responsabile del trattamento, e non hai dimestichezza con le novità apportate dal Regolamento, il corso di formazione combinato GDPR di IT Governance è quello che fa per te.
Composto dal corso online di base e dal corso professionale, grazie al corso online combinato diventerai un vero esperto di GDPR in 5 giorni ed acquisirai le conoscenze per pianificare, implementare e mantenere un programma di conformità al Regolamento nella tua azienda.
Se hai dei dubbi o domande particolari sul corso, parla con uno dei nostri esperti, è qui per aiutarti.
|
|
|
