Il registro dei trattamenti (che deve essere redatto soltanto da specifiche categorie di titolari elencate nel Regolamento) ha due finalità.
La prima, più pratica, è di esibirlo all’autorità di controllo nel caso il Garante lo richiedesse. Perché sia utile all’autorità di controllo, dovrebbe consentire di avere un quadro completo di tutti i trattamenti, dei dati e delle misure di sicurezza già “a prima vista”.
La seconda funzione, più programmatica, è che tramite la compilazione di un registro dei trattamenti, e un suo costante aggiornamento, si può impostare sin dall’inizio un approccio alla sicurezza molto corretto, che tenga in ogni momento sotto controllo la vita del dato e i comportamenti di chi tratta il dato stesso.
L’Articolo 30 descrive il contenuto minimo dei registri delle attività di trattamento, che dovrebbero contenere tutte le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (ciò consente di individuare all’istante i vertici del trattamento)
b) le finalità del trattamento (ossia per quali fini i dati sono stati raccolti)
c) una descrizione delle categorie di interessati e delle categorie di dati personali
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di Paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati (questa si tratta di una delle novità più interessanti, strettamente correlata a una previsione esplicita della data di “morte” del dato);
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative predisposte.
Il registro dei trattamenti non è, quindi, un semplice registro, ma contiene tutte le informazioni essenziali per comprendere la strategia di compliance adottata nel contesto concreto.
Il registro diventa quindi fondamentale per redigere una mappa, costantemente aggiornata, dei dati e della loro “vita”.
