GDPR: registro dei trattamenti

Il titolare ed il responsabile del trattamento devono tenere ognuno un proprio registro. Due le finalità: esibirlo al Garante della Privacy nel caso lo richiedesse e consentire di avere un quadro aggiornato dei trattamenti per una più agevole valutazione dei rischi. Sono escluse dall’obbligo di tenuto del registro le imprese con meno di 250 dipendenti, ma solo a determinate condizioni.

Il registro dei trattamenti è uno strumento del tutto nuovo nel panorama della privacy.
Previsto dal Regolamento UE 2016/679, può essere supervisionato dal Garante Privacy per verificare la conformità dell’organizzazione alle norme del Regolamento.
Il registro permette di avere un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico al fine di effettuare più agevolmente la valutazione ed analisi dei rischi.
L’onere della tenuta del registro dei trattamenti è in capo al titolare e al responsabile del trattamento (o ai loro eventuali rappresentanti).
Il contenuto di base è disciplinato dal GDPR, anche se nulla vieta ad un titolare o responsabile di inserire informazioni aggiuntive opportune nell’ottica della valutazione di impatto (DPIA) dei trattamenti svolti.
Nonostante sia prevista l’esenzione della tenuta dei registri dei trattamenti nelle imprese con meno di 250 dipendenti che non effettuino trattamenti a rischio, data la loro importanza per la DPIA il Garante ha invitato, in diverse occasioni, tutti i titolari di trattamento ed i responsabili, a prescindere dalle dimensioni dell’organizzazione, a dotarsi di tale registro.
Cosa cambia
Prima
Dopo
Fino al 24 maggio 2018
Dal 25 maggio 2018
Soggetti obbligati
Devono tenere un registro del trattamento, sotto la propria responsabilità, i titolari del trattamento ed i responsabili del trattamento, nonché i loro eventuali rappresentanti.
Imprese escluse
Le imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento effettuato:
– presenti un rischio per i diritti e le libertà dell’interessato
– non sia occasionale
– o includa il trattamento di dati sensibili o dati personali relativi a condanne penali ed a reati.
Modalità di tenuta
In forma scritta, anche in formato elettronico.
Devono essere tenuti a disposizione dell’autorità di controllo che può richiederli.
Titolare del trattamento -Contenuto del registro
Il registro del titolare del trattamento e del suo rappresentante, deve contenere:
a) il nome e i dati di contatto del titolare del trattamento e dell’eventuale contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati
b) le finalità del trattamento
c) la descrizione delle categorie di interessati e delle categorie di dati personali
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali
e) i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate
f) i termini ultimi previsti per la cancellazione delle diverse categorie di dati
g) la descrizione generale delle misure di sicurezzatecniche e organizzative
Responsabile del trattamento – Contenuto del registro
Il registro tenuto dl responsabile del trattamento e del suo rappresentante deve contenere:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e dell’eventuale responsabile della protezione dei dati
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento
c) i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate
d) la descrizione generale delle misure di sicurezzatecniche e organizzative.

(fonte IPSOA)

Questa voce è stata pubblicata in Privacy e contrassegnata con , , . Contrassegna il permalink.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...