Skip to content

Il registro delle attività di trattamento: come avere a disposizione il tuo operato sui dati che tratti.

Il registro delle attività di trattamento consente di identificare il trattamento dei tuoi dati e di avere una panoramica di ciò che fai con i dati personali.

Il registro è previsto dall’articolo 30 del GDPR ed è parte integrante della documentazione di conformità.

Documento di inventario e analisi, deve riflettere la realtà del trattamento dei dati personali e consentire di identificare con precisione:

  • gli stakeholder (rappresentanti, subappaltatori, corresponsabili, ecc.) coinvolti nel trattamento dei dati;
  • le categorie di dati trattati;
  • a cosa servono questi dati (cosa ne fai), chi accede ai dati e a chi vengono comunicati;
  • il tempo di conservazione;
  • come sono protetti.

Al di là dell’’obbligo previsto dall’articolo 30 del GDPR, il registro è uno strumento per gestire e dimostrare la tua conformità al Regolamento Europeo. Ti permette di documentare il tuo trattamento dei dati e porti le domande giuste: ho davvero bisogno di questi dati come parte del mio trattamento? È importante conservare tutti i dati per così tanto tempo? I dati sono sufficientemente protetti? ecc.

La sua creazione e aggiornamento sono quindi un’opportunità per identificare e dare priorità ai rischi, rispetto al GDPR. Questo passaggio essenziale ti consentirà di produrre un piano d’azione per rendere il tuo trattamento conforme alle norme sulla protezione dei dati.

 Chi è interessato?

L’obbligo di tenere traccia del trattamento riguarda tutti gli enti, pubblici e privati, indipendentemente dalla loro dimensione, quando trattano dati personali.

Disposizioni per le organizzazioni con meno di 250 dipendenti

Le aziende con meno di 250 dipendenti beneficiano di un’esenzione per quanto riguarda la tenuta dei registri. Devono registrare nel registro solo i seguenti trattamenti di dati:

  • elaborazioni non occasionali (esempio: gestione buste paga, gestione clienti/prospect e fornitori, ecc.);
  • trattamento che possa comportare un rischio per i diritti e le libertà delle persone (esempio: sistemi di geolocalizzazione, videosorveglianza, ecc.)
  • trattamento relativo a dati sensibili (esempio: dati sanitari, reati, ecc.).

In pratica, tale deroga è quindi limitata a casi molto specifici di trattamento, attuati in maniera occasionale e non ordinaria, come ad esempio una campagna di comunicazione in occasione dell’apertura di un nuovo stabilimento, purché tale trattamento non comporti qualsiasi rischio per gli interessati.  In caso di dubbio sull’applicazione di tale deroga a un trattamento, si raccomanda di inserirla nel proprio registro.

Un registro specifico per le attività di outsourcing dei dati personali

Le organizzazioni che elaborano dati personali per conto di un’altra organizzazione (incaricati del trattamento come, ad esempio, fornitori di servizi IT o agenzie di marketing o comunicazione, che elaborano dati personali per conto dei propri clienti) devono anche conservare un registro delle attività di elaborazione che coinvolgono i dati.

Per maggiori dettagli: consultare la guida GDPR per i subappaltatori.

Cosa contiene il registro?

L’articolo 30 del GDPR prevede specifici obblighi per il registro del titolare del trattamento dei dati personali e per il registro del subappaltatore. Se la tua organizzazione agisce sia come responsabile del trattamento che come titolare del trattamento, il tuo registro deve quindi distinguere chiaramente tra le due categorie di attività.

In pratica, in questo caso, si consiglia di tenere 2 registri:

  1. uno per il trattamento dei dati personali di cui sei responsabile,
  2. un altro per i trattamenti che svolgi, in qualità di sub responsabile, per conto dei tuoi clienti.

Il registro del titolare del trattamento

Il registro del titolare del trattamento deve elencare tutti i trattamenti effettuati dall’organizzazione, quindi, per ciascuna di queste attività deve essere redatta una scheda anagrafica.

Questo registro deve includere il nome e i dettagli di contatto della tua organizzazione nonché, ove applicabile, il tuo rappresentante, se la tua organizzazione non è stabilita nell’Unione Europea, e il tuo responsabile della protezione dei dati se ne hai uno.

Inoltre, per ciascuna attività di trattamento, la scheda anagrafica deve contenere almeno i seguenti elementi:

  1. ove applicabile, il nome e i dati di contatto del contitolare del trattamento implementato;
  2. le finalità del trattamento, per le quali hai raccolto i dati;
  3. le categorie di interessati (cliente, potenziale cliente, dipendente, ecc.);
  4. le categorie di dati personali (esempi: identità, situazione familiare, economica o finanziaria, dati bancari, dati di connessione, dati di localizzazione, ecc.);
  5. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, inclusi i subappaltatori;
  6. i trasferimenti di dati personali verso un paese terzo o verso un’organizzazione internazionale e, in casi particolarissimi, le garanzie previste per tali trasferimenti;
  7. termini per la cancellazione delle diverse categorie di dati, ovvero il periodo di conservazione, o in mancanza, i criteri per determinarlo;
  8. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative implementate.

Che forma deve assumere il registro

Il GDPR richiede solo che il registro sia in forma scritta e può essere costituito in formato cartaceo o elettronico.

Chi deve tenere il registro

Il registro deve essere tenuto dai titolari del trattamento o da una persona all’interno dell’organizzazione.

Qualora l’organizzazione abbia nominato un responsabile della protezione dei dati (DPO), interno o esterno, quest’ultimo potrebbe essere incaricato della tenuta del registro. Il registro potrebbe quindi costituire uno degli strumenti che consentono al responsabile della protezione dei dati (DPO) di svolgere le proprie missioni di controllo del rispetto del GDPR, nonché di informare e consigliare il titolare o il subappaltatore. Le persone autorizzate al trattamento ne possono avere copia, in modo da avere una panoramica di tutte le attività di trattamento dei dati personali che svolgono.

Come creare un registro

Devono essere raccolte tutte le informazioni e:

  1. Individuare e incontrare i responsabili operativi dei vari dipartimenti preposti al trattamento dei dati personali;
  2. Se l’organizzazione dispone di un sito web, analizzarlo e identificare i dati raccolti nei moduli online (questionario, modulo di contatto, creazione di un account, ecc.), l’informativa cita la “protezione dei dati”, l’uso dei cookie, ecc.

Con quale frequenza deve essere aggiornato il registro

Il registro deve essere aggiornato regolarmente in base all’evoluzione funzionale e tecnica del trattamento dei dati. In pratica, nel registro deve essere iscritta qualsiasi modifica apportata alle condizioni di attuazione di ogni trattamento iscritto nel registro (nuovi dati raccolti, estensione del periodo di conservazione, nuovo destinatario del trattamento, ecc.).

A chi va comunicato il registro

Per sua natura, il registro è un documento interno e in evoluzione, che deve soprattutto aiutare l’organizzazione a gestirne il rispetto del GDPR.

Il registro deve comunque poter essere comunicato al Garante Privacy ed autorità di controllo quando ne fanno richiesta. Può in particolare utilizzarlo nell’ambito della sua missione di controllo del trattamento dei dati.

  • Gli enti pubblici sono tenuti a comunicare il registro a chiunque ne faccia richiesta, perché si tratta di un atto amministrativo, comunicabile a tutti, ai sensi del codice dei rapporti tra il pubblico e l’amministrazione. Tuttavia, il registro comunicato deve essere occultato da qualsiasi informazione la cui divulgazione possa in particolare ledere i segreti tutelati dalla legge, ed in particolare la sicurezza dei sistemi informativi.
  • Gli enti privati ​​ (non incaricati di una missione di servizio pubblico) non sono tenuti a comunicare il registro al pubblico. Tuttavia, possono, se lo ritengono opportuno, comunicarlo alle persone che ne fanno richiesta.

Buone abitudini

Arricchire il registro di informazioni aggiuntive, vuol dire renderlo un vero e proprio strumento per gestire la compliance al GDPR. Gli obblighi di documentazione previsti dal GDPR, infatti, non si limitano all’obbligo di tenere un registro, previsto dall’articolo 30 del GDPR. Avere, nello stesso documento, tutte le informazioni relative al trattamento messe in atto e richieste dal GDPR consentirà di garantire, in ogni momento, il rispetto delle norme in materia di protezione dei dati o di individuare le azioni da condurre per realizzare questo obiettivo.

Tale registro può essere utilizzato anche dal responsabile della protezione dei dati per svolgere tutti i suoi compiti, o anche essere consultato da qualsiasi dipendente dell’organizzazione il cui scopo è implementare il trattamento dei dati.

  1. Ad esempio, aggiungendo al proprio registro le informazioni necessarie per informare le persone (base giuridica del trattamento ed eventualmente base giuridica per il trasferimento di dati verso paesi terzi, diritti che si applicano al trattamento, esistenza o meno di una decisione automatizzata, origine dei dati, ecc.) sarà uno strumento importante per redigere le informative;
  2. Nel registro può essere riportata una cronologia delle violazioni dei dati ed elencare tutti i documenti relativi ai trasferimenti di dati fuori dall’Unione Europea (clausole contrattuali, BCR, ecc.) e ai subappaltatori (subappalti – appalti).

Il registro del responsabile

Il registro del responsabile dovrebbe identificare tutte le categorie di attività di trattamento eseguite per conto dell’organizzazione.

In pratica, per ciascuna di queste categorie di attività (hosting di dati, manutenzione informatica, servizio di invio di messaggi di prospezione commerciale, ecc.) deve essere redatto un foglio di registro.

Questo registro deve includere il nome e i dettagli di contatto dell’organizzazione nonché, ove applicabile, il rappresentante, se l’organizzazione non è stabilita nell’Unione Europea, e il responsabile della protezione dei dati nel caso sia stato nominato.

Per ogni categoria di attività svolta, il registro deve contenere i seguenti elementi minimi:

  1. il nome e i dati di contatto di ciascun cliente, titolare del trattamento, per conto del quale i dati sono trattati e, ove applicabile, il nome e i dati di contatto del suo rappresentante;
  2. il nome e i dettagli di contatto dei subappaltatori utilizzati nel contesto di questa attività;
  3. le categorie dei trattamenti svolti, ovvero le operazioni effettivamente svolte conto dell’organizzazione (ad esempio: per la categoria “servizio di invio messaggi di prospecting”, può essere raccogliere indirizzi email, inviare messaggi in sicurezza, gestire cancellazioni, ecc.) 
  4. trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale. 

Nei casi molto specifici di cui al  comma dell’art. 49.1 (assenza di decisione di adeguatezza ai sensi dell’art. 45 del GDPR, assenza delle garanzie adeguate previste dall’art. 46 del GDPR e inapplicabilità delle eccezioni previste dal 1 ° comma dell’articolo 49.1), vanno citate le garanzie previste per regolare i trasferimenti.

  1. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative implementate.

Documentazione allegata

Condividi:

Facebook
Twitter
Pinterest
LinkedIn

Comments are closed for this article!

Dal Blog

Articoli Correlati

Tanto non ho niente da nascondere…

Hai ragione, sanno già tutto!!! Cerchiamo di capire I siti di social network oggi sono innumerevoli e vanno ben oltre i soliti Facebook, Twitter, Instagram,

Questo sito utilizza solo ed esclusivamente cookie tecnici per garantirvi una migliore navigazione.