Registro dei trattamenti

• Glossario
• Registro dei trattamenti

Registro dei trattamenti: Ogni Titolare del Trattamento è tenuto ad avere un registro delle attività di trattamento che vengono svolte sotto la propria responsabilità (art. 30 del Regolamento UE 2016/679 o GDPR). Tale registro dei trattamenti deve contenere tutte le seguenti informazioni minime:

a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; 

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale ed eventuale documentazione delle garanzie adeguate;

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative (art. 32 del GDPR).

Anche per il Responsabile del Trattamento è previsto l’obbligo da GDPR di detenere un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, che in questo cado deve contenente almeno:

a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati (DPO);

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale ed eventuale documentazione delle garanzie adeguate;

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

I registri dei trattamenti sopra descritti possono essere tenuti in forma scritta o anche in formato elettronico, e devono essere messi a disposizione dell'autorità di controllo quando richiesti.

Il GDPR prevede delle deroghe alla redazione e tenuta dei registri per i titolari e per i rappresentanti del trattamento per le imprese o organizzazioni con meno di 250 dipendenti, a meno che:

• il trattamento effettuato possa presentare un rischio per i diritti e le libertà dell'interessato;
• il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10.

La violazione degli obblighi inerenti alla tenuta del registro dei trattamenti comporta l'applicazione di una sanzione fino a 10milioni di euro o, per le imprese, fino al 2% del fatturato annuo dell'esercizio precedente, se superiore (art. 83, par. 4, lett a) del GDPR).