Il regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla loro libera circolazione o più comunemente noto come “GDPR” impone la tenuta di un registro dei trattamenti dati: un documento la cui redazione e gestione spetta sia al titolare che al responsabile del trattamento dei dati personali, ai sensi dell’articolo 30 del regolamento.

Nello specifico, si definisce titolare del trattamento il soggetto che determina la finalità dei trattamenti. Il responsabile del trattamento è invece il soggetto che tratta dati personali per conto del titolare del trattamento.

I titolari e i responsabili del trattamento sono obbligati a redigere e tenere aggiornati i registri. In teoria, sarebbero esclusi dall’obbligo imprese e organizzazioni con meno di 250 dipendenti.

Tuttavia, anche le aziende e le organizzazioni con meno di 250 dipendenti devono redigere e tenere aggiornati i registri nei casi in cui:

  • il trattamento dati che esse effettuano possa esercitare un rischio per i diritti e le libertà dell’interessato;
  • il trattamento non sia occasionale;
  • il trattamento includa categorie particolari di dati, tra cui l’origine etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, (articolo 9) o i dati personali relativi a condanne penali e a reati, (articolo 10).

Pertanto, anche piccolissime aziende B2B – che trattano esclusivamente i dati di contatto dei clienti e i dati dei dipendenti nella gestione del rapporto di lavoro – devono adottare i registri.

Ma quali informazioni devono contenere i registri?

 

IL REGISTRO DEL TITOLARE DEL TRATTAMENTO

La gestione del registro è responsabilità del titolare del trattamento e, se applicabile, del suo rappresentante, inoltre deve necessariamente contenere:

  1. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del co-titolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  2. le finalità del trattamento;
  3. una descrizione delle categorie di interessati e delle categorie di dati personali;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  5. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del regolamento, la documentazione delle garanzie adeguate.
  6. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 del regolamento.

 

IL REGISTRO DEL RESPONSABILE DEL TRATTAMENTO

Il responsabile del trattamento e, ove applicabile, il suo rappresentante sono obbligati alla tenuta di un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:

  1. il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
  2. le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  3. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del regolamento, la documentazione delle garanzie adeguate;
  4. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 del regolamento.

Entrambi i registri devono essere redatti e costantemente aggiornati in forma scritta o in alternativa in formato elettronico recando non solo la data di istituzione ma anche dell’ultimo aggiornamento, cosicché possano essere visionati su richiesta dell’autorità di controllo, ovvero il Garante per la Protezione dei Dati Personali. Per venire incontro alle PMI, il Garante ha previsto versioni semplificate del registro del titolare e del responsabile del trattamento.

RIVOLGITI AD ARGO

Ti serve supporto per la redazione dei Registri? Hai adottato i registri ma vuoi esternalizzare il loro periodico aggiornamento? Scrivi una mail a info@argobs.com e spiegaci le tue esigenze.

 

Shares
Share This

Condividi

Condividi questo articolo con le tue cerchie