Il Registro del Trattamento è stato introdotto in conformità del Regolamento 2016/67.
Ad oggi quindi ogni titolare del trattamento deve implementare delle misure adeguate e prevedere un registro apposito in cui segnalare tutte quelle informazioni necessarie per il monitoraggio e la tutela dei dati trattati.
L’importanza del Registro si basa su quelli che sono i principi fondamentali ravvisabili all’interno della normativa europea e, nello specifico, il principio di trasparenza, ai sensi dell’art. 5, comma 1, lett. a GDPR e quello di rendicontazione, art. 24 GDPR, c.d. accountability.
Ad oggi quindi ogni titolare del trattamento deve implementare delle misure adeguate e prevedere un registro apposito in cui segnalare tutte quelle informazioni necessarie per il monitoraggio e la tutela dei dati trattati.
L’importanza del Registro si basa su quelli che sono i principi fondamentali ravvisabili all’interno della normativa europea e, nello specifico, il principio di trasparenza, ai sensi dell’art. 5, comma 1, lett. a GDPR e quello di rendicontazione, art. 24 GDPR, c.d. accountability.
IL REGISTRO DEL TRATTAMENTO: COS’È
Il Registro del trattamento è un documento che raccoglie tutte le principali informazioni sulle attività̀ di trattamento che vengono compiute dal titolare e, se nominato, dal responsabile del trattamento in virtù di quella che è l’attività economica.
È uno strumento necessario per tracciare l’esistente; verificare la conformità al regolamento; divulgare informazioni, consapevolezza e condivisione interna; riportare le misure per la pianificazione e controllo della politica della sicurezza di dati e banche di dati.
Il registro rappresenta, dunque, uno dei basilari elementi di accountability del titolare e quindi, uno degli adempimenti più importanti riguardanti le attività di trattamento.
Il registro del trattamento può quindi essere visto come una specie di censimento delle attività di trattamento.
All’interno del documento vengono contenute le principali informazioni che sono specificamente individuate nello stesso art. 30 GDPR è importante quindi comprendere cosa è fondamentale inserire al suo interno.
Viene poi anche riportata la definizione di “trattamento” al successivo punto 2 che consiste in “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Per come stabilito dal Garante della Privacy, è obbligato chi tratta i dati personali di altri soggetti a compilare il registro delle attività di trattamento, in questo caso i soggetti di riferimento sono sia il titolare che il responsabile.
IL REGISTRO DEL TRATTAMENTO: A COSA SERVE
Il Registro del trattamento può essere cartaceo o in digitale, il titolare può scegliere liberamente se usare un foglio cartaceo, un foglio Excel, un documento elettronico, un software o altro per redigerlo e aggiornarlo. fondamentale è che sia immediatamente consultabile ed è proprio su questo punto che chi deve redigerlo deve procedere alla giusta scelta del formato.
Il registro dei trattamenti consente di tracciare e monitorare le attività di trattamento dei dati personali fatta dal titolare o dal responsabile del trattamento, sotto la propria responsabilità.
Deve mappare non solo quelli che possono essere i trattamenti elettronici, ma anche quelli cartacei, contenere le misure di sicurezza adottate in azienda e indicare i dati personali trattati e per quale scopo.
Ricordiamo, infatti, che, se si acquisiscono ulteriori dati rispetto alle finalità, la sanzione è fino a 20 milioni di euro!
Il registro del trattamento svolge poi un duplice ruolo in quanto, oltre a garantire e agevolare eventuali verifiche da parte del Garante della Privacy, risulta particolarmente utile anche per chi lo redige; questo perché consente di avere una visione d’insieme, sempre aggiornata, dei trattamenti legati ai dati personali messi in atto sotto la propria responsabilità, specificandone ogni caratteristica.
Ogni Registro del trattamento deve contenere:
- Il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- Le finalità del trattamento;
- Una descrizione delle categorie di interessati e delle categorie di dati personali;
- Categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- Ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
- Ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- Ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32 GDPR.
IL REGISTRO DEL TRATTAMENTO: COME FUNZIONA
Il registro trattamento dati è un documento interno all’azienda, ed è disciplinato dall’art. 30 del GDPR.
Affinché il registro del trattamento dati adempia alla sua funzione deve essere strutturato in modo che dai suoi contenuti emergano tutte le caratteristiche dei dati trattati, le finalità del trattamento, ogni vicenda rilevante del dato, ogni decisione che lo ha coinvolto e ogni comunicazione fatta all’interessato su sua richiesta.
Dal registro trattamenti GDPR deve emergere la liceità del trattamento, il rispetto dei principi fondamentali e le eventuali misure adottate per garantirne la sicurezza.
Documento che descrive i processi interni, gli interessati, i dati personali, le misure di sicurezza (tecniche ed organizzative) implementate.
Il Registro del trattamento è da aggiornare con cadenza stabilita, non oltre i 6 mesi.
Infine, qualora all’interno dell’azienda sia stata prevista la nomina del responsabile della protezione dei dati, detto DPO – Data Protection Officer, specifichiamo che, tra i suoi compiti, rientra quello di informare e fornire consulenza al titolare riguardo agli obblighi derivanti dal regolamento, nonché di sorvegliare su tutta la compliance normativa.
Di conseguenza, è importante e necessario, sottoporre il registro all’attenzione del DPO e interpellarlo in merito a eventuali problematiche a esso afferenti.
Se vuoi avere altre informazioni riguardo il corretto uso del registro del trattamento o avere un aiuto a rendere GDPR compliant la tua attività, contattaci subito.
Scrivici all’indirizzo di posta elettronica info@abinnovationconsulting.com, oppure compila il modulo seguente.
