Il registro dei trattamenti è probabilmente il più snobbato tra i documenti da compilare per essere in regola con il GDPR, nonostante esso rivesta una grande importanza in ambito di tutela della privacy. Già nell’articolo “Mancato adeguamento al GDPR: rischi e sanzioni”, infatti, avevamo messo in guardia sul fatto che:
Con l’introduzione del GDPR, la Guardia di Finanza è stata infine nominata come ente di controllo in materia di diritto della privacy. In particolare, la GdF indaga soprattutto 3 aspetti:
- L’avvenuta nomina del DPO
- Attività di protezione in caso di data breach, intesa come perdita accidentale di dati dovuta, ad esempio, allo smarrimento di smartphone o PC
- Corretta gestione del registro dei trattamenti
Ciò significa che il registro del trattamento, regolamentato dall’articolo 30 del Regolamento Europeo, è uno degli elementi oggetto di maggiori controlli da parte degli enti predisposti, eppure sono molte le aziende che lo gestiscono in maniera approssimativa o persino scorretta e, quasi sempre, alla base sussistono problemi legati alla scarsa conoscenza della materia.
LEGGI ANCHE: Figure competenti in ambito trattamenti dei dati personali
Come compilare correttamente il Registro dei Trattamenti
Per una corretta compilazione del Registro dei Trattamenti, vi suggeriamo di creare un organigramma “privacy”, in cui specificare se è presente un DPO, chi è, chi sono i titolari, i designati, gli autorizzati, i titolari autonomi del trattamento.
Il registro deve riportare il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e, se presente, del responsabile della protezione dei dati (DPO). Suggeriamo di inserire una data di creazione e una data di aggiornamento (o revisione) del registro.
Nel registro vanno elencate tutte le finalità del trattamento. Per ogni finalità vanno specificate una descrizione delle categorie di interessati, le categorie di dati personali, le categorie di destinatari a cui i dati personali sono stati o saranno comunicati (compresi i destinatari di paesi terzi od organizzazioni internazionali), il periodo di conservazione dei dati e le misure di archiviazione/sicurezza. Nel caso di trasferimento di dati verso un Paese terzo o un’organizzazione internazionale, dovranno essere specificate le garanzie adottate.
Anche ogni responsabile del trattamento e, ove applicabile, il suo rappresentante, tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento. Sostanzialmente, il documento deve contenere le stesse informazioni del registro “principale” e, su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento mettono il registro a disposizione dell’autorità di controllo.
Se è vero che nell’articolo 30 viene specificato che la compilazione di questo registro non si applica a organizzazioni o imprese con meno di 250 dipendenti, è anche vero che la sua compilazione è obbligatoria in alcuni casi specifici.
Se vuoi ricevere assistenza totale dal punto di vista normativo e digitale, contattaci: noi di Jits siamo esperti nella corretta configurazione dei parametri GDPR.
Ci avvaliamo della collaborazione di un team legale specializzato nel Trattamento dei Dati Personali: siamo totalmente affidabili per rendere il tuo sito e la tua azienda al 100% GDPR Compliance!
Sei in freelance e hai bisogno di aiuto? Contattaci
Vuoi metterti al sicuro e rendere il tuo sito 100% GDPR compliance? Clicca sul pulsante qua sotto per info e preventivi!