Il registro dei trattamenti:

di | 24 March 2017

L’articolo 30 del Gdpr riporta l’onere in capo al Titolare del Trattamento (30.1 ) e al Responsabile (processor 30.2) della tenuta dei registri delle attività di trattamento effettuate.

In dettaglio, l’articolo 30  elenca le informazioni che questo deve obbligatoriamente contenere ovvero:

a) nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Si tratta di un macro adempimento formale, la cui tenuta è indice (e non prova) di una gestione del dato conforme alla legge.

Titolari e Responsabili dovranno conformarsi entro il 24 maggio 2018, enti e altri organismi con meno di 250 dipendenti sono esentati purchè:

  1. il titolare non effettui trattamenti che possano presentare un rischio per i diritti e le libertà degli interessati:
  2. il trattamento non sia occasionale o includa dati di cui all’art. 9.1 o all’articolo 10. (dati particolari e dati personali giudiziari)

 

Azienda con meno di 250 Dipendenti  

Caso

Trattamento rischioso Frequenza del trattamento rischio

 Occasionale o non occasionale/abituale

Trattamento rischioso di dati speciali Art.9 e 10 GDPR Obbligo tenuta registro
A SI Non occasionale SI Si
B SI Non Occasionale No Si
C SI Occasionale Si Si
D SI Occasionale No No
E NO  

——————————

 

——————– NO

Pertanto, un Titolare  o un Responsabile, che effettua un trattamento di dati,  non appartenenti alla categoria di dati particolari o personali relativi a condanne penali e reati (art. 9 e 10), sebbene catalogato “rischioso per i diritti e le libertà degli interessati” ed effettuato con  frequenza “occasionale” non fa sorgere l’obbligo della tenuta del registro dei trattamenti.

Purtroppo né l’articolo 30 né il GDPR chiarisce quando un trattamento è occasionale o quando rappresenta un rischio per i diritti e le libertà degli interessati e in mancanza di linee guide ufficiali, direttive chiarificatorie, una delle chiavi di lettura che ritengo opportuna è l’applicazione del principio di “Accountability” ovvero procedere con una valutazione obiettiva e concreta dei rischi, adottare le misure adeguate ed efficaci e dimostrarne l’efficacia.

Certo che una linea guida sarebbe d’aiuto!!

 

 

2 pensieri su “Il registro dei trattamenti:

  1. paolo calvi

    nell’attesa delle LG, a qualcuno risulta che i registri tenuti da titolari e quelli tenuti da responsabili (anche dallo stesso soggetto in veste di titolare e di responsabile nominato da altri titolari) debbano contenere le stesse informazioni , descritte in questo post? oppure è prevista qualche differenza?

  2. cinziameucci Autore articolo

    Non risulta che ci siano differenze sostanziali.
    L’articolo 30 prevede che i punti sopra elencati b) c) e d) siano riferiti solo al registro del Titolare ma secondo me questi vengono riuniti al punto b) del paragrafo 2 dedicato al registro del Responsabile ovvero “categorie dei trattamenti effettuati per conto di ogni titolare del trattamento”.
    Stessa cosa per il punto f.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.