Garante privacy. Registro dei trattamenti: Faq e modelli

Pubblicato il


Garante privacy. Registro dei trattamenti: Faq e modelli

Sono online, sul sito del Garante della privacy, le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (RGPD).

Disponibili anche:

  1. il Modello di “registro semplificato” delle attività di trattamento del titolare per PMI;
  2. il Modello di “registro semplificato” delle attività di trattamento del responsabile per PMI.

L'Authority ne dà notizia attraverso il comunicato stampa dell'8 ottobre 2018.

L’obbligo di redigere il Registro, si legge nella nota, costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.

Registro delle attività di trattamento anche per il libero professionista

La pagina dedicata al Registro delle attività di trattamento, sul sito del Garante della privacy (https://www.garanteprivacy.it/regolamentoue/registro), contiene link alla normativa e a documenti interpretativi, schede informative e pagine tematiche, ed è in continuo aggiornamento.

Tra gli strumenti offerti anche le Faq, aggiornate all'8 ottobre 2018.

Il Registro, si spiega nel comunicato:

  • deve essere predisposto dal titolare e dal responsabile del trattamento;
  • deve contenere le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista;
  • deve avere forma scritta, anche elettronica;
  • deve essere esibito su richiesta al Garante.

Faq. E' comunque preferibile predisporlo

Con le Faq il Garante precisa che sono tenuti a redigere il Registro: tutti i titolari e i responsabili del trattamento.

In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

  • imprese o organizzazioni con  almeno 250 dipendenti;

  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell'interessato;

  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;

  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Tuttavia, al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.

Dunque, anche quando non esiste un obbligo stretto, è comunque preferibile predisporre il registro delle attività di trattamento.

Con le risposte vengono puntualizzate le informazioni che deve contenere il Registro e le modalità per la sua conservazione e il suo aggiornamento.

Allegati Anche in
  • eDotto.com - Edicola del 20 settembre 2018 - Codice Privacy adeguato. Dal Garante il testo coordinato - Pergolari