17 Mag Il registro delle attività di trattamento dei dati: definizione
Come stabilito dall’art. 30 del Regolamento tutti i titolari ed i responsabili di trattamento, ad eccezione delle imprese e organizzazioni che hanno meno di 250 dipendenti, devono tenere un registro di tutte le effettuate attività di trattamento dei dati.
E’ un documento che dovrà contenere le informazioni inerenti le attività riguardanti il trattamento dei dati personali, quali:
1. il nome e i dati di contatto del titolare (ed eventualmente del contitolare) del trattamento, del rappresentante del titolare e del responsabile della protezione dei dati;
2. le finalità del trattamento;
3. una descrizione delle categorie di interessati e delle categorie di dati personali trattati;
4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi eventualmente i destinatari di paesi terzi non appartenenti all’Unione Europea od organizzazioni internazionali;
5. nel caso in cui sia previsto, l’indicazione del fatto che i dati personali saranno trasferiti verso un paese terzo o un’organizzazione internazionale, indicando anche di quale paese od organizzazione internazionale si tratta e, inoltre, la documentazione delle garanzie previste;
6. i termini ultimi stabiliti per la cancellazione delle diverse categorie di dati; e infine
7. una descrizione generale delle misure di sicurezza tecniche e organizzative individuate al fine di garantire un livello di sicurezza dei dati personali adeguato al rischio cui gli stessi sono esposti.
Per quanto concerne i soggetti obbligati alla tenuta del registro dei trattamenti, come risulta dall’art. 30, paragrafi 2 e 3 sono tanto il titolare quanto il responsabile del trattamento ovvero, se presenti, i loro rappresentanti.
Il registro delle attività di trattamento si configura come uno strumento fondamentale non soltanto ai fini di eventuali controlli di legittimità da parte del Garante della Privacy, ma anche perché consente di avere a disposizione un quadro aggiornato dei trattamenti che vengono realizzati nell’azienda, organizzazione o soggetto pubblico.
Da un punto di vista strettamente formale, il Regolamento non detta particolari regole generali né individua le concrete modalità attraverso cui il registro delle attività di trattamento dovrà essere formato.
L’art. 30 si limita infatti a precisare che il registro delle attività di trattamento dei dati dovrà essere tenuto in forma scritta, su supporto tangibile oppure, e preferibilmente, in formato elettronico, e dovrà inoltre essere messo a disposizione su richiesta dell’autorità di controllo.
Un’adeguata predisposizione del registro delle attività di trattamento potrà essere, infatti, un elemento importante al fine di realizzare un corretto trattamento dei dati personali, in linea quindi con l’obiettivo della c.d. accountability.
La necessità di dimostrare la legittimità del trattamento dei dati e la conformità alla disciplina dettata dal Regolamento prescinde dalle dimensioni effettive dell’organizzazione aziendale.