Registro dei Trattamenti
Il registro dei trattamenti, o delle attività di trattamento, è disciplinato all’art. 30 GDPR, che ne prevede l’obbligo di adozione per tutti i titolari del trattamento e i responsabili del trattamento, con alcune limitazioni legate al numero dei dipendenti, riprese ed accentuate dal Garante per la protezione dei dati personali italiano nelle Faq dell’8 ottobre 2018 sull’argomento.
Le stesse Faq appena citate approfondiscono anche il contenuto minimo obbligatorio del Registro dei trattamenti, riprendendo l’elenco fornito dal legislatore europeo al menzionato art. 30 GDPR:
a.1) l’indicazione del nome titolare del trattamento e dei suoi dati di contatto;
a.2) ove applicabile, l’indicazione del nome e dei dati di contatto di:
– contitolare del trattamento;
– rappresentante del titolare del trattamento;
– Responsabile per la protezione dei dati (RPD), nella versione anglofona, Data Protection Officer (DPO);
- b) finalità del trattamento;
- c) descrizione delle categorie di interessati e delle categorie di dati personali;
- d) categorie di destinatari;
- e) ove applicabile, eventuali trasferimenti di dati personali in paesi o a organizzazioni extra UE:
- f) ove applicabile, l’indicazione dei termini ultimi di cancellazione;
- g) descrizione delle misure tecniche e organizzative adottate, nel rispetto del disposto di cui all’art. 32, par. 1 GDPR.
Anche il responsabile del trattamento è tenuto ad adottare il registro dei trattamenti, con il seguente contenuto minimo:
a.1) l’indicazione del nome responsabile del trattamento e dei suoi dati di contatto;
a.2) ove applicabile, l’indicazione del nome e dei dati di contatto di:
– eventuali altri responsabili del trattamento;
– titolare del trattamento;
– contitolare del trattamento;
– rappresentante del titolare del trattamento e/o del responsabile del trattamento;
– Responsabile per la protezione dei dati (RPD), nella versione anglofona, Data Protection Officer (DPO);
- b) categorie di trattamenti effettuati per conto di ogni titolare del trattamento;
- c) ove applicabile, eventuali trasferimenti di dati personali in paesi o a organizzazioni extra UE:
- d) descrizione delle misure tecniche e organizzative adottate, nel rispetto del disposto di cui all’art. 32, par. 1 GDPR.
Il registro dei trattamenti può essere redatto e conservato esclusivamente in formato elettronico e deve essere aggiornato tempestivamente per ogni variazione rilevante.
Deve essere esibito all’autorità di vigilanza a semplice richiesta.