Il Registro delle Attività di Trattamento: cos'è e chi lo deve tenere

di: Redazione - 23/05/2018
Il Registro delle Attività di Trattamento: cos'è e chi lo deve tenere

A partire dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri il regolamento Ue 206/679, noto come GDPR (General Data Protection Regulation) relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.

Come stabilito dall'art. 30 del GDPR, tutti i titolari e i responsabili di trattamento dei dati personali, ad eccezione delle imprese e organizzazioni che hanno meno di 250 dipendenti (ma solo se non effettuano trattamenti a rischio), devono tenere un registro di tutte le attività di trattamento dei dati effettuate.

Il registro può essere tenuto, oltre che in formato cartaceo, anche in formato elettronico dal titolare del trattamento dei dati e dovrà essere messo a disposizione dell’Autorità Garante qualora lo richieda, così come è previsto dal par. 4 dell’art. 30: su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.”

Cosa deve contenere il registro delle attività di trattamento

- Il nome e i dati di contatto del titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

- Le finalità del trattamento;

- La descrizione delle categorie di interessati e delle categorie di dati personali;

- Le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi;

- Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;

- I termini ultimi previsti per la cancellazione delle diverse categorie di dati;

- Una descrizione generale delle misure di sicurezza tecniche e organizzative.

Questo registro è quindi uno degli adempimenti più importanti concernenti le attività di trattamento.

Al titolare del trattamento è imposto l’obbligo di documentazione della conformità della propria organizzazione alle prescrizioni della legge; quest’obbligo grava anche sul responsabile, per i trattamenti che questi svolga per conto di un titolare.

Chi deve dotarsi del registro delle attività di trattamento

L’obbligo di redazione e adozione del registro non è generale: il par. 5 dell’art. 30 specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”

Riguardo ai soggetti obbligati alla tenuta del registro dei trattamenti, come risulta dall'art. 30, paragrafi 2 e 3 essi sono il titolare e il responsabile del trattamento o, se presenti, i loro rappresentanti.

Le altre funzioni del registro

La tenuta del registro non è solo un obbligo. La sua redazione può avere anche altri scopi:

  • Diffondere informazione, consapevolezza e condivisione interna;

  • Costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati.

 

Come diventare responsabile della sicurezza dei dati: la figura del DPO, il Data Protection Officer


Il corso DPO per Data Protection Officer abilita questa nuova figura professionale e prevede una formazione sia sui compiti previsti sia sulle nuove norme di gestione dei dati.

Quali sono i compiti del Data Protection Officer

Il DPO deve rimanere aggiornato sulle normative vigenti riguardo la protezione dei dati e la gestione degli stessi.Attraverso il corso verranno affrontate tutte le dinamiche dell’archiviazione, i diritti dell’individuo e la posizione del data protection officer stesso all’interno delle strutture.


La Certificazione Data Protection Officer

La certificazione DPO rilasciata da EIPASS è un titolo internazionale, valido per concorsi e pubbliche amministrazioni. Il titolo rilasciato è fondamentale per ricoprire l’incarico di Data Protection Officer all’interno delle Amministrazioni Pubbliche.


Perché conseguire una certificazione Data Protection Officer

Il corso per diventare DPO è una soluzione per chi vuole mantenere efficace e produttiva la propria struttura aziendale, ma anche per chi cerca nuovi sbocchi professionali, o è in cerca di un impiego e desidera specializzarsi con un profilo professionale già molto richiesto.

Il Modello del Registro Attività di Trattamento

E' possibile scaricare gratuitamente il modello del Registro delle Attività di Trattamento cliccando QUI

ISCRIVITI AL CORSO DPO