Registro del trattamento dati. Ecco il vademecum del Garante

72
adv

Arrivano direttamente dal Garante della privacy i chiarimenti utili alle impresse, ma anche alle pubbliche amministrazioni, per una corretta tenuta del Registro del trattamento previsto dal GDPR.

Come è ormai noto, il Registro del trattamento è un documento all’interno del quale vengono censiti tutti i trattamenti di dati sensibili effettuati dal titolare e dal responsabile del trattamento, e che deve essere esibito su richiesta dell’Autorità ogni qual volta questa lo ritenga necessario. Al fine di agevolarne la gestione, il Garante ha diffuso delle linee guida e le faq utili per una maggiore precisione nell’utilizzo del registro.

Chi deve tenere il registro

Il registro deve essere tenuto da tutte le imprese o le organizzazioni con più di 250 dipendenti; da tutti i titolari o i responsabili che effettuano trattamenti a rischio per i diritti e le libertà dell’interessato, in questo caso anche se l’ente ha meno i 250 dipendenti; dai titolari e i responsabili che effettuano trattamenti di categorie particolari (art.9, par.1), di dati relativi a condanne penali, o di altri reati citati nell’art. 10 del regolamento.

Il Garante in ogni caso consiglia di tenere sempre il registro, anche quando non si è sottoposti all’obbligo.

Contenuto del registro

Il Garante si è soffermato a spiegare all’interno del documento anche dettagli relativi al contenuto del Registro. Ha sottolineato, per esempio, che nel campo “Termini ultimi previsti per la cancellazione delle diverse categorie di dati” vanno indicati i tempi di cancellazione a seconda di tipologia e finalità del trattamento. Ancora, alla voce “Descrizione generale delle misure di sicurezza” è possibile indicare i documenti esterni (come le procedure organizzative e le policy aziendali) a cui si rimanda per una valutazione più precisa. La voce, in ogni caso, andrà aggiornata continuamente rispetto ai nuovi rischi e alle nuove tecnologie. Infine, nel campo “Finalità del trattamento” andrà indicata la relativa base giuridica, le garanzie e soprattutto la preventiva valutazione di impatto.

Aggiornamenti

Di fondamentale importanza sarà indicare la data di creazione del registro o di una nuova scheda relativa a una tipologia di trattamento differente, così come i riferimenti e la datazione dell’ultimo aggiornamento, indipendentemente dal fatto che si tratti di registro digitale o cartaceo.

Responsabile esterno

Il Garante si è espresso anche sul ruolo del cosiddetto Responsabile esterno. In questo caso, infatti, ovvero nella circostanza in cui il responsabile agisca per conto di più titolari, le informazioni vanno riportate nel registro in maniera specifica per ogni titolare, quindi con una voce differente e una sezione specifica per ogni documento.