Registro trattamenti
Cos'è il Registro dei Trattamenti dei Dati Personali (GDPR)
Il Registro dei Trattamenti dei Dati Personali (GDPR) è uno degli adempimenti introdotti con il Regolamento europeo sulla privacy (GDPR). È quel documento attraverso il quale i soggetti che trattano i dati personali raccolgono tutte le informazioni relative alla gestione dei trattamenti che essi svolgono.
Il registro può essere creato in forma scritta o elettronica e al suo interno dovranno essere riportati i dettagli delle attività svolte in merito ai dati personali. Ad esempio dovranno essere indicate le modalità e gli scopi del trattamento, le categorie di dati trattati, le misure di sicurezza adottate, etc..
In molti casi (vedi la prossima sezione) redigere questo documento è obbligatorio, in generale però predisporre un registro dei trattamenti è sempre consigliato per:
Il registro può essere creato in forma scritta o elettronica e al suo interno dovranno essere riportati i dettagli delle attività svolte in merito ai dati personali. Ad esempio dovranno essere indicate le modalità e gli scopi del trattamento, le categorie di dati trattati, le misure di sicurezza adottate, etc..
In molti casi (vedi la prossima sezione) redigere questo documento è obbligatorio, in generale però predisporre un registro dei trattamenti è sempre consigliato per:
- tener sempre traccia delle attività svolte ed avviare così un’attività di mappatura dei dati trattati (ad es. annotare nuovi trattamenti, modifiche nei destinatari extra-UE, cessione di trattamenti, etc.);
- poter dimostrare al Garante Privacy (se lo richiede) la propria conformità al principio di responsabilizzazione richiesto dal GDPR.
Quando si usa il Registro dei trattamenti
Il registro è obbligatorio per le imprese o organizzazioni con più di 250 dipendenti. Quando vi sono meno di 250 dipendenti, deve essere comunque redatto se si effettua un trattamento dei dati di persone fisiche:
Il registro è obbligatorio per le imprese o organizzazioni con più di 250 dipendenti. Quando vi sono meno di 250 dipendenti, deve essere comunque redatto se si effettua un trattamento dei dati di persone fisiche:
- in modo non occasionale (ad es. un servizio web che raccoglie dati dei propri utenti);
- con potenziali rischi per diritti e libertà dell’interessato (ad es. il tracciamento della posizione geografica);
- che riguarda dati sensibili o relativi a condanne penali o reati (ad es. dati che possono ricondurre agli orientamenti politici, religiosi o sessuali degli interessati).
Secondo il GDPR, sia il titolare del trattamento (colui che decide finalità e mezzi) sia, se nominato, il suo responsabile (colui che tratta i dati per conto del Titolare), devono redigere il registro e tenerlo sempre in costante aggiornamento. Se si effettuano trattamenti sia come titolare che come responsabile, dovranno essere redatti due registri distinti e separati. Il registro del responsabile contiene informazioni diverse rispetto a quello del titolare: ad esempio andrà indicato per ogni trattamento il titolare per conto del quale sarà effettuato il trattamento a non dovranno essere specificate alcune informazioni sui trattamenti che saranno state già inserite nel registro del titolare.
Se il titolare o il responsabile sono soggetti extra UE e vogliono effettuare un trattamento dei dati nella UE devono nominare un rappresentante che avrà la responsabilità di tenere il registro per loro conto.
Che cosa contiene il Registro dei trattamenti
È obbligatorio che nel registro del titolare vengano indicati:
Se il titolare o il responsabile sono soggetti extra UE e vogliono effettuare un trattamento dei dati nella UE devono nominare un rappresentante che avrà la responsabilità di tenere il registro per loro conto.
Che cosa contiene il Registro dei trattamenti
È obbligatorio che nel registro del titolare vengano indicati:
- Dati di contatto: per identificare il titolare o il responsabile del trattamento e degli eventuali Rappresentante del titolare e responsabile della protezione dei dati (DPO);
- finalità del trattamento: gli scopi per cui si raccolgono i dati personali (per esempio fini statistici, profilazione dell'utente, gestione dei pagamenti, etc.). L'intervista permette di scegliere alcune finalità preimpostate e alcune personalizzabili;
- base giuridica del trattamento: per specificare il motivo della legittimità del trattamento dei dati (es. basato sul consenso dell'interessato, necessario per rispettare un obbligo di legge, etc.;
- periodo di conservazione dei dati: va specificato per quanto tempo vengono conservati i dati;
- categorie di dati: per specificare quali dati personali vengono raccolti e trattati;
- categorie di interessati e di destinatari dei dati: l'elenco dei soggetti da cui vengono raccolti i dati e di quelli a cui verranno comunicati (specificando se si trovano in paesi extra UE);
- misure di sicurezza adottate: le tutele tecniche e organizzative che sono state adottate per prevenire rischi di distruzione, perdita, o di accesso non autorizzato ai dati personali.
| Descrizione | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| Nessun documento caricato per la categoria selezionata | |||||||||