Registro dei trattamenti

PRINCIPIO DI ACCOUNTABILITY (responsabilizzazione e obbligo di rendicontazione)
Registro dei trattamenti (Art. 30 reg. UE 2016/679)
DEFINIZIONE
E’un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del GDPR) relative alle operazioni di trattamento svolte dal Titolare e, se nominato, dal Responsabile del trattamento.
 
CHI È OBBLIGATO
Sono obbligati alla redazione del registro sia i Titolari del trattamento sia i Responsabili del trattamento. La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali.
In ambito privato, i soggetti obbligati sono i seguenti:
  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell'interessato;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’art. 9, par. 1, GDPR, o di dati personali relativi a condanne penali e a reati di cui all’art. 10, GDPR.
CONTENUTO DEL REGISTRO DEI TRATTAMENTI
Le informazioni da documentare comprendono:
  • nome e dati di contatto del titolare del trattamento e del contitolare del trattamento, del rappresentante del titolare del trattamento e del RPD, ove applicabile;
  • finalità del trattamento;
  • descrizione delle categorie di interessati e delle categorie di dati personali connessi al trattamento;
  • informazioni sulle categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
  • informazioni che indichino se sono stati effettuati, o saranno effettuati, trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali; o
  • ove possibile, i termini previsti per la cancellazione delle diverse categorie di dati personali, nonché una descrizione generale delle misure tecniche adottate per garantire la sicurezza del trattamento.
Il GDPR non individua un termine standard per la conservazione dei dati. L'art. 5, par. 1 lett. e) indica che devono essere conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; e che possono essere conservati per periodi più lunghi esclusivamente per finalità di pubblico interesse, di ricerca scientifica o storica o a fini statistici. In sede di predisposizione dell'informativa, inoltre, ai sensi dell'art. 13, par. 2, lett. a) il Titolare comunica all'interessato il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo.
Oltre a quanto stabilito dall'art. 30 GDPR, il Titolare o il Responsabile può introdurre ogni altra informazione che ritenga utile riportare nel registro.
FORMA DEL REGISTRO
Esso deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta formulata dal Garante per la protezione dei dati personali.
Descrizione File
Istituzione Registro Dei Trattamenti
Inserita il 28/12/2020
Modificata il 28/12/2020
Del_GC_148_23-12-2020.pdf
(230 KB)
Linee Guida Registro Trattamento
Inserita il 28/12/2020
Modificata il 28/12/2020
Linee Guida Registro Trattamento_REV.pdf
(180.64 KB)
Registro Dei Trattamenti
Inserita il 28/12/2020
Modificata il 28/12/2020
Art30_GDPR_Registro_dei_trattamenti.pdf
(245.02 KB)
torna all'inizio del contenuto