Che cosa è il Registro dei trattamenti?
E’ un documento di censimento e analisi dei trattamenti dei dati personali effettuati dal titolare o dal responsabile. Il Registro deve essere tenuto aggiornato perché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Il Registro può essere in formato cartaceo o elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua creazione e quella dell’ultimo aggiornamento. Es. “ scheda creata in data XY”; “ultimo aggiornamento avvenuto in data XY”.
Il Registro deve sempre essere esibito, su richiesta, al Garante.
Cosa deve contenere il Registro dei trattamenti?
- nel campo “finalità del trattamento”, elencare le finalità distinte per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini)
- nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);
- nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi).
N.B. E’ opportuno che siano indicati anche gli eventuali responsabili e sub-responsabili del trattamento a cui sono trasmessi i dati da parte del titolare (es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento); - d) nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti, unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate: es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.;
- e) nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri come norme di legge, prassi settoriali (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”);
- In the field of “general description of security measures,” the technical and organizational measures adopted by the data controller should be indicated.
- It is possible to include a general description of the technical and organizational security measures adopted.
Perché è importante tenere il Registro dei trattamenti?
Perché rappresenta uno dei principali elementi di “accountability” del titolare del trattamento, fungendo da strumento idoneo a fornire un quadro aggiornato dei trattamenti in corso all’interno di un’organizzazione, indispensabile per qualsiasi attività di valutazione o analisi del rischio relativo al trattamento dei dati.
