Informazioni su questo Documento Legale

23-10-2018
Ultimo Aggiornamento
15 Minuti
Creazione semplice e veloce
Supporto fino alla firma
Guida adempimenti successivi
Cos'è il Registro dei Trattamenti dei Dati Personali (GDPR)

Il Registro dei Trattamenti dei Dati Personali (GDPR) è uno degli adempimenti introdotti con il Regolamento europeo sulla privacy (GDPR). È quel documento attraverso il quale i soggetti che trattano i dati personali raccolgono tutte le informazioni relative alla gestione dei trattamenti che essi svolgono.

Il registro può essere creato in forma scritta o elettronica e al suo interno dovranno essere riportati i dettagli delle attività svolte in merito ai dati personali. Ad esempio dovranno essere indicate le modalità e gli scopi del trattamento, le categorie di dati trattati, le misure di sicurezza adottate, etc. Deve essere sempre aggiornato provvedendo a tenere traccia di ogni eventuale nuovo trattamento dei dati o di modifiche a quelli esistenti.

In molti casi (vedi la prossima sezione) redigere questo documento è obbligatorio, in generale però predisporre un registro dei trattamenti è sempre consigliato per:

  • tener sempre traccia delle attività svolte ed avviare così un’attività di mappatura dei dati trattati (ad es. annotare nuovi trattamenti, modifiche nei destinatari extra-UE, cessione di trattamenti, etc.);
  • poter mostrare al Garante Privacy (se lo richiede) la propria conformità al principio di responsabilizzazione richiesto dal GDPR.

Quando si usa il Registro dei trattamenti

Il registro è obbligatorio per le imprese o organizzazioni con più di 250 dipendenti. Quando vi sono meno di 250 dipendenti, deve essere comunque redatto se si effettua un trattamento dei dati di persone fisiche:

  • in modo non occasionale (ad es. un servizio web che raccoglie dati dei propri utenti);
  • con potenziali rischi per diritti e libertà dell’interessato (ad es. il tracciamento della posizione geografica);
  • che riguarda dati sensibili o relativi a condanne penali o reati (ad es. dati che possono ricondurre agli orientamenti politici, religiosi o sessuali degli interessati).

Secondo il GDPR, sia il titolare del trattamento (colui che decide finalità e mezzi) sia, se nominato, il suo responsabile (colui che tratta i dati per conto del Titolare), devono redigere il registro e tenerlo sempre in costante aggiornamento. Se si effettuano trattamenti sia come titolare che come responsabile, dovranno essere redatti due registri distinti e separati. Il registro del responsabile contiene informazioni diverse rispetto a quello del titolare: ad esempio andrà indicato per ogni trattamento il titolare per conto del quale sarà effettuato il trattamento a non dovranno essere specificate alcune informazioni sui trattamenti che saranno state già inserite nel registro del titolare.

Se il titolare o il responsabile sono soggetti extra UE e vogliono effettuare un trattamento dei dati nella UE devono nominare un rappresentante che avrà la responsabilità di tenere il registro per loro conto.

Che cosa contiene il Registro dei trattamenti

È obbligatorio che nel registro del titolare vengano indicati:

  • Dati di contatto: per identificare il titolare o il responsabile del trattamento e degli eventuali Rappresentante del titolare e responsabile della protezione dei dati (DPO);
  • finalità del trattamento: gli scopi per cui si raccolgono i dati personali (per esempio fini statistici, profilazione dell'utente, gestione dei pagamenti, etc.). L'intervista permette di scegliere alcune finalità preimpostate e alcune personalizzabili;
  • base giuridica del trattamento: per specificare il motivo della legittimità del trattamento dei dati (es. basato sul consenso dell'interessato, necessario per rispettare un obbligo di legge, etc.;
  • periodo di conservazione dei dati: va specificato per quanto tempo vengono conservati i dati;
  • categorie di dati: per specificare quali dati personali vengono raccolti e trattati;
  • categorie di interessati e di destinatari dei dati: l'elenco dei soggetti da cui vengono raccolti i dati e di quelli a cui verranno comunicati (specificando se si trovano in paesi extra UE);
  • misure di sicurezza adottate: le tutele tecniche e organizzative che sono state adottate per prevenire rischi di distruzione, perdita, o di accesso non autorizzato ai dati personali.

È possibile stabilire il grado di dettaglio del registro e decidere di indicare informazioni in più, nel caso in cui si volesse specificare.

Il registro del trattamento è solo uno degli adempimenti previsti dalla GDPR. Dopo la creazione ti guideremo passo dopo passo attraverso tutti gli adempimenti successivi necessari e affinché tutti i documenti connessi vengano correttamente predisposti (ad es. Privacy Policy e Cookie Policy per i siti web). Se hai bisogno di più aiuto potrai anche richiedere una nostra consulenza GDPR generica con un'analisi dei trattamenti che effettui o più specifica riguardo l'adeguamento GDPR siti web.

Informazioni necessarie

Per completare il documento sono necessari tutti i dati riguardo il trattamento.

Il documento può essere modificato gratuitamente in ogni sua parte senza limiti di tempo. Non preoccuparti quindi se non hai a disposizione tutte le informazioni durante l’intervista, potrai sempre inserirle in un secondo momento.

Altri nomi

  • Registro Privacy
  • Registro dei responsabili del trattamento
  • Registro delle attività di trattamento
  • Registro trattamenti privacy
  • Register of processing operations

Altri documenti utili