Faqs_2

• quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha 250 e più dipendenti, dovrà creare, aggiornare e custodire un registro per tutti i trattamenti che pone in essere, ed esso dovrà contenere tutte le informazioni tassative indicate all’articolo 30 del GDPR
• quando titolari o responsabili hanno meno di 250 dipendenti (ma non si qualificano come PMI) dovranno tenere un registro, contenente tutte le informazioni dell’articolo 30, qualora:
  • effettuino trattamenti che possono presentare un rischio, in tal caso, tuttavia, l’obbligo del registro riguarderà l’ambito dei soli trattamenti a rischio
  • trattino dati sensibili e/o dati relativi a condanne penali o reati, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti con dati sensibili o giudiziari
  • effettuino trattamenti non occasionali, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti non occasionali.
• quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha l’obbligo del registro ma è una PMI (cioè è sotto-soglia, secondo i criteri UE), potrà adottare il registro semplificato predisposto dal Garante; tale registro, peraltro, riguarderà quei soli trattamenti che costituiscono l’eccezione alla deroga (perchè, ad esempio, contengono dati “sensibili” o “giudiziari”), come evidenziato al precedente punto.

FAQ Garante

Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD).

In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

• imprese o organizzazioni con  almeno 250 dipendenti;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
• qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
• qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Sono tenuti a realizzare, aggiornare e conservare il registro, sia il titolare del trattamento sia il suo responsabile, se nominato. Ciò comporta che, nel caso un titolare non abbia responsabili del trattamento, i trattamenti di propria pertinenza saranno descritti solo nel registro del titolare; diversamente, nel caso il titolare si avvalga anche di uno o più responsabili o sub-responsabili, ciascuno di essi ha l’obbligo di realizzare uno specifico registro per le attività che esegue in qualità di responsabile, creando sezioni descrittive delle attività di trattamento, appositamente per ogni titolare per conto del quale esso opera. Qualora l’ingente numero di clienti (titolari) rendesse difficoltosa la gestione e manutenzione di queste schede, distinte per titolare, il provvedimento del Garante consente di poter riportare il rinvio nel registro, «ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2» del regolamento.

Con riferimento alla “descrizione delle categorie di trattamenti effettuati” (art. 30, par. 2, lett. b) GDPR), responsabili e sub-responsabili potranno «far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28» del GDPR, deve contenere queste informazioni: in questo modo si crea un’opportuna correlazione, evitando duplicazioni e possibili incongruenze.

V. FAQ Garante

Il provvedimento del Garante (v. FAQ) contiene alcune precisazioni anche riguardo all’ampiezza delle informazioni tassative da riportare nel registro ai sensi dell’articolo 30.

1. in merito alle finalità perseguite, l’Autorità ritiene opportuno indicare anche la relativa base giuridica, sia per dati comuni, che per le “categorie particolari di dati” e dati relativi a condanne penali e reati (ad es. se il trattamento è legittimato dal consenso dell’interessato o è necessario per l’esecuzione di obblighi contrattuali)
2. con riferimento alle “categorie di destinatari” andranno riportate non solo le categorie di appartenenza di altri titolari del trattamento  (cioè flussi che comportano tecnicamente delle “comunicazioni”) «ma anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento – siano trasmessi i dati da parte del titolare (…) Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali» (in altre parole, la descrizione dell’ambito di circolazione dei dati personali)
3. in relazione ai trasferimenti esteri di dati andrà riportata la «indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.)»; si tratta di informazioni che nella prassi erano raramente raccolte e gestite in modo centralizzato, prima dell’applicazione del GDPR
4. «nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” (…) ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”)», come per le informazioni del precedente punto, anche questo profilo richiede uno sforzo di determinazione e classificazione alquanto innovativo, rispetto alle prassi in atto
5. riguardo alla «“descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate (…) (l)e misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).»; quindi, il registro deve specificare la misura adottata e non la sua modalità attuativa.

Fermo restando l’obbligo di aggiornamento costante del registro – «poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere» – esso «deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:
“- scheda creata in data XY”
“- ultimo aggiornamento avvenuto in data XY”».

Il provvedimento del Garante (v. FAQ) non fa riferimento a “data certa” – come in precedenti adottati durante la vigenza del codice privacy – ma si limita a richiedere che il dato temporale riportato sulla scheda sia “verificabile”; in assenza di ulteriori interventi interpretativi, si ritiene che la “verificabilità” possa essere soddisfatta con qualsiasi mezzo o modalità che consenta di provare la veridicità di quanto riportato.

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del GDPR) e in quello del responsabile (art. 30, par. 2 del GDPR).

Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

Fonte: Garante FAQ

• quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha 250 e più dipendenti, dovrà creare, aggiornare e custodire un registro per tutti i trattamenti che pone in essere, ed esso dovrà contenere tutte le informazioni tassative indicate all’articolo 30 del GDPR
• quando titolari o responsabili hanno meno di 250 dipendenti (ma non si qualificano come PMI) dovranno tenere un registro, contenente tutte le informazioni dell’articolo 30, qualora:
  • effettuino trattamenti che possono presentare un rischio, in tal caso, tuttavia, l’obbligo del registro riguarderà l’ambito dei soli trattamenti a rischio
  • trattino dati sensibili e/o dati relativi a condanne penali o reati, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti con dati sensibili o giudiziari
  • effettuino trattamenti non occasionali, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti non occasionali.
• quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha l’obbligo del registro ma è una PMI (cioè è sotto-soglia, secondo i criteri UE), potrà adottare il registro semplificato predisposto dal Garante; tale registro, peraltro, riguarderà quei soli trattamenti che costituiscono l’eccezione alla deroga (perchè, ad esempio, contengono dati “sensibili” o “giudiziari”), come evidenziato al precedente punto.

FAQ Garante

Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD).

In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

• imprese o organizzazioni con  almeno 250 dipendenti;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
• qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
• qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Sono tenuti a realizzare, aggiornare e conservare il registro, sia il titolare del trattamento sia il suo responsabile, se nominato. Ciò comporta che, nel caso un titolare non abbia responsabili del trattamento, i trattamenti di propria pertinenza saranno descritti solo nel registro del titolare; diversamente, nel caso il titolare si avvalga anche di uno o più responsabili o sub-responsabili, ciascuno di essi ha l’obbligo di realizzare uno specifico registro per le attività che esegue in qualità di responsabile, creando sezioni descrittive delle attività di trattamento, appositamente per ogni titolare per conto del quale esso opera. Qualora l’ingente numero di clienti (titolari) rendesse difficoltosa la gestione e manutenzione di queste schede, distinte per titolare, il provvedimento del Garante consente di poter riportare il rinvio nel registro, «ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2» del regolamento.

Con riferimento alla “descrizione delle categorie di trattamenti effettuati” (art. 30, par. 2, lett. b) GDPR), responsabili e sub-responsabili potranno «far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28» del GDPR, deve contenere queste informazioni: in questo modo si crea un’opportuna correlazione, evitando duplicazioni e possibili incongruenze.

V. FAQ Garante

Il provvedimento del Garante (v. FAQ) contiene alcune precisazioni anche riguardo all’ampiezza delle informazioni tassative da riportare nel registro ai sensi dell’articolo 30.

1. in merito alle finalità perseguite, l’Autorità ritiene opportuno indicare anche la relativa base giuridica, sia per dati comuni, che per le “categorie particolari di dati” e dati relativi a condanne penali e reati (ad es. se il trattamento è legittimato dal consenso dell’interessato o è necessario per l’esecuzione di obblighi contrattuali)
2. con riferimento alle “categorie di destinatari” andranno riportate non solo le categorie di appartenenza di altri titolari del trattamento  (cioè flussi che comportano tecnicamente delle “comunicazioni”) «ma anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento – siano trasmessi i dati da parte del titolare (…) Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali» (in altre parole, la descrizione dell’ambito di circolazione dei dati personali)
3. in relazione ai trasferimenti esteri di dati andrà riportata la «indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.)»; si tratta di informazioni che nella prassi erano raramente raccolte e gestite in modo centralizzato, prima dell’applicazione del GDPR
4. «nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” (…) ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”)», come per le informazioni del precedente punto, anche questo profilo richiede uno sforzo di determinazione e classificazione alquanto innovativo, rispetto alle prassi in atto
5. riguardo alla «“descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate (…) (l)e misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).»; quindi, il registro deve specificare la misura adottata e non la sua modalità attuativa.

Fermo restando l’obbligo di aggiornamento costante del registro – «poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere» – esso «deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:
“- scheda creata in data XY”
“- ultimo aggiornamento avvenuto in data XY”».

Il provvedimento del Garante (v. FAQ) non fa riferimento a “data certa” – come in precedenti adottati durante la vigenza del codice privacy – ma si limita a richiedere che il dato temporale riportato sulla scheda sia “verificabile”; in assenza di ulteriori interventi interpretativi, si ritiene che la “verificabilità” possa essere soddisfatta con qualsiasi mezzo o modalità che consenta di provare la veridicità di quanto riportato.

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del GDPR) e in quello del responsabile (art. 30, par. 2 del GDPR).

Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

Fonte: Garante FAQ

• quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha 250 e più dipendenti, dovrà creare, aggiornare e custodire un registro per tutti i trattamenti che pone in essere, ed esso dovrà contenere tutte le informazioni tassative indicate all’articolo 30 del GDPR
• quando titolari o responsabili hanno meno di 250 dipendenti (ma non si qualificano come PMI) dovranno tenere un registro, contenente tutte le informazioni dell’articolo 30, qualora:
  • effettuino trattamenti che possono presentare un rischio, in tal caso, tuttavia, l’obbligo del registro riguarderà l’ambito dei soli trattamenti a rischio
  • trattino dati sensibili e/o dati relativi a condanne penali o reati, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti con dati sensibili o giudiziari
  • effettuino trattamenti non occasionali, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti non occasionali.
• quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha l’obbligo del registro ma è una PMI (cioè è sotto-soglia, secondo i criteri UE), potrà adottare il registro semplificato predisposto dal Garante; tale registro, peraltro, riguarderà quei soli trattamenti che costituiscono l’eccezione alla deroga (perchè, ad esempio, contengono dati “sensibili” o “giudiziari”), come evidenziato al precedente punto.

FAQ Garante

Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD).

In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

• imprese o organizzazioni con  almeno 250 dipendenti;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
• qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
• qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Sono tenuti a realizzare, aggiornare e conservare il registro, sia il titolare del trattamento sia il suo responsabile, se nominato. Ciò comporta che, nel caso un titolare non abbia responsabili del trattamento, i trattamenti di propria pertinenza saranno descritti solo nel registro del titolare; diversamente, nel caso il titolare si avvalga anche di uno o più responsabili o sub-responsabili, ciascuno di essi ha l’obbligo di realizzare uno specifico registro per le attività che esegue in qualità di responsabile, creando sezioni descrittive delle attività di trattamento, appositamente per ogni titolare per conto del quale esso opera. Qualora l’ingente numero di clienti (titolari) rendesse difficoltosa la gestione e manutenzione di queste schede, distinte per titolare, il provvedimento del Garante consente di poter riportare il rinvio nel registro, «ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2» del regolamento.

Con riferimento alla “descrizione delle categorie di trattamenti effettuati” (art. 30, par. 2, lett. b) GDPR), responsabili e sub-responsabili potranno «far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28» del GDPR, deve contenere queste informazioni: in questo modo si crea un’opportuna correlazione, evitando duplicazioni e possibili incongruenze.

V. FAQ Garante

Il provvedimento del Garante (v. FAQ) contiene alcune precisazioni anche riguardo all’ampiezza delle informazioni tassative da riportare nel registro ai sensi dell’articolo 30.

1. in merito alle finalità perseguite, l’Autorità ritiene opportuno indicare anche la relativa base giuridica, sia per dati comuni, che per le “categorie particolari di dati” e dati relativi a condanne penali e reati (ad es. se il trattamento è legittimato dal consenso dell’interessato o è necessario per l’esecuzione di obblighi contrattuali)
2. con riferimento alle “categorie di destinatari” andranno riportate non solo le categorie di appartenenza di altri titolari del trattamento  (cioè flussi che comportano tecnicamente delle “comunicazioni”) «ma anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento – siano trasmessi i dati da parte del titolare (…) Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali» (in altre parole, la descrizione dell’ambito di circolazione dei dati personali)
3. in relazione ai trasferimenti esteri di dati andrà riportata la «indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.)»; si tratta di informazioni che nella prassi erano raramente raccolte e gestite in modo centralizzato, prima dell’applicazione del GDPR
4. «nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” (…) ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”)», come per le informazioni del precedente punto, anche questo profilo richiede uno sforzo di determinazione e classificazione alquanto innovativo, rispetto alle prassi in atto
5. riguardo alla «“descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate (…) (l)e misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).»; quindi, il registro deve specificare la misura adottata e non la sua modalità attuativa.

Fermo restando l’obbligo di aggiornamento costante del registro – «poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere» – esso «deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:
“- scheda creata in data XY”
“- ultimo aggiornamento avvenuto in data XY”».

Il provvedimento del Garante (v. FAQ) non fa riferimento a “data certa” – come in precedenti adottati durante la vigenza del codice privacy – ma si limita a richiedere che il dato temporale riportato sulla scheda sia “verificabile”; in assenza di ulteriori interventi interpretativi, si ritiene che la “verificabilità” possa essere soddisfatta con qualsiasi mezzo o modalità che consenta di provare la veridicità di quanto riportato.

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del GDPR) e in quello del responsabile (art. 30, par. 2 del GDPR).

Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

Fonte: Garante FAQ

• quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha 250 e più dipendenti, dovrà creare, aggiornare e custodire un registro per tutti i trattamenti che pone in essere, ed esso dovrà contenere tutte le informazioni tassative indicate all’articolo 30 del GDPR
• quando titolari o responsabili hanno meno di 250 dipendenti (ma non si qualificano come PMI) dovranno tenere un registro, contenente tutte le informazioni dell’articolo 30, qualora:
  • effettuino trattamenti che possono presentare un rischio, in tal caso, tuttavia, l’obbligo del registro riguarderà l’ambito dei soli trattamenti a rischio
  • trattino dati sensibili e/o dati relativi a condanne penali o reati, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti con dati sensibili o giudiziari
  • effettuino trattamenti non occasionali, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti non occasionali.
• quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha l’obbligo del registro ma è una PMI (cioè è sotto-soglia, secondo i criteri UE), potrà adottare il registro semplificato predisposto dal Garante; tale registro, peraltro, riguarderà quei soli trattamenti che costituiscono l’eccezione alla deroga (perchè, ad esempio, contengono dati “sensibili” o “giudiziari”), come evidenziato al precedente punto.

FAQ Garante

Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD).

In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

• imprese o organizzazioni con  almeno 250 dipendenti;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
• qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
• qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Sono tenuti a realizzare, aggiornare e conservare il registro, sia il titolare del trattamento sia il suo responsabile, se nominato. Ciò comporta che, nel caso un titolare non abbia responsabili del trattamento, i trattamenti di propria pertinenza saranno descritti solo nel registro del titolare; diversamente, nel caso il titolare si avvalga anche di uno o più responsabili o sub-responsabili, ciascuno di essi ha l’obbligo di realizzare uno specifico registro per le attività che esegue in qualità di responsabile, creando sezioni descrittive delle attività di trattamento, appositamente per ogni titolare per conto del quale esso opera. Qualora l’ingente numero di clienti (titolari) rendesse difficoltosa la gestione e manutenzione di queste schede, distinte per titolare, il provvedimento del Garante consente di poter riportare il rinvio nel registro, «ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2» del regolamento.

Con riferimento alla “descrizione delle categorie di trattamenti effettuati” (art. 30, par. 2, lett. b) GDPR), responsabili e sub-responsabili potranno «far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28» del GDPR, deve contenere queste informazioni: in questo modo si crea un’opportuna correlazione, evitando duplicazioni e possibili incongruenze.

V. FAQ Garante

Il provvedimento del Garante (v. FAQ) contiene alcune precisazioni anche riguardo all’ampiezza delle informazioni tassative da riportare nel registro ai sensi dell’articolo 30.

1. in merito alle finalità perseguite, l’Autorità ritiene opportuno indicare anche la relativa base giuridica, sia per dati comuni, che per le “categorie particolari di dati” e dati relativi a condanne penali e reati (ad es. se il trattamento è legittimato dal consenso dell’interessato o è necessario per l’esecuzione di obblighi contrattuali)
2. con riferimento alle “categorie di destinatari” andranno riportate non solo le categorie di appartenenza di altri titolari del trattamento  (cioè flussi che comportano tecnicamente delle “comunicazioni”) «ma anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento – siano trasmessi i dati da parte del titolare (…) Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali» (in altre parole, la descrizione dell’ambito di circolazione dei dati personali)
3. in relazione ai trasferimenti esteri di dati andrà riportata la «indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.)»; si tratta di informazioni che nella prassi erano raramente raccolte e gestite in modo centralizzato, prima dell’applicazione del GDPR
4. «nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” (…) ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”)», come per le informazioni del precedente punto, anche questo profilo richiede uno sforzo di determinazione e classificazione alquanto innovativo, rispetto alle prassi in atto
5. riguardo alla «“descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate (…) (l)e misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).»; quindi, il registro deve specificare la misura adottata e non la sua modalità attuativa.

Fermo restando l’obbligo di aggiornamento costante del registro – «poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere» – esso «deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:
“- scheda creata in data XY”
“- ultimo aggiornamento avvenuto in data XY”».

Il provvedimento del Garante (v. FAQ) non fa riferimento a “data certa” – come in precedenti adottati durante la vigenza del codice privacy – ma si limita a richiedere che il dato temporale riportato sulla scheda sia “verificabile”; in assenza di ulteriori interventi interpretativi, si ritiene che la “verificabilità” possa essere soddisfatta con qualsiasi mezzo o modalità che consenta di provare la veridicità di quanto riportato.

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del GDPR) e in quello del responsabile (art. 30, par. 2 del GDPR).

Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

Fonte: Garante FAQ

• quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha 250 e più dipendenti, dovrà creare, aggiornare e custodire un registro per tutti i trattamenti che pone in essere, ed esso dovrà contenere tutte le informazioni tassative indicate all’articolo 30 del GDPR
• quando titolari o responsabili hanno meno di 250 dipendenti (ma non si qualificano come PMI) dovranno tenere un registro, contenente tutte le informazioni dell’articolo 30, qualora:
  • effettuino trattamenti che possono presentare un rischio, in tal caso, tuttavia, l’obbligo del registro riguarderà l’ambito dei soli trattamenti a rischio
  • trattino dati sensibili e/o dati relativi a condanne penali o reati, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti con dati sensibili o giudiziari
  • effettuino trattamenti non occasionali, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti non occasionali.
• quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha l’obbligo del registro ma è una PMI (cioè è sotto-soglia, secondo i criteri UE), potrà adottare il registro semplificato predisposto dal Garante; tale registro, peraltro, riguarderà quei soli trattamenti che costituiscono l’eccezione alla deroga (perchè, ad esempio, contengono dati “sensibili” o “giudiziari”), come evidenziato al precedente punto.

FAQ Garante

Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD).

In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

• imprese o organizzazioni con  almeno 250 dipendenti;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
• qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
• qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Sono tenuti a realizzare, aggiornare e conservare il registro, sia il titolare del trattamento sia il suo responsabile, se nominato. Ciò comporta che, nel caso un titolare non abbia responsabili del trattamento, i trattamenti di propria pertinenza saranno descritti solo nel registro del titolare; diversamente, nel caso il titolare si avvalga anche di uno o più responsabili o sub-responsabili, ciascuno di essi ha l’obbligo di realizzare uno specifico registro per le attività che esegue in qualità di responsabile, creando sezioni descrittive delle attività di trattamento, appositamente per ogni titolare per conto del quale esso opera. Qualora l’ingente numero di clienti (titolari) rendesse difficoltosa la gestione e manutenzione di queste schede, distinte per titolare, il provvedimento del Garante consente di poter riportare il rinvio nel registro, «ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2» del regolamento.

Con riferimento alla “descrizione delle categorie di trattamenti effettuati” (art. 30, par. 2, lett. b) GDPR), responsabili e sub-responsabili potranno «far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28» del GDPR, deve contenere queste informazioni: in questo modo si crea un’opportuna correlazione, evitando duplicazioni e possibili incongruenze.

V. FAQ Garante

Il provvedimento del Garante (v. FAQ) contiene alcune precisazioni anche riguardo all’ampiezza delle informazioni tassative da riportare nel registro ai sensi dell’articolo 30.

1. in merito alle finalità perseguite, l’Autorità ritiene opportuno indicare anche la relativa base giuridica, sia per dati comuni, che per le “categorie particolari di dati” e dati relativi a condanne penali e reati (ad es. se il trattamento è legittimato dal consenso dell’interessato o è necessario per l’esecuzione di obblighi contrattuali)
2. con riferimento alle “categorie di destinatari” andranno riportate non solo le categorie di appartenenza di altri titolari del trattamento  (cioè flussi che comportano tecnicamente delle “comunicazioni”) «ma anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento – siano trasmessi i dati da parte del titolare (…) Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali» (in altre parole, la descrizione dell’ambito di circolazione dei dati personali)
3. in relazione ai trasferimenti esteri di dati andrà riportata la «indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.)»; si tratta di informazioni che nella prassi erano raramente raccolte e gestite in modo centralizzato, prima dell’applicazione del GDPR
4. «nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” (…) ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”)», come per le informazioni del precedente punto, anche questo profilo richiede uno sforzo di determinazione e classificazione alquanto innovativo, rispetto alle prassi in atto
5. riguardo alla «“descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate (…) (l)e misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).»; quindi, il registro deve specificare la misura adottata e non la sua modalità attuativa.

Fermo restando l’obbligo di aggiornamento costante del registro – «poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere» – esso «deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:
“- scheda creata in data XY”
“- ultimo aggiornamento avvenuto in data XY”».

Il provvedimento del Garante (v. FAQ) non fa riferimento a “data certa” – come in precedenti adottati durante la vigenza del codice privacy – ma si limita a richiedere che il dato temporale riportato sulla scheda sia “verificabile”; in assenza di ulteriori interventi interpretativi, si ritiene che la “verificabilità” possa essere soddisfatta con qualsiasi mezzo o modalità che consenta di provare la veridicità di quanto riportato.

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del GDPR) e in quello del responsabile (art. 30, par. 2 del GDPR).

Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

Fonte: Garante FAQ

• quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha 250 e più dipendenti, dovrà creare, aggiornare e custodire un registro per tutti i trattamenti che pone in essere, ed esso dovrà contenere tutte le informazioni tassative indicate all’articolo 30 del GDPR
• quando titolari o responsabili hanno meno di 250 dipendenti (ma non si qualificano come PMI) dovranno tenere un registro, contenente tutte le informazioni dell’articolo 30, qualora:
  • effettuino trattamenti che possono presentare un rischio, in tal caso, tuttavia, l’obbligo del registro riguarderà l’ambito dei soli trattamenti a rischio
  • trattino dati sensibili e/o dati relativi a condanne penali o reati, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti con dati sensibili o giudiziari
  • effettuino trattamenti non occasionali, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti non occasionali.
• quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha l’obbligo del registro ma è una PMI (cioè è sotto-soglia, secondo i criteri UE), potrà adottare il registro semplificato predisposto dal Garante; tale registro, peraltro, riguarderà quei soli trattamenti che costituiscono l’eccezione alla deroga (perchè, ad esempio, contengono dati “sensibili” o “giudiziari”), come evidenziato al precedente punto.

FAQ Garante

Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD).

In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

• imprese o organizzazioni con  almeno 250 dipendenti;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
• qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
• qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Sono tenuti a realizzare, aggiornare e conservare il registro, sia il titolare del trattamento sia il suo responsabile, se nominato. Ciò comporta che, nel caso un titolare non abbia responsabili del trattamento, i trattamenti di propria pertinenza saranno descritti solo nel registro del titolare; diversamente, nel caso il titolare si avvalga anche di uno o più responsabili o sub-responsabili, ciascuno di essi ha l’obbligo di realizzare uno specifico registro per le attività che esegue in qualità di responsabile, creando sezioni descrittive delle attività di trattamento, appositamente per ogni titolare per conto del quale esso opera. Qualora l’ingente numero di clienti (titolari) rendesse difficoltosa la gestione e manutenzione di queste schede, distinte per titolare, il provvedimento del Garante consente di poter riportare il rinvio nel registro, «ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2» del regolamento.

Con riferimento alla “descrizione delle categorie di trattamenti effettuati” (art. 30, par. 2, lett. b) GDPR), responsabili e sub-responsabili potranno «far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28» del GDPR, deve contenere queste informazioni: in questo modo si crea un’opportuna correlazione, evitando duplicazioni e possibili incongruenze.

V. FAQ Garante

Il provvedimento del Garante (v. FAQ) contiene alcune precisazioni anche riguardo all’ampiezza delle informazioni tassative da riportare nel registro ai sensi dell’articolo 30.

1. in merito alle finalità perseguite, l’Autorità ritiene opportuno indicare anche la relativa base giuridica, sia per dati comuni, che per le “categorie particolari di dati” e dati relativi a condanne penali e reati (ad es. se il trattamento è legittimato dal consenso dell’interessato o è necessario per l’esecuzione di obblighi contrattuali)
2. con riferimento alle “categorie di destinatari” andranno riportate non solo le categorie di appartenenza di altri titolari del trattamento  (cioè flussi che comportano tecnicamente delle “comunicazioni”) «ma anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento – siano trasmessi i dati da parte del titolare (…) Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali» (in altre parole, la descrizione dell’ambito di circolazione dei dati personali)
3. in relazione ai trasferimenti esteri di dati andrà riportata la «indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.)»; si tratta di informazioni che nella prassi erano raramente raccolte e gestite in modo centralizzato, prima dell’applicazione del GDPR
4. «nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” (…) ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”)», come per le informazioni del precedente punto, anche questo profilo richiede uno sforzo di determinazione e classificazione alquanto innovativo, rispetto alle prassi in atto
5. riguardo alla «“descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate (…) (l)e misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).»; quindi, il registro deve specificare la misura adottata e non la sua modalità attuativa.

Fermo restando l’obbligo di aggiornamento costante del registro – «poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere» – esso «deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:
“- scheda creata in data XY”
“- ultimo aggiornamento avvenuto in data XY”».

Il provvedimento del Garante (v. FAQ) non fa riferimento a “data certa” – come in precedenti adottati durante la vigenza del codice privacy – ma si limita a richiedere che il dato temporale riportato sulla scheda sia “verificabile”; in assenza di ulteriori interventi interpretativi, si ritiene che la “verificabilità” possa essere soddisfatta con qualsiasi mezzo o modalità che consenta di provare la veridicità di quanto riportato.

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del GDPR) e in quello del responsabile (art. 30, par. 2 del GDPR).

Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

Fonte: Garante FAQ