Come si compila il registro dei trattamenti?

 In
Print Friendly, PDF & Email

Il provvedimento del Garante (v. FAQ) contiene alcune precisazioni anche riguardo all’ampiezza delle informazioni tassative da riportare nel registro ai sensi dell’articolo 30.

  1. in merito alle finalità perseguite, l’Autorità ritiene opportuno indicare anche la relativa base giuridica, sia per dati comuni, che per le “categorie particolari di dati” e dati relativi a condanne penali e reati (ad es. se il trattamento è legittimato dal consenso dell’interessato o è necessario per l’esecuzione di obblighi contrattuali)
  2. con riferimento alle “categorie di destinatari” andranno riportate non solo le categorie di appartenenza di altri titolari del trattamento  (cioè flussi che comportano tecnicamente delle “comunicazioni”) «ma anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento – siano trasmessi i dati da parte del titolare (…) Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali» (in altre parole, la descrizione dell’ambito di circolazione dei dati personali)
  3. in relazione ai trasferimenti esteri di dati andrà riportata la «indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.)»; si tratta di informazioni che nella prassi erano raramente raccolte e gestite in modo centralizzato, prima dell’applicazione del GDPR
  4. «nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” (…) ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”)», come per le informazioni del precedente punto, anche questo profilo richiede uno sforzo di determinazione e classificazione alquanto innovativo, rispetto alle prassi in atto
  5. riguardo alla «“descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate (…) (l)e misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).»; quindi, il registro deve specificare la misura adottata e non la sua modalità attuativa.

 

Contattaci

Scrivici via e-mail, ti risponderemo al più presto.

Not readable? Change text. captcha txt
0
Come dovrebbe essere il registro per un responsabile del trattamento che è una PMI?
Come si conserva ed aggiorna il registro dei trattamenti?