Quando scatta l’obbligo di tenuta del registro dei trattamenti?
- quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha 250 e più dipendenti, dovrà creare, aggiornare e custodire un registro per tutti i trattamenti che pone in essere, ed esso dovrà contenere tutte le informazioni tassative indicate all’articolo 30 del GDPR
- quando titolari o responsabili hanno meno di 250 dipendenti (ma non si qualificano come PMI) dovranno tenere un registro, contenente tutte le informazioni dell’articolo 30, qualora:
- effettuino trattamenti che possono presentare un rischio, in tal caso, tuttavia, l’obbligo del registro riguarderà l’ambito dei soli trattamenti a rischio
- trattino dati sensibili e/o dati relativi a condanne penali o reati, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti con dati sensibili o giudiziari
- effettuino trattamenti non occasionali, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti non occasionali.
- quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha l’obbligo del registro ma è una PMI (cioè è sotto-soglia, secondo i criteri UE), potrà adottare il registro semplificato predisposto dal Garante; tale registro, peraltro, riguarderà quei soli trattamenti che costituiscono l’eccezione alla deroga (perchè, ad esempio, contengono dati “sensibili” o “giudiziari”), come evidenziato al precedente punto.