Registro delle attività di trattamento dati: di cosa si tratta?
Il registro delle attività di trattamento dati è un importante strumento di compliance aziendale fornito dalla nuova legislazione Europea (GDPR General Data Protection Regulation). Nello specifico, questa documentazione viene regolamentata nell’art. 30 dell’EU RGPD: “Registri delle attività di trattamento”. Il primo paragrafo di tale articolo fornisce una chiara spiegazione dei contenuti di tale registro.
“Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; ,
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; ,
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; ,
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.”
Registro delle attività di trattamento: in quali casi è necessario?
Il paragrafo 2 dell’art. 30 specifica inoltre che:
“Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; ,
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.”
Viene dunque specificato che ogni responsabile, e qualora ce ne sia uno, il suo rappresentante devono tenere il registro delle attività di trattamento svolte per conto di un titolare del trattamento. Questo passaggio è necessario al fine di garantire la conformità della propria organizzazione alle prescrizioni legislative. Nello stesso paragrafo è inoltre specificato il contenuto di tale registro.
Tuttavia, è necessario specificare che la tenuta del registro delle attività di trattamento dati non è generale. Non tutte le organizzazioni sono tenute a redigere tale documentazione. Il paragrafo 5 dell’art. 30 a proposito specifica che:
“Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”
Registro delle attività di trattamento dati: ulteriori specifiche
A completare il quadro relativo al registro di trattamento dati ci sono due ulteriori specifiche. L’art. 30, nel paragrafo 3 informa che:
“I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.”
Mentre il par. 4 dello stesso articolo rende noto che questa documentazione, qualora richiesta, deve essere messa a disposizione dell’autorità di controllo:
“Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.”
Swascan: registro trattamento dati
Swascan ha elaborato un software che permette alle aziende di rispettare gli adempimenti relativi alla redazione del registro delle attività di trattamento dati. Al seguente link è possibile avere maggiori informazioni riguardo al tool e alle sue funzionalità: software registro trattamenti .
Swascan e il GDPR Self-Assessment
A completare l’articolo è disponibile l’ infografica registro delle attività di trattamento dedicata.
In modo da garantire al tuo business lo strumento più idoneo, Swascan ha sviluppato una speciale piattaforma di CyberSecurity. In Cloud, SaaS e Pay for Use. Puoi consultare immediatamente la nostra brochure: Piattaforma di CyberSecurity e dare un’occhiata più approfondita ai nostri servizi. I nostri quattro servizi coprono ogni bisogno in termini di gestione del rischio e valutazione periodica. In poche parole, se hai bisogno di capire in quali aree concentrare le risorse aziendali gli strumenti ideali sono il Vulnerability Assessment, Network Scan, Code Review e il GDPR Assessment ( infografica GDPR ): la nostra piattaforma è al 100% GDPR compliant e permette di valutare il livello di Compliance della propria azienda.
