[MODELLO] Come costruire il registro dei trattamenti secondo il GDPR
Il 25 maggio 2018 entra in vigore il GDPR. Il Registro dei Trattamenti é il punto di partenza fondamentale per la conformità in materia di protezione dei dati personali.
Secondo il principio di accountability (responsabilitá) viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati al fine di garantire una adeguata protezione.
Il nostro Garante per la protezione dei dati personali, nella sua Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali ritiene che: “il registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”, invitando tutti, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro.
L’Art. 30 del GDPR é la fonte normativa primaria di nostro interesse ed oltre a prevedere che il registro debba essere tenuto in forma scritta, in formato elettronico e che debba essere esibito su richiesta al Garante, fornisce una lista di contenuti obbligatori:
- il nome e i dati di contatto del titolare del trattamento/contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati - le finalità del trattamento - una descrizione delle categorie di interessati e delle categorie di dati personali le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali - ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate - ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; - ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Quanto sopra riportato indica il contenuto minimo prescritto dal legislatore. A nostro avviso poiché, questo documento deve essere utile nell'operativitá quotidiana suggeriamo di inserire anche alcune specifiche, che possono essere utili all'Audit e in caso di Data Breach.
Terminata la compilazione del modello che trovate a fondo pagina potrete procedere con maggiore consapevolezza alle successive attività per cui potrete trovare maggiori informazioni qui: