One thought on “Reflections on the contents of records of processing activities”
RitaMiraglia
Interessante tematica quella da te affrontata sulla tenuta dei registri delle attività di trattamento.
In aggiunta segnalo che nelle linee guida sul Data Protection Officer adottate il 13 dicembre 2016 – versione emendata e adottata in data 5 aprile 2017 il WP29, in base alla prassi operativa, riconosce la possibilità per i titolari e i responsabili del trattamento di affidare al DPO il compito di tenere il registro delle attività di trattamento. Sottolinea che tale registro va considerato uno degli strumenti che consentono al DPO di adempiere agli obblighi di sorveglianza del rispetto del regolamento, informazione e consulenza nei riguardi del titolare o del responsabile. Infine viene ripreso il principio di Accountability considerando la tenuta del registro un’efficace misura di responsabilizzazione (trattamento dei dati conforme alle norme).
Per estratto dalle linee guida del WP29:
“4.5. Il ruolo del RPD nella tenuta del registro delle attività di trattamento
L’art. 30, primo e secondo paragrafo, prevede che sia il titolare o il responsabile del trattamento, e non il RPD, a “ten[ere] un registro delle attività di trattamento svolte sotto la propria responsabilità” ovvero “un registro di tutte le categorie di trattamento svolte per conto di un titolare del trattamento”.
Nella realtà, sono spesso i RPD a realizzare l’inventario dei trattamenti e tenere un registro di tali trattamenti sulla base delle informazioni fornite loro dai vari uffici o unità che trattano dati personali. È una prassi consolidata e fondata sulle disposizioni di numerose leggi nazionali nonché sulla normativa in materia di protezione dati applicabile alle istituzioni e agli organismi dell’Ue.
L’art. 39, primo paragrafo, contiene un elenco non esaustivo dei compiti affidati al RPD. Pertanto, niente vieta al titolare o al responsabile del trattamento di affidare al RPD il compito di tenere il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile stesso. Tale registro va considerato uno degli strumenti che consentono al RPD di adempiere agli obblighi di sorveglianza del rispetto del regolamento, informazione e consulenza nei riguardi del titolare o del responsabile.
In ogni caso, il registro la cui tenuta è obbligatoria ai sensi dell’art. 30 deve essere considerato anche uno strumento che consente al titolare e all’autorità di controllo, su richiesta, di disporre di un quadro complessivo dei trattamenti di dati personali svolti dallo specifico soggetto. In quanto tale, esso costituisce un presupposto indispensabile ai fini dell’osservanza delle norme e, pertanto, un’efficace misura di responsabilizzazione.”
Interessante tematica quella da te affrontata sulla tenuta dei registri delle attività di trattamento.
In aggiunta segnalo che nelle linee guida sul Data Protection Officer adottate il 13 dicembre 2016 – versione emendata e adottata in data 5 aprile 2017 il WP29, in base alla prassi operativa, riconosce la possibilità per i titolari e i responsabili del trattamento di affidare al DPO il compito di tenere il registro delle attività di trattamento. Sottolinea che tale registro va considerato uno degli strumenti che consentono al DPO di adempiere agli obblighi di sorveglianza del rispetto del regolamento, informazione e consulenza nei riguardi del titolare o del responsabile. Infine viene ripreso il principio di Accountability considerando la tenuta del registro un’efficace misura di responsabilizzazione (trattamento dei dati conforme alle norme).
Per estratto dalle linee guida del WP29:
“4.5. Il ruolo del RPD nella tenuta del registro delle attività di trattamento
L’art. 30, primo e secondo paragrafo, prevede che sia il titolare o il responsabile del trattamento, e non il RPD, a “ten[ere] un registro delle attività di trattamento svolte sotto la propria responsabilità” ovvero “un registro di tutte le categorie di trattamento svolte per conto di un titolare del trattamento”.
Nella realtà, sono spesso i RPD a realizzare l’inventario dei trattamenti e tenere un registro di tali trattamenti sulla base delle informazioni fornite loro dai vari uffici o unità che trattano dati personali. È una prassi consolidata e fondata sulle disposizioni di numerose leggi nazionali nonché sulla normativa in materia di protezione dati applicabile alle istituzioni e agli organismi dell’Ue.
L’art. 39, primo paragrafo, contiene un elenco non esaustivo dei compiti affidati al RPD. Pertanto, niente vieta al titolare o al responsabile del trattamento di affidare al RPD il compito di tenere il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile stesso. Tale registro va considerato uno degli strumenti che consentono al RPD di adempiere agli obblighi di sorveglianza del rispetto del regolamento, informazione e consulenza nei riguardi del titolare o del responsabile.
In ogni caso, il registro la cui tenuta è obbligatoria ai sensi dell’art. 30 deve essere considerato anche uno strumento che consente al titolare e all’autorità di controllo, su richiesta, di disporre di un quadro complessivo dei trattamenti di dati personali svolti dallo specifico soggetto. In quanto tale, esso costituisce un presupposto indispensabile ai fini dell’osservanza delle norme e, pertanto, un’efficace misura di responsabilizzazione.”