L’articolo 30 del Gdpr riporta l’onere in capo al Titolare del Trattamento (30.1 ) e al Responsabile (processor 30.2) della tenuta dei registri delle attività di trattamento effettuate.
In dettaglio, l’articolo 30 elenca le informazioni che questo deve obbligatoriamente contenere ovvero:
a) nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Si tratta di un macro adempimento formale, la cui tenuta è indice (e non prova) di una gestione del dato conforme alla legge.
Titolari e Responsabili dovranno conformarsi entro il 24 maggio 2018, enti e altri organismi con meno di 250 dipendenti sono esentati purchè:
- il titolare non effettui trattamenti che possano presentare un rischio per i diritti e le libertà degli interessati:
- il trattamento non sia occasionale o includa dati di cui all’art. 9.1 o all’articolo 10. (dati particolari e dati personali giudiziari)
| Azienda con meno di 250 Dipendenti |
Caso |
Trattamento rischioso | Frequenza del trattamento rischio
Occasionale o non occasionale/abituale |
Trattamento rischioso di dati speciali Art.9 e 10 GDPR | Obbligo tenuta registro |
| A | SI | Non occasionale | SI | Si | |
| B | SI | Non Occasionale | No | Si | |
| C | SI | Occasionale | Si | Si | |
| D | SI | Occasionale | No | No | |
| E | NO |
——————————
|
——————– | NO |
Pertanto, un Titolare o un Responsabile, che effettua un trattamento di dati, non appartenenti alla categoria di dati particolari o personali relativi a condanne penali e reati (art. 9 e 10), sebbene catalogato “rischioso per i diritti e le libertà degli interessati” ed effettuato con frequenza “occasionale” non fa sorgere l’obbligo della tenuta del registro dei trattamenti.
Purtroppo né l’articolo 30 né il GDPR chiarisce quando un trattamento è occasionale o quando rappresenta un rischio per i diritti e le libertà degli interessati e in mancanza di linee guide ufficiali, direttive chiarificatorie, una delle chiavi di lettura che ritengo opportuna è l’applicazione del principio di “Accountability” ovvero procedere con una valutazione obiettiva e concreta dei rischi, adottare le misure adeguate ed efficaci e dimostrarne l’efficacia.
Certo che una linea guida sarebbe d’aiuto!!
nell’attesa delle LG, a qualcuno risulta che i registri tenuti da titolari e quelli tenuti da responsabili (anche dallo stesso soggetto in veste di titolare e di responsabile nominato da altri titolari) debbano contenere le stesse informazioni , descritte in questo post? oppure è prevista qualche differenza?
Non risulta che ci siano differenze sostanziali.
L’articolo 30 prevede che i punti sopra elencati b) c) e d) siano riferiti solo al registro del Titolare ma secondo me questi vengono riuniti al punto b) del paragrafo 2 dedicato al registro del Responsabile ovvero “categorie dei trattamenti effettuati per conto di ogni titolare del trattamento”.
Stessa cosa per il punto f.