{"id":2896,"date":"2017-05-25T12:01:53","date_gmt":"2017-05-25T10:01:53","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=2896"},"modified":"2017-05-25T12:01:53","modified_gmt":"2017-05-25T10:01:53","slug":"reflections-on-the-contents-of-records-of-processing-activities","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/05\/25\/reflections-on-the-contents-of-records-of-processing-activities\/","title":{"rendered":"Riflessioni sui contenuti dei registri del trattamento art. 30 GDPR"},"content":{"rendered":"<p>Tutti i Titolari e i Responsabili di trattamento, eccetto gli organismi con meno di 250 dipendenti, sono obbligati a tenere un registro delle operazioni di trattamento. Per le eccezioni di cui all&#8217;articolo 30.5 rimando al\u00a0mio\u00a0<a href=\"https:\/\/blog.europrivacy.org\/it\/2017\/03\/24\/record-of-processing-activities\">precedente articolo.<\/a><\/p>\n<p>Dunque, il Regolamento prevede due distinti regolamenti : uno del Titolare del trattamento e uno del Responsabile.<\/p>\n<p>La scelta del legislatore europeo di descrivere in modo diligente i contenuti di entrambi i registri, mi ha indotto inevitabilmente a delle\u00a0 riflessioni in merito alle differenze contenutistiche e alla portata di questi.<\/p>\n<p>Procedo con\u00a0 illustrarvi in modo schematico i requisiti che la normativa richiede per uno e per l&#8217;altro registro.<\/p>\n<div id=\"wppdfemb-frame-container-2\"><iframe id=\"wppdf-emb-iframe-2\" scrolling=\"no\" data-pdf-index=\"2\" class=\"pdfembed-iframe nonfullscreen\" style=\"border: none; width:100%; max-width: 100%; min-height: 1000px;\" src=\"https:\/\/blog.europrivacy.info\/it?url=https%3A%2F%2Fblog.europrivacy.org%2Fwp-content%2Fuploads%2F2017%2F05%2FTabella-Articolo-I-Registri-dei-trattamenti-Riflessioni.pdf&pdfID=2&index=2\" ><\/iframe><\/div>\n<p>&nbsp;<\/p>\n<p>Da una prima lettura superficiale si pu\u00f2 dedurre che, cosi come sopra esposto, esistono (sulla carta) delle differenze contenutistiche:<\/p>\n<ul>\n<li>i punti b) c) d) ed f)\u00a0 elencati nel registro del Titolare del trattamento non sono previsti nel registro del Responsabile<\/li>\n<li>\u00a0il punto b) presente nel registro del Responsabile non \u00e8 invece specificato nel registro del\u00a0 Titolare.<\/li>\n<\/ul>\n<p>Divergenze, che a parere di chi scrive ( 8condivise da soggetti autorevoli in materia) sono &#8220;apparenti&#8221; nonch\u00e8 facilmente superabili all&#8217;atto pratico della redazione del Registro.<\/p>\n<p>Cosa intendo dire.<\/p>\n<p>La richiesta al Responsabile del Trattamento,\u00a0 di\u00a0 redigere un registro di tutte le &#8220;<strong>categorie di attivit\u00e0<\/strong>&#8221; relative al trattamento svolte per conto di un titolare contentente tra le altre voci la descrizione delle &#8220;c<strong>ategorie dei trattamenti effettuati&#8221; (punto b) impone allo stesso Responsabile di procedere con una descrizione dei trattamenti. <\/strong><\/p>\n<p>Una descrizione del trattamento esaustiva, completa, puntuale e dettagliata avviene fornendo le stesse informazioni corrispondenti ai punti b) c) d) par.1. ovvero le finalit\u00e0, una descrizione delle categorie di interessati e le categorie di destinatati a cui i dati personali sono stati o saranno comunicati.<\/p>\n<p>Ne approfitto per riportare, quanto scritto recentemente in un articolo di Cesare Gallotti (https:\/\/blog.europrivacy.org\/it\/2017\/03\/07\/how-to-engage-processors\/) &#8220;<em>l&#8217;atto di nomina deve contenere ai sensi dell&#8217;articolo\u00a0 28, punto 3\u00a0 &#8220;la materia , la durata, la natura\u00a0 e la finalit\u00e0 del trattamento, il tipo di dati personali e le categorie di interessati&#8221; al fine di sottolineare che le informazioni di cui sopra sono contenute obbligatoriamente all&#8217;interno dell&#8217;atto di nomina.<br \/>\n<\/em><\/p>\n<p>Analogo discorso vale per il requisito di cui al punto f) del registro del TItolare inerente all&#8217;indicazione del termine di cancellazione.<\/p>\n<p>La scelta del legislatore di escludere tale condizione all&#8217;interno del Registro del Responsabile del Trattamento <strong>sottolinea<\/strong> (secondo parere di chi scrive) l&#8217;importanza decisionale di questo trattamento in capo al Titolare.<\/p>\n<p>Di fatto spetta a quest&#8217;ultimo disporre in merito a tale attivit\u00e0 nell&#8217;atto di nomina, indicando se al termine della prestazione oggetto di nomina il responsabile debba cancellare o restituire i dati, e non solo, secondo parere di chi scrive il titolare dovr\u00e0 disporre in merito anche alle modalit\u00e0 di cancellazione, alla eventuale esibizione di una dichiarazione di avvenuta cancellazione nonch\u00e8 al potere di questo di verificarne l&#8217;avvenuta cancellazione.<\/p>\n<p>Passando oltre, troviamo rispettivamente al punto g) par 1. e al punto d) par. 2, ci\u00f2 che a mio parere rappresenta il cuore del registro: la &#8220;descrizione generale delle misure di sicurezza tecniche e organizzative di cui all&#8217;articolo 32.1&#8221;.<\/p>\n<p>Tale attivit\u00e0 implica per entrambi i soggetti obbligati un&#8217;attenta analisi dei rischi da valutare in relazione a diversi fattori tra cui:<\/p>\n<ul>\n<li>il contesto in cui le attivit\u00e0 avvengono,<\/li>\n<li>la tipologia di trattamento effettuato;<\/li>\n<li>dalle modalit\u00e0 di trattamento;<\/li>\n<li>le finalit\u00e0 di trattamento<\/li>\n<li>dagli strumenti utilizzati,<\/li>\n<li>dal luogo di conservazione;<\/li>\n<\/ul>\n<p>I due registri seppur collegati\u00a0 attraverso l&#8217; atto di nomina, non avranno identico contenuto e non indicheranno le medesime misure di sicurezza. I mutamenti dei fattori appena elencati\u00a0 comporteranno inevitabilmente ad una valutazione del rischio diversa per ogni attivit\u00e0 con differenti misure di sicurezza adeguate al rischio riscontrato.<\/p>","protected":false},"excerpt":{"rendered":"<p>Tutti i Titolari e i Responsabili di trattamento, eccetto gli organismi con meno di 250 dipendenti, sono obbligati a tenere un registro delle operazioni di trattamento. Per le eccezioni di cui all&#8217;articolo 30.5 rimando al\u00a0mio\u00a0precedente articolo. Dunque, il Regolamento prevede due distinti regolamenti : uno del Titolare del trattamento e uno del Responsabile. La scelta\u2026 <span class=\"read-more\"><a href=\"https:\/\/blog.europrivacy.info\/it\/2017\/05\/25\/reflections-on-the-contents-of-records-of-processing-activities\/\">Leggi tutto &raquo;<\/a><\/span><\/p>\n","protected":false},"author":212,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,3],"tags":[],"class_list":["post-2896","post","type-post","status-publish","format-standard","hentry","category-impact-risk-and-measures","category-roles-and-liabilities"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2896","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/212"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2896"}],"version-history":[{"count":14,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2896\/revisions"}],"predecessor-version":[{"id":2983,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2896\/revisions\/2983"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2896"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2896"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2896"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}