Registro trattamenti

Diritto di accesso

Registro dei trattamenti: uno, nessuno o centomila?

L’estate è trascorsa, perlomeno quella di noi professionisti, nell’attesa dell’ormai “mitico” “decreto del Governo che sarà pubblicato in G.U.” , che dovrebbe chiarire i molti dubbi in merito all’applicazione del GDPR sul suolo italiano. Nel frattempo, prosegue l’applicazione pratica delle misure previste dal GDPR da parte delle imprese e, nel confronto con clienti e colleghi, si evidenziano ancora ancora molti spazi interpretativi da colmare con le giuste soluzioni. Uno dei quesiti che mi è stato posto durante l’estate è se un Responsabile del trattamento che svolge la medesima tipologia di trattamenti per tutti i propri clienti (pensiamo, ad esempio, ad un centro elaborazione paghe): debba redigere un Registro per ciascun cliente oppure può tenere un unico Registro, elencando i nomi di tutti i propri clienti nella sezione dedicata al nominativo del Titolare del trattamento, semplificando, così, l’onere a suo carico.… Leggi tutto »Registro dei trattamenti: uno, nessuno o centomila?

Registro dei trattamenti: chi ne può fare a meno?

Il Working Party 29 (WP29) ha recentemente pubblicato il suo “position paper” in merito al Registro dei trattamenti (i.e., “Registri delle attività di trattamento”) previsto dall’art. 30 del GDPR. Al Registro dei trattamenti ho già dedicato alcuni articoli (vi segnalo, ad esempio, “come si predispone il Registro dei trattamenti?” pubblicato nel febbraio 2018) per descriverne finalità e contenuti. Per quanto riguarda le finalità, ricordo che il Registro dei trattamenti permette di dimostrare documentalmente la conformità della propria organizzazione alle prescrizioni del GDPR perché consente: di sviluppare un’idonea analisi del rischio; di descrivere l’organizzazione aziendale sotto il profilo delle attività di trattamento a fini di informazione, consapevolezza e condivisione interna dei flussi di dati; di costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati, per garantirne la loro integrità, riservatezza e disponibilità. Il… Leggi tutto »Registro dei trattamenti: chi ne può fare a meno?

GDPR e privacy

Come si predispone il Registro dei trattamenti?

Più di un cliente mi ha chiesto come deve essere strutturato il Registro dei trattamenti (rectius, delle attività di trattamento) previsto dall’art. 30 del GDPR; quali requisiti deve rispettare e su chi incombe l’onere di verificare la sua regolare e corretta tenuta. Vediamo, quindi, in concreto, come le imprese devono procedere per rispettare i requisiti di legge. E’ opportuno premettere che il Registro delle attività di trattamento non è un obbligo che incombe su tutti in quanto il GDPR prevede l’esenzione dalla tenuta di tale documento per tutte le aziende che non raggiungono la soglia dei 250 dipendenti (salvo ipotesi particolari di rischio per le libertà individuali previste all’art. 30, comma 5, GDPR). L’obbligo di tenuta del Registro grava sul Titolare del trattamento (che lo può, comunque, delegare al Responsabile) e permette di assolvere all’onere probatorio di documentazione della conformità… Leggi tutto »Come si predispone il Registro dei trattamenti?