Il Regolamento (UE) 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (General Data Protection Regulation o GDPR) prevede al proprio articolo 30, tra gli adempimenti principali del titolare e del responsabile del trattamento, che essi debbano tenere “un registro delle attività di trattamento svolte sotto la propria responsabilità”. A tal proposito, il Garante per la protezione dei dati personali (noto come Garante Privacy), ha recentemente pubblicato le proprie istruzioni sul “registro delle attività di trattamento”, che costituisce uno dei principali elementi di accountability del titolare del trattamento in quanto “strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività”. Oltre a chiarire cosa sia il registro delle attività di trattamento, il Garante Privacy ha meglio specificato: (i) chi è tenuto a redigerlo; (ii) quali informazioni deve contenere; e (iii) quali sono le modalità di conservazione e di aggiornamento. Il Garante Privacy ha altresì pubblicato due modelli di “registro semplificato”, relativi, rispettivamente: (a) alle attività di trattamento del titolare per PMI, (b) alle attività di trattamento del responsabile per PMI.
Istruzioni sul “registro delle attività di trattamento”
Modello di registro semplificato relativo alle attività di trattamento del titolare per PMI
Modello di registro semplificato relativo alle attività di trattamento del responsabile per PMI