Registro delle Attività di Trattamento
Il documento interno che ogni titolare o responsabile del trattamento deve tenere aggiornato, contenente l'inventario di tutti i trattamenti di dati effettuati.
Definizione
Il registro delle attività di trattamento è il documento interno in cui il titolare (e il responsabile) documentano tutti i trattamenti di dati personali effettuati dalla propria organizzazione. Sostituisce la vecchia notificazione al Garante ed è espressione del principio di accountability. Non ha formato obbligatorio ma deve contenere le informazioni minime previste dall'art. 30 GDPR.
Riferimenti normativi
GDPR, art. 30
«Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità.»
Implicazioni pratiche
Quando è obbligatorio
Obbligatorio per organizzazioni con almeno 250 dipendenti. Per organizzazioni sotto questa soglia è obbligatorio se il trattamento può presentare rischi per i diritti degli interessati, non è occasionale, o include categorie particolari o dati giudiziari.
Contenuto minimo del registro del titolare
Nome e contatti del titolare e del DPO; finalità del trattamento; descrizione delle categorie di interessati e di dati; destinatari; trasferimenti verso paesi terzi; termini di cancellazione; misure di sicurezza.
Registro del responsabile
Il responsabile del trattamento tiene un registro distinto con le proprie attività per conto dei titolari, indicando le categorie di trattamenti effettuati per ciascuno.
Domande frequenti
Il registro deve essere consegnato al Garante?
Non periodicamente, ma il Garante può richiederlo in qualsiasi momento durante un'ispezione o procedimento. Deve essere disponibile su richiesta.
Esiste un formato standard per il registro?
No. Il Garante italiano e il Comitato europeo per la protezione dei dati (EDPB) hanno pubblicato modelli orientativi, ma non vincolanti. L'importante è che contenga le informazioni minime richieste dall'art. 30.