Granularità del registro dei trattamenti: regole pratiche per redigerlo correttamente

Fonte: CyberSecurity360

L’art. 30 del Regolamento europeo GDPR prevede che ogni titolare del trattamento tenga un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro deve contenere tutte le seguenti informazioni:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale ed eventualmente la documentazione delle garanzie adeguate;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

Sulla base di queste indicazioni, sono disponibili in Rete diversi modelli di registro, da semplici fogli Excel a software più sofisticati.Ma indipendentemente dallo strumento utilizzato, il problema che si trova ad affrontare il titolare o il consulente chiamato a definire il registro è principalmente nella definizione dei trattamenti effettuati. Continua a leggere