I registri delle attività di trattamento vanno aggiornati?

Redigere un registro delle attività di trattamento non è un’operazione da condurre una sola volta e basta: le informazioni contenute nel registro devono essere periodicamente aggiornate, in quando devono riflettere la situazione attuale in azienda relativamente al trattamento dei dati personali.

Ciascun registro delle attività di trattamento deve essere aggiornato ogni volta che si verificano nell’organizzazione rilevanti cambiamenti che incidono sui trattamenti dei dati personali.

Quando cambiamo fornitore di servizi hosting, quando entriamo in contatto con un nuovo partner commerciale con cui condividiamo dati personali;
quando si sta programmando una nuova iniziativa, ad esempio un nuovo software, un nuovo CMS, un nuovo prodotto/servizio, una nuova operazione di marketing che prevedono operazioni sui dati personali trattati, quando si decide di impiegare nuove misure di sicurezza, quando è terminata una finalità di trattamento e non abbiamo più bisogno di conservare i dati.
In tutti questi casi è opportuno intervenire sul registro e aggiornarlo.

Il registro deve essere considerato come un documento che vive con l’azienda e con le sue operazioni, questo significa che, al di là di nuove iniziative o di nuovi partner coinvolti, dovrebbero essere pianificati e condotti audit periodici sui dati personali trattati e conservati (ad esempio una volta ogni sei mesi, se non si sono verificati cambiamenti concretamente), per verificare che la situazione si rimasta effettivamente la medesima e garantire così che la documentazione resti sempre precisa e aggiornata. Anche di questa verifica naturalmente è opportuno resti traccia.