Un registro delle attività di trattamento deve essere firmato e/o vidimato? Da chi?
Nessuna norma del GDPR prevede che un registro delle attività di trattamento sia sottoscritto o vidimato, perché, la tenuta dei registri si basa sul principio dell’accountability.
ll Garante italiano nella Guida all’applicazione al Regolamento europeo chiarisce che “La tenuta del registro deitrattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali.
Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”.
ll Garante italiano nella Guida all’applicazione al Regolamento europeo chiarisce che “La tenuta del registro deitrattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali.
Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”.
I registri possono anche essere tenuti in forma di programma informatico, per strutture più semplici, anche mediante fogli excel.
La responsabilità formale della redazione, dell’aggiornamento e della corretta tenuta degli stessi resta comunque in capo alla direzione aziendale del titolare del trattamento e del responsabile del trattamento; all’interno di organizzazioni più grandi, in cui i processi sono decentralizzati a livello di dipartimenti o business units, sarà possibile anche incaricare uno o più soggetti interni che si occupino della registrazione e dell’aggiornamento di trattamenti specifici relativi alla propria area (es. modulo trattamenti area HR), individuando precisi obblighi e responsabilità di tale/i soggetto/i.
Le informazioni contenute nel singolo modulo di area potrebbero poi confluire nel registro delle attività di trattamento centralizzato, il cui accesso potrebbe essere consentito solo al legale rappresentante e al DPO, se presente (ricordando che il DPO deve fornire assistenza nella redazione e verificare la corretta tenuta dei registri, ma non ha alcuna responsabilità in merito) che effettueranno in tal modo un’ultima verifica sul contenuto e sugli aggiornamenti; il titolare del trattamento, se la struttura organizzativa è particolarmente complessa, potrebbe anche incaricare con atto scritto un responsabile della tenuta del registro delle attività di trattamento*(1), ma queste restano scelte organizzative interne.
Un sistema centralizzato fornirà una panoramica completa delle attività di trattamento che si svolgono all’interno dell’organizzazione e i trattamenti svolti in ciascuna area potranno essere controllati più da vicino e facilmente evidenziati e aggiornati.
In questo scenario le persone devono essere rese consapevoli delle misure tecniche e organizzative adottate, mentre si dovrà pensare ad un sistema di accessi e autorizzazioni (non tutti dovrebbero essere autorizzati ad intervenire, cambiare o modificare le informazioni del registro generale).
La responsabilità delle singole procedure resterà così ai singoli reparti e, in ultima analisi, la cura del registro centralizzato sarà in capo alla direzione aziendale; al contempo, sarà opportuno conservare registri di trattamento separati per ciascuna società all’interno di un gruppo e per tutte le filiali.
Il GDPR non prevede alcun legame espresso tra il responsabile della protezione dei dati e i registri del trattamento.
Il mantenimento dei registri di trattamento non rientra nei compiti previsti per il DPO, il DPO in tal senso potrà avere una funzione di supporto e consultiva.L’organizzazione dovrà definire con particolare attenzione ruoli e responsabilità dei soggetti coinvolti che intervengono nella redazione e gestione dei moduli di area e del registro centralizzato.
Le informazioni contenute nel singolo modulo di area potrebbero poi confluire nel registro delle attività di trattamento centralizzato, il cui accesso potrebbe essere consentito solo al legale rappresentante e al DPO, se presente (ricordando che il DPO deve fornire assistenza nella redazione e verificare la corretta tenuta dei registri, ma non ha alcuna responsabilità in merito) che effettueranno in tal modo un’ultima verifica sul contenuto e sugli aggiornamenti; il titolare del trattamento, se la struttura organizzativa è particolarmente complessa, potrebbe anche incaricare con atto scritto un responsabile della tenuta del registro delle attività di trattamento*(1), ma queste restano scelte organizzative interne.
Un sistema centralizzato fornirà una panoramica completa delle attività di trattamento che si svolgono all’interno dell’organizzazione e i trattamenti svolti in ciascuna area potranno essere controllati più da vicino e facilmente evidenziati e aggiornati.
In questo scenario le persone devono essere rese consapevoli delle misure tecniche e organizzative adottate, mentre si dovrà pensare ad un sistema di accessi e autorizzazioni (non tutti dovrebbero essere autorizzati ad intervenire, cambiare o modificare le informazioni del registro generale).
La responsabilità delle singole procedure resterà così ai singoli reparti e, in ultima analisi, la cura del registro centralizzato sarà in capo alla direzione aziendale; al contempo, sarà opportuno conservare registri di trattamento separati per ciascuna società all’interno di un gruppo e per tutte le filiali.
Il GDPR non prevede alcun legame espresso tra il responsabile della protezione dei dati e i registri del trattamento.
Il mantenimento dei registri di trattamento non rientra nei compiti previsti per il DPO, il DPO in tal senso potrà avere una funzione di supporto e consultiva.L’organizzazione dovrà definire con particolare attenzione ruoli e responsabilità dei soggetti coinvolti che intervengono nella redazione e gestione dei moduli di area e del registro centralizzato.
Se proprio dovessimo parlare di sottoscrizione, il registro delle attività di trattamento dovrebbe essere firmato dal legale rappresentante dell’organizzazione o dal titolare dell’impresa, se ditta individuale o professionista (se è nominato un responsabile della tenuta del registro dei trattamenti, il registro potrebbe essere firmato da lui e convalidato dal legale rappresentante, mentre il DPO, se presente, potrebbe procedere al fianco del legale rappresentante ad un’ultima verifica, fornire supporto e consigli sulla redazione, provvedere ad informare i dipendenti dell’avvio del processo e di come dovranno comportarsi tutti i soggetti a vario titolo coinvolti, ad esempio attraverso lettere nella intranet aziendale o mailing list o news da pubblicare nella bacheca in azienda e fornire tutti i chiarimenti necessari), mentre i moduli di area dal direttore/dirigente, ma più che sottoscrizione dei registri che come abbiamo detto possono essere anche tenuti in formato elettronico con il supporto di un programma informatico, è preferibile redigere lettere d’incarico cui si demanda a direttori/dirigenti il compito di tenere correttamente e aggiornare lo specifico modulo di area che gli compete e preoccuparsi di far confluire le informazioni ivi contenute nel registro delle attività dei trattamenti (che potrà poi essere curato da un responsabile della tenuta del registro dei trattamenti o direttamente dalla direzione aziendale).
- Ultimo aggiornamento il .
- —