Come compilare il registro delle attività di trattamento dati

L’art. 30 del Regolamento Europeo 2016/679 (GDPR ) dispone l’obbligo, per il titolare ed il responsabile del trattamento, di tenere un Registro – in forma scritta, anche in formato elettronico – delle attività di trattamento svolte.

Il Registro delle attività di trattamento è un documento che serve anche a dimostrare la conformità al GDPR, nel rispetto del generale principio di responsabilizzazione (“accountability”) e che deve essere messo a disposizione dell’autorità di controllo, se richiesto.

L’importanza della tenuta del Registro nell’ambito del sistema di governance della protezione dei dati è stata sottolineata sia dal Gruppo di Lavoro Articolo 29 prima e successivamente dal Comitato Europeo per la protezione dei dati, sia dall’Autorità Garante, che hanno fornito opportuni chiarimenti, in particolare sull’ambito soggettivo e oggettivo dell’art. 30 del GDPR.

Gli Autori si rivolgono, con questa guida sintetica, sia al titolare che al responsabile del trattamento dati, con la finalità di renderli ancor più consapevoli della disciplina, delle attività, delle modalità di tenuta, degli obblighi e delle sanzioni che ruotano attorno al Registro delle attività di trattamento.

Nadia Arnaboldi,
Dottore Commercialista, coordinatrice dalla Commissione “Privacy, 231 ed antiriciclaggio” dell’Ordine dei Dottori Commercialisti ed Esperti Contabili di Pavia. È professionista certificata ANSI/ISO standard 17024:2012 in materia di normativa privacy Europea (Certified Information Privacy Professional Europe - CIPP/E) e degli Stati Uniti (Certified Information Privacy Professional United States - CIPP/US), per lo sviluppo di Privacy Program (Certified Information Privacy Manager - CIPM), nonché Auditor/Lead Auditor ISO/IEC 27001:2013. Riconosciuta Fellow of Information Privacy (FIP) dall’International Association Privacy Professionals (IAPP) e “Thought Leader in Privacy” da DataGuidance. Componente del gruppo di lavoro internazionale “Global Data Breach Notification – At a Glance table” di DataGuidance e contributor delle riviste mensili “Digital eHealth legal” e “Data Protection Leader” edite da Cecile Park Publishing (CPP). Docente di corsi di formazione ed autrice di articoli specialistici e monografie in materia di protezione dei dati personali.

Fabio Giuseppe Ferrara,
Esperto in materia di protezione dei dati personali, conservazione documentale e firme elettroniche anche in ambito sanitario. Certificato Responsabile della Protezione dei dati (RPD/DPO) Bureau Veritas/Accredia conforme alla norma UNI 11697/2017. Auditor/Lead Auditor - Sistemi di Gestione della Sicurezza delle Informazioni ISO/IEC
27001:2013. Auditor Qualificato eIDAS - Regolamento Europeo 910/2014 – ACCREDIA. European Privacy Auditor ISDP© 10003/2016 PRD UNI ISO/IEC 17065:2012. Auditor Database & Privacy Management SGCMF©10002:2013 PRD UNI ISO/IEC 17065:2012. Membro delle Commissioni UNI/UNINFO: UNI/CT 526 “UNINFO Attività professionali non regolamentate, UNINFO UNI/CT 526/GL 01 “Profili professionali relativi alla sicurezza informatica; UNINFO UNI/CT 526/GL 02 “Attività professionali non regolamentate - Figure professionali operanti nel settore ICT - Professionista Web; UNINFO UNI/CT 526/GL 3 «Profili Professionali relativi alla privacy» UNI/CT 510/GL 05 “Tecnologie e tecniche per la protezione della Privacy e dei dati personali. Membro dell’organo tecnico UNI/CT 014/GL 07- Qualificazione delle professioni per il trattamento di dati e documenti.