Sapete qual è la prima cosa che chiede il Garante Privacy in caso di accertamento-ispezione? Quella di esibire il Registro delle attività di trattamento! Sareste pronti in caso di accertamento-ispezione? Sapete che cos’è? Siete obbligati a redigerlo?
Il registro delle attività di trattamento, sempre richiesto in caso di accertamento-ispezione, è un documento di censimento e analisi che contiene le principali informazioni relative alle operazioni sui dati personali effettuate dal titolare del trattamento o dal responsabile del trattamento. Si tratta di un vero e proprio inventario delle attività di trattamento che deve essere redatto secondo le prescrizioni contenute nell’art. 30 del GDPR.
Espressione del principio dell’accountability serve a dimostrare, in caso di accertamento-ispezione, di avere organizzato l’attività in modo conforme alle prescrizioni in materia di privacy.
Se avete un’impresa (ad esempio una ditta individuale, una società di persone o di capitali, etc. …) o un’organizzazione (ad esempio un’associazione, una fondazione, un condominio, etc. …) siete obbligati alla tenuta ed all’esibizione, in caso di accertamento-ispezione, del registro delle attività di trattamento nel caso in cui:
- effettuate trattamenti che presentano un rischio per i diritti e le libertà dell’interessato;
- trattate dati personali in modo non occasionale;
- trattate particolari categorie di dati (ad esempio dati relativi allo stato di salute) e dati personali relativi a condanne penali e reati.
Attenzione, perché, in base a quello che vi ho appena detto, vi basta avere anche solo un dipendente per rientrare nell’obbligo della tenuta di questo registro delle attività di trattamento.
Malo (VI), lì 27/07/2023
avv. Stefania Faggion