HOME - Approfondimenti
 
 
11 Ottobre 2018

Il Registro dei trattamenti, il Garante della privacy specifica chi è tenuto e come tenerlo

Disponibili on line due modelli per realizzarlo


Il Garante per la protezione dei dati personali ha pubblicato sul suo sito le FAQ relative al registro delle attività di trattamento ex art. 30 GDPR.

“Il Regolamento Europeo sulla privacy –ricorda l’avvocato Silvia Stefanelli che ha curato per Odontoiatria33 molti dei contenuti presenti nella sezione dedicata al GDPR- prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento”.

"Il registro -continua l'esperta- è un importante strumento di accountability perché serve a comprovare (a posteriori, evidentemente) di aver rispettato puntualmente i principi applicabili al trattamento dei dati personali. Il registro delle attività di trattamento, pertanto, è uno strumento utile (sia al titolare che al responsabile) per dimostrare come, in ogni tempo e in ogni fase del trattamento, si siano applicati i principi del GDPR e come si sia adempiuto agli obblighi derivanti dal trattamento dei dati personali".   

Oltre ai soggetti obbligati alla tenuta del Registro ex art. 30, il Garante “suggerisce” ad altri soggetti di istituirlo e tenerlo aggiornato in quanto il registro dei trattamenti “contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”. 

“Tra questi –spiega l’avvocato Stefanelli- ci sono i soggetti che trattano dati sanitari dei clienti (es. ottici, odontotecnici, ecc.) ed liberi professionisti con almeno un dipendente e/o che trattino dati sanitari (es. medici, odontoiatri, osteopati, fisioterapisti, farmacisti, ecc.) ed ancora associazioni, fondazioni e comitati ove trattino categorie particolari di dati”. Dal punto di vista dei contenuti il garante chiarisce che nel campo “finalità del trattamento” (previsto dall’art. 30, par. 1, lett. b, GDPR) sarebbe opportuno indicare oltre alle singole specifiche finalità del trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini) anche la base giuridica che legittima il trattamento. 

Nel caso in cui la base giuridica sia rappresentata dal “legittimo interesse” (art. 6, par. 1, lett. f, GDPR) sarà opportuno – specifica ulteriormente il Garante – indicare anche una descrizione del legittimo interesse perseguito, le “garanzie adeguate” eventualmente adottate e, infine, ove sia stata effettuata, la valutazione d’impatto (DPIA) eseguita dal titolare del trattamento. 

Circa le “categorie di destinatari a cui i dati sono stati o saranno comunicati” il Garante dispone debbano essere indicati sia gli altri titolari ai quali i dati siano comunicati (e si propone l’esempio degli enti previdenziali ai quali i dati personali dei dipendenti debbano essere necessariamente trasmessi per adempiere agli obblighi contributivi), ma anche gli altri soggetti – siano essi responsabili o sub-responsabili (di cui all’art. 28 GDPR) – ai quali il titolare trasmetta i dati personali.  

Infine il Garante allega due differenti modelli (per la verità molto sintetici) da cui partire per creare i Registri, li trovate a questo link.  

“Al di là delle previsioni obbligatorie ex art. 30 e delle FAQ del Garante –conclude l’avvocato Stefanelli- il Registro (che piaccia o no) è il primo strumento per cercare di mappare i dati che vengono trattati, per capire chi sono i soggetti interessati che potrebbero chiedere conto di come trattiamo i dati ed un eventuale risarcimento dei danni, per ragionare sul livello di rischio dei dati e altresì sul potenziale uso dei dati che si trattano. I dati sono la moneta della nuova economia: basti solo leggere gli speech della Conferenza strategia di Bruxelles  del 12 dicembre 2011. Sarebbe un peccato perdere, di nuovo, un’altra occasione di crescita”.      

Molto in sintesi le precisazioni del Garante:

  • Sia il titolare che il responsabile devono tenere il registro dei trattamenti.
  • Del trattamento e il registro del responsabile del trattamento (di cui all’art. 28 del GDPR),
  • Qualora un singolo soggetto sia titolare e anche responsabile dovrà tenere entrambi i registri.
  • Il registro deve avere forma scritta (anche in “formato elettronico”, come prevede il terzo comma del medesimo art. 30 GDPR).
  • Il registro deve essere costantemente aggiornato il registro (sia quello del titolare che quello del responsabile del trattamento) e di tenere traccia delle modifiche (relative a modalità, finalità, categorie di dati, categorie di interessati del trattamento).
  • Il registro deve recare “in maniera verificabile” sia la data della sua prima istituzione o creazione sia la data dell’ultimo aggiornamento. 


Articoli correlati

Anche Windows 7 è andato in pensione, ma è obbligatorio passare al sistema operativo più recente? Questi i doveri secondo il GDPR sulla privacy


L’obbligo violerebbe la privacy dei pazienti che hanno già effettuato i pagamenti. Uno studio di consulenza fiscale evidenza la criticità e presenta un reclamo


Il Garante della Privacy Antonello Soro interviene sui rischi della sanità digitale e sottolineato la necessità di più garanzie


Attenzione ai messaggi ricevuti attraverso PEC, possono contenere programmi malware, a rischio anche quelli che sembrano provenire dall’Agenzia delle Entrate o dall’Ordine


Gli otto mesi di tolleranza previsti dopo l’approvazione del Decreto legislativo di armonizzazione al nuovo regolamento europeo sulla Privacy, sono scaduti ieri 20 maggio. Da oggi potrebbe...


Altri Articoli

ANDI in collaborazione con AIO, CAO, Fondazione ANDI, diffonde una guida pratica per odontoiatri e personale di studio condivise con il Ministero della Salute


Dopo circa vent’anni sembra impossibile riuscire, ancora, a scoprire sull’ECM situazioni decisamente “difficili da capire”. Ed invece sembra chi si possa riuscire, e senza neppure impegnarsi...

di Norberto Maccagno


Per il Prefetto lo studio odontoiatrico sarebbe equiparato alle attività professionali e negli 11 Comuni “focolaio”, gli studi dovranno rimanere chiusi salvo per le emergenze


Tra le tante opportunità di aggiornamento professionale per i soci della Società Italiana di Parodontologia, anche quella offerta dal canale SIdP Edu 


Immagine di repertorio

A scoprirlo e denunciarlo il NAS di Catania ed i carabinieri di Pietraperzia, sequestrato anche lo studio. Cassarà (CAO Enna), ci costituiremo parte civile.


 
 
 
 
 
 
 
 
 
 
 
 
 
 

Corsi ECM

 
 
 
 
 
 

I più letti

 
 

Corsi, Convegni, Eventi

 
 
 
 
 
 
 
 

Guarda i nostri video

Guarda i nostri video

Nuove norme su Direttore sanitario e Autorizzazioni