STUDIO PROFESSIONALE E PRIVACY – IL REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO
REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI – Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016
Art. 30, Registri delle attività di trattamento
1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle
attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti
informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del
trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei
dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i
destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione
internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per
i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie
adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui
all’articolo 32, paragrafo 1.
2. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro
di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del
trattamento, contenente:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare
del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del
titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della
protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione
internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per
i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie
adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui
all’articolo 32, paragrafo 1.
3. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.
4. Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il
rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a
disposizione dell’autorità di controllo.
5. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di
250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i
diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di
categorie particolari di dati di cui all’articolo 9, paragrafo 1 [ È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona ], o i dati personali relativi a condanne penali e a reati di cui all’articolo 10 [ Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1 (Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o
all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.), deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica. ].
Articolo 32, Sicurezza del trattamento
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto,
del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità
per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del
trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di
sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la
resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di
incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e
organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal
trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla
divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali
trasmessi, conservati o comunque trattati.
3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di
certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la
conformità ai requisiti di cui al paragrafo 1 del presente articolo.
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la
loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal
titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
MODELLO PER STUDI LEGALI DELL’UNIONE TRIVENETA DEGLI ORDINI DEGLI AVVOCATI
* * *
