La regola generale è che ogni ente (inclusi gli enti non profit, gli ETS, le associazioni) che tratta dati personali è tenuto a tenere il registro delle attività di trattamento.
Il Regolamento europeo esenta le imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano:
- possa presentare un rischio per i diritti e le libertà dell'interessato,
- il trattamento non sia occasionale,
- il trattamento includa il trattamento di categorie particolari di dati (esempio i dati sanitari), i dati personali relativi a condanne penali e ai reati.
E' doveroso specificare che il registro dei trattamenti è ormai considerata una misura di accountability fondamentale. In altre parole avere un documento ove siano descritti tutti i trattamenti
di dati personali che vengono effettuati dall'Ente è sicuramente un modo per dimostrare che l'Ente ha preso in considerazione la tutela dei dati personali.
I registri delle attività di trattamento si dividono essenzialmente in due gruppi:
- il registro delle attività di trattamento del titolare, che è quello che deve tenere un Ente quando tratta dati personali sotto la sua responsabilità (esempio
quando tratta i dati dei propri soci, volontari, dipendenti);
- il registro delle attività di trattamento del responsabile esterno al trattamento, che è quello che un ente deve tenere quando esegue operazioni sui dati
personali per conto di un altro titolare (esempio per una pubblica amministrazione).
Molto spesso accade che un Ente debba redigere entrambi i registri, avendo trattamenti che rientrano sia nel primo che nel secondo caso.
Il registro delle attività di trattamento del titolare contiene le seguenti informazioni:
- il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento e del responsabile della protezione dei dati;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- eventuali i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o
dell'organizzazione internazionale e, per i casi in cui è richiesta, la documentazione delle garanzie adeguate;
- i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- una descrizione generale delle misure di sicurezza tecniche e organizzative messe in atto per proteggere i dati personali.
Ogni responsabile del trattamento tiene un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:
- il nome e i dati di contatto del responsabile del trattamento, di ogni titolare del trattamento per conto del quale agisce e, ove applicabile, del responsabile
della protezione dei dati;
- le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
- se del caso i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o
dell'organizzazione internazionale e, per i casi in cui è richiesta, la documentazione delle garanzie adeguate;
- una descrizione generale delle misure di sicurezza tecniche e organizzative messe in uso.
I registri dei trattamenti (del titolare e del responsabile) sono tenuti in forma scritta, anche in formato elettronico. essi sono conservati presso l'Ente.
Su richiesta l'Ente mette il registro o i registri, a disposizione dell'autorità di controllo.