Vorrei avere un chiarimento sulla distinzione fondamentale di questi 2 registri.
Da quello che ho capito il registro di accountability non è obbligatorio ma è usato per prassi, mentre il registro dei trattamenti è previsto obbligatoriamente dall’art. 30 del GDPR.
La mia domanda è: in quali casi è utilizzato il registro di accountability e in quali quello dei trattamenti?
Il registro dei trattamenti è uno degli adempimenti previsti dal GDPR. Pur essendo obbligatorio per le realtà con più di 250 dipendenti, è comunque da redigere a prescindere in quanto best practice (parere del Garante). E’ una fotografia dall’alto dell’organizzazione, quindi descrive e mappa tutti i trattamenti, la tipologia dei dati raccolti, i destinatari etc.
Puoi immaginarla come la versione grafica dell’informativa, perché contiene le stesse informazioni.
Il registro di accountability è, invece, un diario delle attività privacy. Ogni giorno, ogni mese ogni X tempo lo si può compilare con gli adempimenti o le rettifiche messe in atto. Esempio 1.1.2020 nomina DPO; 2.4.2020 DPIA su… etc.
Entrambi sono la diretta estrinsecazione del DOVERE DI ACCOUNTABILITY in capo al titolare del trattamento, perché entrambi hanno lo scopo di mappare, mettere nero su bianco, dimostrare gli adempimenti privacy (principio di accountability).
2 Mi Piace
Buonasera,
un ente pubblico con solo sei dipendenti deve tenere un registro dei trattamenti?
Per favore mi può indicare dove il Garante indica la tenuta del registro dei trattamenti come best practice?
Grazie mille
Si, la tenuta del registro non dipende solamente dal numero dei dipendenti, soprattutto se si tratta di ente pubblico.
Grazie mille per la risposta!