NOTIZIE

Il Garante pubblica le FAQ sul registro dei trattamenti

Lo scorso 8 ottobre il Garante per la protezione dei dati personali ha pubblicato le FAQ sul registro delle attività di trattamento, ossia le risposte alle domande più frequenti rivolte all’Ufficio del Garante circa obblighi e modalità di tenuta del registro delle attività di trattamento (o, in breve, registro dei trattamenti) previsto dall’art. 30 del Regolamento europeo sulla protezione dei dati personali (al quale, per comodità espositiva, faremo riferimento con l’acronimo anglosassone GDPR).
La prima FAQ è tesa a individuare, innanzitutto, in cosa consista il registro previsto dall’art. 30 del GDPR o, meglio, i registri delle attività di trattamento. I primi due commi dell’art. 30 del GDPR, infatti, prevedono due distinti registri: il registro del titolare del trattamento e il registro del responsabile del trattamento (di cui all’art. 28 del GDPR).
Elemento comune ai registri – e da questo punto di vista le FAQ del Garante italiano ribadiscono, esplicitandolo, il contenuto dell’art. 30 del GDPR – è che si tratti di un documento che ha forma scritta (anche in “formato elettronico”, come prevede il terzo comma del medesimo art. 30 GDPR) e che deve essere istituito e tenuto aggiornato sia dal titolare del trattamento che da parte del responsabile del trattamento. Qualora un singolo soggetto (sia esso persona fisica, ente o organismo pubblico) assommi in sé, in relazione a diverse ipotesi di trattamento, la veste di titolare del trattamento e quella di responsabile del trattamento, allora dovrà tenere entrambi i registri: sia quello prescritto in capo al titolare del trattamento (primo comma dell’art. 30) che quello del responsabile del trattamento (secondo comma dell’art. 30).
Attraverso lo strumento del registro del trattamento, evidenzia il Garante, si esprime quello che può essere considerato, a ragione, uno dei principali e fondanti principi dell’impianto del GDPR: il principio diaccountability ossia il principio di responsabilizzazione (previsto dall’ultimo comma dell’art. 5 del GDPR) in base al quale, tra l’altro, occorre essere in grado di comprovare (a posteriori, evidentemente) di aver rispettato puntualmente i principi applicabili al trattamento dei dati personali. Il registro delle attività di trattamento, pertanto, è uno strumento utile – sia al titolare che al responsabile – per dimostrare come, in ogni tempo e in ogni fase del trattamento, si siano applicati i principi del GDPR e come si sia adempiuto agli obblighi derivanti dal trattamento dei dati personali.
Nelle FAQ il Garante evidenzia, oltretutto, la duplice funzione del registro dei trattamenti: da un lato consente a titolare e responsabile del trattamento di delineare il quadro (da tenere costantemente aggiornato) del quadro dei trattamenti in essere all’interno della propria organizzazione al fine di consentirgli di eseguire una puntuale valutazione e analisi dei rischi incombenti sui dati personali sottoposti a trattamento e, dall’altro, consente a titolare e responsabile di dimostrare – anche in conseguenza di un’eventuale attività ispettiva da parte del Garante che può richiedere l’esibizione dei registri del trattamento – il summenzionato quadro dei trattamenti e la sua evoluzione nel corso del tempo.
Ed è proprio per questo motivo, ad esempio, che nella FAQ n. 5 si prevede la necessità di tenere costantemente aggiornato il registro (sia quello del titolare che quello del responsabile del trattamento) e di tenere traccia delle modifiche (relative a modalità, finalità, categorie di dati, categorie di interessati del trattamento) che nel corso del tempo dovessero apportarsi al registro dei trattamenti.
A questo proposito si prevede che il registro debba recare “in maniera verificabile” sia la data della sua prima istituzione o creazione sia la data dell’ultimo aggiornamento. Il concetto di “maniera verificabile” sembrerebbe richiamare quello di data certa anche se non espressamente previsto dalla FAQ in questione. La FAQ in questione non prevede – anche se sarebbe particolarmente utile nell’ottica dell’accountability sia a titolari che a responsabili del trattamento – la necessità di tenere traccia oltre che della data di creazione e di ultima modifica anche di ogni data di modifica sostanziale (ossia, come visto, di ogni modifica relativa a modalità, finalità, categorie di dati, categorie di interessati del trattamento). In tal modo, infatti, potrebbe ricostruirsi il contenuto del registro “vigente” ad una determinata data.
Di estremo interesse anche la FAQ n. 2 relativa ai soggetti tenuti a redigere il registro del trattamento.
L’art. 30 del GDPR costruisce l’obbligo di tenuta del registro dei trattamenti prevedendo, al primo comma, un’estensione a tutti i titolari e a tutti i responsabili del trattamento, salvo poi, all’ultimo comma, escluderne l’obbligo per “imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.
Coerentemente all’impianto normativo, pertanto, il Garante prevede che siano obbligati alla tenuta del registro dei trattamenti:
a) imprese o organizzazioni con almeno 250 dipendenti;b) qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;c) qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;d) qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.
E’ chiaro che le ipotesi che restano “scoperte” dall’obbligo di tenuta del registro dei trattamenti siano veramente limitate e, comunque, anche in quei casi (ossia nelle ipotesi in cui la tenuta del registro dei trattamenti non sia obbligatoria) il Garante suggerisce caldamente di istituirlo e tenerlo aggiornato in quanto il registro dei trattamenti “contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”.
Interessanti sono, inoltre, le esemplificazioni fatte dal Garante circa i soggetti obbligati alla tenuta del registro dei trattamenti tra i quali si indicano:
· esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);· liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);· associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);· il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
Si intravedono, inoltre, i primi germogli di un’attività di semplificazione ad opera del Garante soprattutto per quanto riguarda il registro dei trattamenti tenuti da imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro.
A tal proposito, infatti, si precisa che le imprese e le organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno beneficiare di alcune misure di semplificazione nel senso che l’obbligo di redazione del registro sarà circoscritto alle sole attività di trattamento in precedenza individuate. Ad esempio qualora l’obbligo di tenuta del registro discenda, all’impresa, dall’avere un solo dipendente allora il registro del trattamento potrà essere predisposto e aggiornato esclusivamente con riferimento alla tipologia di trattamento relativo al rapporto lavorativo con l’unico dipendente dell’impresa.
Dal punto di vista contenutistico la FAQ n. 3 esplicita il contenuto già dettagliato dei primi due commi dell’art. 30 GDPR. In particolare si evidenzia che nel campo “finalità del trattamento” (previsto dall’art. 30, par. 1, lett. b, GDPR) sarebbe opportuno indicare oltre alle singole specifiche finalità del trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini) anche la base giuridica che legittima il trattamento.
Il riferimento, per quanto riguarda la base giuridica del trattamento, corre all’art. 6 del GDPR.
Nel caso in cui la base giuridica sia rappresentata dal “legittimo interesse” (art. 6, par. 1, lett. f, GDPR) sarà opportuno – specifica ulteriormente il Garante – indicare anche una descrizione del legittimo interesse perseguito, le “garanzie adeguate” eventualmente adottate e, infine, ove sia stata effettuata, la valutazione d’impatto (DPIA) eseguita dal titolare del trattamento.
La FAQ in esame, inoltre, specifica ulteriormente i concetti di “descrizione delle categorie di interessati e delle categorie di dati personali”, “categorie di destinatari a cui i dati sono stati o saranno comunicati”, “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” e, infine, di “descrizione generale delle misure di sicurezza”.
Alcune osservazioni possono svolgersi con riferimento alla definizione del punto relativo a “categorie di destinatari a cui i dati sono stati o saranno comunicati”.
In tale categoria, infatti, il Garante dispone debbano essere indicati sia gli altri titolari ai quali i dati siano comunicati (e si propone l’esempio degli enti previdenziali ai quali i dati personali dei dipendenti debbano essere necessariamente trasmessi per adempiere agli obblighi contributivi), ma anche gli altri soggetti – siano essi responsabili o sub-responsabili (di cui all’art. 28 GDPR) – ai quali il titolare trasmetta i dati personali. L’aspetto rilevante è, a questo punto, che il Garante ricomprende i soggetti esterni cui il titolare affidi il “servizio di elaborazione delle buste paga dei dipendenti” (o gli altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento) nella categoria di responsabili o sub-responsabili del trattamento. Nella FAQ, in sostanza, si distingue nettamente tra soggetti ai quali il titolare debba necessariamente trasmettere dati personali dei propri dipendenti (enti previdenziali) da altri soggetti che trattano i dati, per conto del titolare, in forza di un accordo (previsto dall’art. 28 del GDPR).
Ciò dovrebbe servire a fugare i dubbi sollevati dalla circolare 1150 del 23 luglio 2018 del Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro circa il ruolo del consulente del lavoro come titolare autonomo, “co-titolare” o responsabile “esterno” del trattamento.
Sempre con riferimento ai contenuti il Garante prevede la possibilità di alimentare il registro dei trattamenti, con una serie ulteriori di informazioni utili a soddisfare, appunto, le finalità dello stesso registro.
Per quanto riguarda la FAQ n. 6, infine, relativa al registro del responsabile del trattamento (art. 30, par. 2, GDPR) si evidenzia la necessità di tenere distinti i trattamenti per conto di ciascun titolare del trattamento. Si potrà, pertanto, tenere un unico registro del trattamento come responsabile ma il registro dovrà tenere ben distinte le informazioni previste dal secondo paragrafo dell’art. 30 GDPR per ciascun titolare per conto del quale i dati siano trattati.
Le FAQ del Garante, che si chiudono proponendo due differenti modelli di registro dei trattamenti (per il titolare del trattamento e per i responsabili del trattamento), sono indubbiamente un ottimo elemento di ulteriore esemplificazione degli obblighi nascenti dall’art. 30 del GDPR.
Copyright © – Riproduzione riservata


data notizia:

Lo scorso 8 ottobre il Garante per la protezione dei dati personali ha pubblicato le FAQ sul registro delle attività di trattamento, ossia le risposte alle domande più frequenti rivolte all’Ufficio del Garante circa obblighi e modalità di tenuta del registro delle attività di trattamento (o, in breve, registro dei trattamenti) previsto dall’art. 30 del Regolamento europeo sulla protezione dei dati personali (al quale, per comodità espositiva, faremo riferimento con l’acronimo anglosassone GDPR).

La prima FAQ è tesa a individuare, innanzitutto, in cosa consista il registro previsto dall’art. 30 del GDPR o, meglio, i registri delle attività di trattamento. I primi due commi dell’art. 30 del GDPR, infatti, prevedono due distinti registri: il registro del titolare del trattamento e il registro del responsabile del trattamento (di cui all’art. 28 del GDPR).

Elemento comune ai registri – e da questo punto di vista le FAQ del Garante italiano ribadiscono, esplicitandolo, il contenuto dell’art. 30 del GDPR – è che si tratti di un documento che ha forma scritta (anche in “formato elettronico”, come prevede il terzo comma del medesimo art. 30 GDPR) e che deve essere istituito e tenuto aggiornato sia dal titolare del trattamento che da parte del responsabile del trattamento. Qualora un singolo soggetto (sia esso persona fisica, ente o organismo pubblico) assommi in sé, in relazione a diverse ipotesi di trattamento, la veste di titolare del trattamento e quella di responsabile del trattamento, allora dovrà tenere entrambi i registri: sia quello prescritto in capo al titolare del trattamento (primo comma dell’art. 30) che quello del responsabile del trattamento (secondo comma dell’art. 30).

Attraverso lo strumento del registro del trattamento, evidenzia il Garante, si esprime quello che può essere considerato, a ragione, uno dei principali e fondanti principi dell’impianto del GDPR: il principio diaccountability ossia il principio di responsabilizzazione (previsto dall’ultimo comma dell’art. 5 del GDPR) in base al quale, tra l’altro, occorre essere in grado di comprovare (a posteriori, evidentemente) di aver rispettato puntualmente i principi applicabili al trattamento dei dati personali. Il registro delle attività di trattamento, pertanto, è uno strumento utile – sia al titolare che al responsabile – per dimostrare come, in ogni tempo e in ogni fase del trattamento, si siano applicati i principi del GDPR e come si sia adempiuto agli obblighi derivanti dal trattamento dei dati personali.

Nelle FAQ il Garante evidenzia, oltretutto, la duplice funzione del registro dei trattamenti: da un lato consente a titolare e responsabile del trattamento di delineare il quadro (da tenere costantemente aggiornato) del quadro dei trattamenti in essere all’interno della propria organizzazione al fine di consentirgli di eseguire una puntuale valutazione e analisi dei rischi incombenti sui dati personali sottoposti a trattamento e, dall’altro, consente a titolare e responsabile di dimostrare – anche in conseguenza di un’eventuale attività ispettiva da parte del Garante che può richiedere l’esibizione dei registri del trattamento – il summenzionato quadro dei trattamenti e la sua evoluzione nel corso del tempo.

Ed è proprio per questo motivo, ad esempio, che nella FAQ n. 5 si prevede la necessità di tenere costantemente aggiornato il registro (sia quello del titolare che quello del responsabile del trattamento) e di tenere traccia delle modifiche (relative a modalità, finalità, categorie di dati, categorie di interessati del trattamento) che nel corso del tempo dovessero apportarsi al registro dei trattamenti.

A questo proposito si prevede che il registro debba recare “in maniera verificabile” sia la data della sua prima istituzione o creazione sia la data dell’ultimo aggiornamento. Il concetto di “maniera verificabile” sembrerebbe richiamare quello di data certa anche se non espressamente previsto dalla FAQ in questione. La FAQ in questione non prevede – anche se sarebbe particolarmente utile nell’ottica dell’accountability sia a titolari che a responsabili del trattamento – la necessità di tenere traccia oltre che della data di creazione e di ultima modifica anche di ogni data di modifica sostanziale (ossia, come visto, di ogni modifica relativa a modalità, finalità, categorie di dati, categorie di interessati del trattamento). In tal modo, infatti, potrebbe ricostruirsi il contenuto del registro “vigente” ad una determinata data.

Di estremo interesse anche la FAQ n. 2 relativa ai soggetti tenuti a redigere il registro del trattamento.

L’art. 30 del GDPR costruisce l’obbligo di tenuta del registro dei trattamenti prevedendo, al primo comma, un’estensione a tutti i titolari e a tutti i responsabili del trattamento, salvo poi, all’ultimo comma, escluderne l’obbligo per “imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.

Coerentemente all’impianto normativo, pertanto, il Garante prevede che siano obbligati alla tenuta del registro dei trattamenti:

a) imprese o organizzazioni con almeno 250 dipendenti;
b) qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
c) qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
d) qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.

E’ chiaro che le ipotesi che restano “scoperte” dall’obbligo di tenuta del registro dei trattamenti siano veramente limitate e, comunque, anche in quei casi (ossia nelle ipotesi in cui la tenuta del registro dei trattamenti non sia obbligatoria) il Garante suggerisce caldamente di istituirlo e tenerlo aggiornato in quanto il registro dei trattamenti “contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”.

Interessanti sono, inoltre, le esemplificazioni fatte dal Garante circa i soggetti obbligati alla tenuta del registro dei trattamenti tra i quali si indicano:

· esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
· liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
· associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
· il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Si intravedono, inoltre, i primi germogli di un’attività di semplificazione ad opera del Garante soprattutto per quanto riguarda il registro dei trattamenti tenuti da imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro.

A tal proposito, infatti, si precisa che le imprese e le organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno beneficiare di alcune misure di semplificazione nel senso che l’obbligo di redazione del registro sarà circoscritto alle sole attività di trattamento in precedenza individuate. Ad esempio qualora l’obbligo di tenuta del registro discenda, all’impresa, dall’avere un solo dipendente allora il registro del trattamento potrà essere predisposto e aggiornato esclusivamente con riferimento alla tipologia di trattamento relativo al rapporto lavorativo con l’unico dipendente dell’impresa.

Dal punto di vista contenutistico la FAQ n. 3 esplicita il contenuto già dettagliato dei primi due commi dell’art. 30 GDPR. In particolare si evidenzia che nel campo “finalità del trattamento” (previsto dall’art. 30, par. 1, lett. b, GDPR) sarebbe opportuno indicare oltre alle singole specifiche finalità del trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini) anche la base giuridica che legittima il trattamento.

Il riferimento, per quanto riguarda la base giuridica del trattamento, corre all’art. 6 del GDPR.

Nel caso in cui la base giuridica sia rappresentata dal “legittimo interesse” (art. 6, par. 1, lett. f, GDPR) sarà opportuno – specifica ulteriormente il Garante – indicare anche una descrizione del legittimo interesse perseguito, le “garanzie adeguate” eventualmente adottate e, infine, ove sia stata effettuata, la valutazione d’impatto (DPIA) eseguita dal titolare del trattamento.

La FAQ in esame, inoltre, specifica ulteriormente i concetti di “descrizione delle categorie di interessati e delle categorie di dati personali”, “categorie di destinatari a cui i dati sono stati o saranno comunicati”, “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” e, infine, di “descrizione generale delle misure di sicurezza”.

Alcune osservazioni possono svolgersi con riferimento alla definizione del punto relativo a “categorie di destinatari a cui i dati sono stati o saranno comunicati”.

In tale categoria, infatti, il Garante dispone debbano essere indicati sia gli altri titolari ai quali i dati siano comunicati (e si propone l’esempio degli enti previdenziali ai quali i dati personali dei dipendenti debbano essere necessariamente trasmessi per adempiere agli obblighi contributivi), ma anche gli altri soggetti – siano essi responsabili o sub-responsabili (di cui all’art. 28 GDPR) – ai quali il titolare trasmetta i dati personali. L’aspetto rilevante è, a questo punto, che il Garante ricomprende i soggetti esterni cui il titolare affidi il “servizio di elaborazione delle buste paga dei dipendenti” (o gli altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento) nella categoria di responsabili o sub-responsabili del trattamento. Nella FAQ, in sostanza, si distingue nettamente tra soggetti ai quali il titolare debba necessariamente trasmettere dati personali dei propri dipendenti (enti previdenziali) da altri soggetti che trattano i dati, per conto del titolare, in forza di un accordo (previsto dall’art. 28 del GDPR).

Ciò dovrebbe servire a fugare i dubbi sollevati dalla circolare 1150 del 23 luglio 2018 del Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro circa il ruolo del consulente del lavoro come titolare autonomo, “co-titolare” o responsabile “esterno” del trattamento.

Sempre con riferimento ai contenuti il Garante prevede la possibilità di alimentare il registro dei trattamenti, con una serie ulteriori di informazioni utili a soddisfare, appunto, le finalità dello stesso registro.

Per quanto riguarda la FAQ n. 6, infine, relativa al registro del responsabile del trattamento (art. 30, par. 2, GDPR) si evidenzia la necessità di tenere distinti i trattamenti per conto di ciascun titolare del trattamento. Si potrà, pertanto, tenere un unico registro del trattamento come responsabile ma il registro dovrà tenere ben distinte le informazioni previste dal secondo paragrafo dell’art. 30 GDPR per ciascun titolare per conto del quale i dati siano trattati.

Le FAQ del Garante, che si chiudono proponendo due differenti modelli di registro dei trattamenti (per il titolare del trattamento e per i responsabili del trattamento), sono indubbiamente un ottimo elemento di ulteriore esemplificazione degli obblighi nascenti dall’art. 30 del GDPR.

Copyright © – Riproduzione riservata