Quali documenti e informazioni devono essere prodotti secondo il Regolamento Generale in materia di dati personali?
Il Regolamento ritiene necessaria la presenza, presso ogni titolare del trattamento, di un documento ove rendicontare tutte le attività in materia di protezione e circolazione dei dati personali che lo riguardano. Tale documento viene denominato Registro dei trattamenti dei dati ed è riportato all’art.30 del GDPR.
Il §5 dell’art.30 sancisce l’obbligatorietà del Registro delle Attività di Trattamento per tutte le grandi imprese, escludendo quindi quelle con meno di 250 dipendenti. Resta fermo che se l’impresa con meno di 250 dipendenti tratta in maniera continuativa particolari categorie di dati personali di cui all’art. 9 § 1, ossia i dati sensibili e quelli biometrici, e quelli relativi a condanne penali e reati di cui all’art. 10, ossia i dati giudiziari, il Registro delle Attività di Trattamento deve essere elaborato.
Permane l’obbligo dell’informativa, quale strumento fondamentale per la raccolta e la gestione dei dati personali, che serve a spiegare all’interessato come un’organizzazione elabora, utilizza e protegge le informazioni personali che raccoglie.
I contenuti da inserire nella nuova informativa sono molti di più di quelli previsti dalla precedente normativa (si veda art.13 del GDPR). Da ricordare che una buona informativa fa accrescere la fiducia dell’interessato ed agevola l’ottenimento del consenso. Il consenso viene a rappresentare una manifestazione di volontà con la quale l'interessato accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento (art.4 GDPR).