Registro delle attività di trattamento: le 5 ragioni per cui è fondamentale

Dopo diversi mesi di silenzio, con la nota n. 877 del 03/08/2018, il MIUR è tornato a parlare di GDPR e ha trasmesso alle scuole un modello di registro delle attività di trattamento dei dati e una serie di indicazioni per la sua compilazione.

Il registro delle attività di trattamento è un documento che va obbligatoriamente redatto da parte del titolare del trattamento dei dati (nel caso della scuola, dal dirigente scolastico), in cui vanno annotate in modo chiaro le informazioni riguardanti le attività svolte sui dati degli utenti.

Cosa deve essere incluso nel registro delle attività di trattamento?
  • Il nome e i dati di contatto del titolare del trattamento e del responsabile della protezione dei dati designato
  • Le finalità del trattamento
  • Una descrizione delle categorie di interessati e delle categorie di dati personali
  • Le categorie di destinatari a cui i dati personali sono stati o saranno comunicati
  • I trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, con l’indicazione delle eventuali garanzie prescritte
  • Ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati e una descrizione generale delle misure di sicurezza tecniche e organizzative adottate
Perché la compilazione del registro delle attività di trattamento è fondamentale

Ora voglio spiegarti in 5 semplici punti perché il registro delle attività di trattamento non debba essere considerato come l’ennesimo adempimento inutile, bensì come una valida opportunità che la scuola può sfruttare a proprio favore.

  • Il registro delle attività di trattamento è uno strumento indispensabile per la corretta gestione dei dati degli interessati, in linea con il principio di responsabilizzazione (accountability) previsto dal GDPR.
    Attraverso questo documento il titolare “scatta un’istantanea” di tutti i trattamenti effettuati da parte dell’istituto e la mette a disposizione degli utenti della scuola.
  • Il registro delle attività di trattamento è uno strumento di controllo per l’autorità Garante.
    L’articolo 30 del GDPR indica infatti come “il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento” debbano mettere “il registro a disposizione dell’autorità di controllo”.
    Questo documento costituisce inoltre la base dell’attività ispettiva della Guardia di Finanza per valutare le misure di tutela della privacy messe in atto dalla scuola.
  • Il registro delle attività di trattamento è uno strumento indispensabile per la valutazione e l’analisi del rischio, in quanto consente la ricognizione, la mappatura e la valutazione di conformità di tutte le attività svolte dalla scuola sui dati degli utenti.
  • Il registro delle attività di trattamento prova che l’azione svolta dal titolare sia pienamente rispondente alle richieste della normativa europea.
  • La corretta compilazione del registro delle attività di trattamento evita pesanti sanzioni in capo alla scuola (la violazione della disciplina relativa alla tenuta dei registri è infatti soggetta a un’ammenda che può arrivare fino a € 10.000.000).
Il MIUR supporta gli istituti nella stesura del registro delle attività di trattamento?

Come detto, la compilazione del registro delle attività di trattamento è obbligatoria per tutte le scuole, in quanto le medesime trattano categorie particolari di dati (art. 30 GDPR).

Spetta pertanto ai dirigenti scolastici, in qualità di titolari del trattamento, redigere un proprio registro.

Recentemente, il MIUR ha fornito a tutti gli istituti scolastici una bozza del documento e una serie di istruzioni utili per la sua compilazione.

Le spiegazioni fornite dal ministero, tuttavia, non sono facilmente comprensibili per i non addetti ai lavori, e di conseguenza non semplificano di certo la vita dei dirigenti scolastici.

Come spesso succede, anche in questo caso, dunque, le scuole vengono un po’ “lasciate al loro destino”.

Sei in difficoltà e non sai come redigere correttamente il registro delle attività di trattamento?

Vieni a scoprire i servizi di GDPR Scuola! Il nostro staff può aiutarti, garantendoti un supporto costante nel tempo!

Accedi alla community di GDPR Scuola!

Subito per te in OMAGGIO due video
che ti aiuteranno a capire come affrontare in sicurezza il lavoro “agile”
e la didattica a distanza (oltre a tanti altri bonus)!

Riccardo Manuelli
Responsabile GDPR Scuola
Tel. 0163 03 50 22
www.gdprscuola.it

Letture consigliate dal blog

Nominare il DPO della scuola non basta!

Il DPO non ha né il compito di analizzare lo stato di conformità dell’istituto, né di produrre la documentazione richiesta dal GDPR.LeggiNominare il DPO della scuola non basta!

Controlli, violazioni e sanzioni del nuovo Regolamento Generale sulla Protezione dei Dati

Ecco qualche utile informazione su controlli, violazioni e sanzioni del nuovo regolamento generale sulla protezione dei dati.LeggiControlli, violazioni e sanzioni del nuovo Regolamento Generale sulla Protezione dei Dati

Lo psicologo a scuola è titolare o responsabile del trattamento dei dati personali?

Lo psicologo a scuola, in qualità di titolare del trattamento, è tenuto a richiedere un consenso informato: ecco cosa dice la normativa.LeggiLo psicologo a scuola è titolare o responsabile del trattamento dei dati personali?

Iscriviti alla community di GDPR Scuola
e scarica subito i bonus a tua disposizione!

Iscriviti

Cliccando sul pulsante dichiaro implicitamente di avere un’età non inferiore ai 16 anni nonché di aver letto l’informativa sul trattamento dei dati personali reperibile alla pagina Privacy e note legali.