NORMATIVA
- GDPR – art. 30, C 82
Articolo 30
Registri delle attività di trattamento
1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
2. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
3. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.
4. Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.
5. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.
Considerando 82
Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per controllare detti trattamenti.
1 – Cos’è il registro delle attività di trattamento?
L’art. 30 del Regolamento (EU) n. 679/2016 (di seguito “RGPD”) prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento.
E’ un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento (sul registro del responsabile, vedi, in particolare, il punto 6).
Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
2 – Chi è tenuto a redigerlo?
Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD).
In particolare, in ambito privato, i soggetti obbligati sono così individuabili:
- imprese o organizzazioni con almeno 250 dipendenti;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.
Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.
Alla luce di quanto detto sopra, sono tenuti all’obbligo di redazione del registro, ad esempio:
– esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
– liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
– associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
Infine, si precisa che le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).
Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.
Si invita altresì a consultare il documento interpretativo del 19 aprile 2018 del Gruppo ex art. 29 (Ora Comitato europeo per la protezione dei dati) reperibile al seguente link: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045
3 – Quali informazioni deve contenere?
Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del RGPD) e in quello del responsabile (art. 30, par. 2 del RGPD).
Con riferimento ai contenuti si rappresenta quanto segue:
(a) nel campo “finalità del trattamento” oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso (v. art. 6 del RGPD; in merito, con particolare riferimento al “legittimo interesse”, si rappresenta che il registro potrebbe riportare la descrizione del legittimo interesse concretamente perseguito, le “garanzie adeguate” eventualmente approntate, nonché, ove effettuata, la preventiva valutazione d’impatto posta in essere dal titolare (v. provv. del Garante del 22 febbraio 2018 – [doc web n. 8080493]). Sempre con riferimento alla base giuridica, sarebbe parimenti opportuno: in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2del RGPD; in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del RGPD;
(b) nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);
(c) nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Inoltre, si ritiene opportuno che siano indicati anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento– siano trasmessi i dati da parte del titolare (es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento). Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali;
(d) nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.);
(e) nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”);
(f) nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Tale lista ha di per sé un carattere dinamico (e non più statico come è stato per l’Allegato B del d. lgs. 196/2003) dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).
4 – Può contenere informazioni ulteriori?
Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).
5 – Quali sono le modalità di conservazione e aggiornamento?
Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.
Il Registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:
“- scheda creata in data XY”
“- ultimo aggiornamento avvenuto in data XY”
6 – Registro del responsabile
Il responsabile del trattamento tiene un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare” (art. 30, par. 2 del RGPD).
In merito alle modalità di compilazione dello stesso si rappresenta quanto segue:
a) nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti titolari (es. società di software house), le informazioni di cui all’art. 30, par. 2 del RGPD dovranno essere riportate nel registro con riferimento a ciascuno dei suddetti titolari. In questi casi il responsabile dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce; ove, a causa dell’ingente numero di titolari per cui si operi, l’attività di puntuale indicazione e di continuo aggiornamento dei nominativi degli stessi nonché di correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile potrebbe riportare il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2 del RGPD;
b) con riferimento alla “descrizione delle categorie di trattamenti effettuati” (art. 30, par. 2, lett. b) del RGPD) è possibile far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28 del RGPD, deve individuare, in particolare, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati oggetto del trattamento, nonché la durata di quest’ultimo;
c) in caso di sub-responsabile, parimenti, il registro delle attività di trattamento svolte da quest’ultimo potrà specificatamente far riferimento ai contenuti del contratto stipulato tra lo stesso e il responsabile ai sensi dell’art. 28, paragrafi 2 e 4 del RGPD.
REGISTRO DEI TRATTAMENTI DEL TITOLARE – ESEMPI
| TITOLARE DEL TRATTAMENTO: AZEQUW S.r.l., via Trieste 18, 25129 - Brescia | |
|---|---|
| RESPONSABILE DELLA PROTEZIONE DEI DATI: Dr. Mario Rossi, tel. 123 0932 654, email m.rossi@dpoazequw.com, per: m.rossi@azepec.com | |
| CODICE TRATTAMENTO | 001 |
| TIPOLOGIA DI TRATTAMENTO | Dati personali dei dipendenti e dei collaboratori |
| FINALITÀ E BASE GIURIDICA | 1- Trattamento di dati personali comuni con finalità di gestione del rapporto di lavoro o di collaborazione. La base di liceità è l'art. 6.1.b) (finalità contrattuali); 2- Trattamento di dati personali comuni con finalità di conclusione e gestione del contratto di lavoro relativamente agli obblighi amministrativi, contabili, fiscali e previdenziali cui è soggetto il Titolare. La base di liceità è l'art 6.1.c) (adempimento di un obbligo legale); 3- Trattamento di dati personali particolari con finalità di assolvimento degli obblighi ed esercizio dei diritti del Titolare o dell'Interessato in materia di diritto del lavoro e di sicurezza e protezione sociale. La base di liceità è data dall'art. 9.2.b); [...] n- Trattamento di dati personali particolari con finalità di valutazione della capacità lavorativa del dipendente e di medicina del lavoro. La base di liceità è data dell'art. 9.2.h); .... |
| CATEGORIE DI INTERESSATI | - Dipendenti e loro familiari - Collaboratori - Stagisti |
| CATEGORIE DI DATI PERSONALI | - Dati personali comuni (anagrafici, di contatto) - Categorie particolari di dati personali .... |
| DESTINATARI (RDT=responsabile, CDT=contitolare, AT=autonomo titolare) | - Autorizzati al trattamento - Consulente del lavoro (RDT) - Commercialista (RDT) - RSPP (RDT) - Istituti di credito (AT) - Fondi e casse di previdenza (AT) - Medico competente (AT) - Acme LTD servizi Cloud (RDT) - XYZ S.p.A. gestionale (RDT) .... |
| PAESI TERZI O ORGANIZZAZIONI INTERNAZ. (destinatari) | n.a. |
| GARANZIE ADEGUATE PER TRASF. EXTRA EEA (eventuali) | n.a. |
| TERMINE ULTIMO DI CONSERVAZIONE DEI DATI | ... |
| MISURE GENERALI DI PROTEZIONE | ... |
| NOTE | ... |
| TITOLARE DEL TRATTAMENTO: AZEQUW S.r.l., via Trieste 18, 25129 - Brescia | |
|---|---|
| RESPONSABILE DELLA PROTEZIONE DEI DATI: Dr. Mario Rossi, tel. 123 0932 654, email m.rossi@dpoazequw.com, per: m.rossi@azepec.com | |
| CODICE TRATTAMENTO | 001 |
| TIPOLOGIA DI TRATTAMENTO | Dati personali dei dipendenti e dei collaboratori |
| CONTITOLARI DEL TRATTAMENTO (identità, data ini accordo, data scad accordo) | n.a. |
| FINALITÀ E BASE GIURIDICA | 1- Trattamento di dati personali comuni con finalità di gestione del rapporto di lavoro o di collaborazione. La base di liceità è l'art. 6.1.b) (finalità contrattuali); 2- Trattamento di dati personali comuni con finalità di conclusione e gestione del contratto di lavoro relativamente agli obblighi amministrativi, contabili, fiscali e previdenziali cui è soggetto il Titolare. La base di liceità è l'art 6.1.c) (adempimento di un obbligo legale); 3- Trattamento di dati personali particolari con finalità di assolvimento degli obblighi ed esercizio dei diritti del Titolare o dell'Interessato in materia di diritto del lavoro e di sicurezza e protezione sociale. La base di liceità è data dall'art. 9.2.b); [...] n- Trattamento di dati personali particolari con finalità di valutazione della capacità lavorativa del dipendente e di medicina del lavoro. La base di liceità è data dell'art. 9.2.h); .... |
| CATEGORIE DI INTERESSATI | - Dipendenti e loro familiari - Collaboratori - Stagisti |
| CATEGORIE DI DATI PERSONALI | - Dati personali comuni (anagrafici, di contatto) - Categorie particolari di dati personali .... |
| MODALITÀ DEL TRATTAMENTO | - Manuale - Tramite strumenti informatici |
| RESPONSABILE INTERNO DEI DATI | - Direttore risorse umane |
| AUTORIZZATI AL TRATTAMENTO | - Area amministrazione - Area risorse umane - Amministratore di sistema .... |
| DESTINATARI (RDT=responsabile, CDT=contitolare, AT=autonomo titolare) | - Autorizzati al trattamento - Consulente del lavoro (RDT) - Commercialista (RDT) - RSPP (RDT) - Istituti di credito (AT) - Fondi e casse di previdenza (AT) - Medico competente (AT) - Acme LTD servizi Cloud (RDT) - XYZ S.p.A. gestionale (RDT) .... |
| RESPONSABILI DEL TRATTAMENTO (identità, data ini accordo, data scad accordo) | - Consulente del lavoro dr. Wyzx (01/03/2018 - n.d.) ... ... |
| PAESI TERZI O ORGANIZZAZIONI INTERNAZ. (destinatari) | n.a. |
| GARANZIE ADEGUATE PER TRASF. EXTRA EEA (eventuali) | n.a. |
| LUOGO ARCHIVI DIGITALI | ... |
| LUOGO ARCHIVI CARTACEI | ... |
| SOFTWARE (anche servizi o applicazioni cloud) | ... |
| TERMINE ULTIMO DI CONSERVAZIONE DEI DATI | ... |
| MODALITÀ CESSAZIONE TRATTAMENTO | ... |
| MISURE GENERALI DI PROTEZIONE | ... |
| MISURE AGGIUNTIVE PER LO SPECIFICO TRATTAMENTO | ... |
| INFORMATIVA (eventuale CONSENSO) | Informativa dipendenti ver. 05/2021 |
| VALUTAZIONE DEI RISCHI (data o link) | ... |
| NOTE | ... |
REGISTRO DEI TRATTAMENTI DEL RESPONSABILE – ESEMPI
| RESPONSABILE DEL TRATTAMENTO: AZEQUW S.r.l., via Trieste 18, 25129 - Brescia | |
|---|---|
| RESPONSABILE DELLA PROTEZIONE DEI DATI: Dr. Mario Rossi, tel. 123 0932 654, email m.rossi@dpoazequw.com, per: m.rossi@azepec.com | |
| CODICE TRATTAMENTO | 001 |
| TIPOLOGIA DI TRATTAMENTO | Dati personali dei clienti del titolare per l'invio di newsletter |
| TITOLARE DEL TRATTAMENTO | XCVBNM S.r.l. tel: 0000000000 email: ... pec: ... |
| DPO / REFERENTE PRIVACY (del titolare) | avv. XYZ tel: e-mail: pec: |
| PAESI TERZI O ORGANIZZAZIONI INTERNAZ. (destinatari) | n.a. |
| GARANZIE ADEGUATE PER TRASF. EXTRA EEA (eventuali) | n.a. |
| MISURE GENERALI DI PROTEZIONE | ... |
| MISURE AGGIUNTIVE CHIESTE DAL TITOLARE | ... |
| NOTE | ... |
| RESPONSABILE DEL TRATTAMENTO: AZEQUW S.r.l., via Trieste 18, 25129 - Brescia | |
|---|---|
| RESPONSABILE DELLA PROTEZIONE DEI DATI: Dr. Mario Rossi, tel. 123 0932 654, email m.rossi@dpoazequw.com, per: m.rossi@azepec.com | |
| CODICE TRATTAMENTO | 001 |
| TIPOLOGIA DI TRATTAMENTO | Dati personali dei clienti del titolare per l'invio di newsletter |
| TITOLARE DEL TRATTAMENTO | XCVBNM S.r.l. |
| DPO / REFERENTE PRIVACY (del titolare) | avv. XYZ tel: e-mail: pec: |
| CONTRATTO DI RIFERIMENTO (date inizio e fine) | data ini: 02/03/2019 data scad: 31/12/2024 |
| DPA - ACCORDO RESPONSABILE DEL TRATTAMENTO (date inizio e fine) | data ini: 02/03/2019 data scad: 31/12/2024 |
| INFORMATIVA (eventuale CONSENSO) | Informativa e raccolta consenso via web prima della raccolta dati. Testo a cura del titolare, registro a cura del responsabile |
| CATEGORIE DI INTERESSATI | Persone fisiche |
| CATEGORIE DI DATI PERSONALI | |
| MODALITÀ DEL TRATTAMENTO | Automatizzata |
| RESPONSABILE INTERNO DEI DATI | Webmaster sig. ..... |
| AUTORIZZATI AL TRATTAMENTO | Webmaster Ufficio marketing |
| DESTINATARI | ACmailsend (subr., gestione invii newsletter) Soggetti interni |
| SUBRESPONSABILI (elenco) | ACmailsend QWEcloud QWEhosting ... |
| PAESI TERZI O ORGANIZZAZIONI INTERNAZ. (destinatari) | n.a. |
| GARANZIE ADEGUATE PER TRASF. EXTRA EEA (eventuali) | n.a. |
| LUOGO ARCHIVI DIGITALI | ... |
| LUOGO ARCHIVI CARTACEI | ... |
| SOFTWARE (anche servizi o applicazioni cloud) | ... |
| DATA FINE TRATTAMENTO | ... |
| MODALITÀ CESSAZIONE TRATTAMENTO | ... |
| MISURE GENERALI DI PROTEZIONE | ... |
| MISURE AGGIUNTIVE CHIESTE DAL TITOLARE | ... |
| VALUTAZIONE DEI RISCHI (data o link) | ... |
| NOTE | ... |