AUTORE
Avv. Stefano Petrussi
Il registro delle attività di trattamento dei dati cui all’art. 30 del GDPR è uno degli elementi fondamentali per la definizione del quadro di “accountability” dell’intermediario assicurativo. Si tratta di uno strumento, infatti, che consente di “fotografare” un quadro aggiornato dei trattamenti effettuati, necessario per documentarne la conformità al Regolamento. Nel registro, il distributore, per esempio, deve indicare per quali finalità tratta i dati dei clienti, dei dipendenti, dei fornitori (finalità promo-commerciali, amministrative, etc.), quali tipologie di dati sono oggetto di trattamento, specificare i destinatari dei dati e il periodo di conservazione dei medesimi.
Il registro deve essere redatto in forma scritta, anche in forma elettronica e costantemente aggiornato poiché il suo contenuto deve sempre corrispondere ai trattamenti effettivamente svolti. In particolare, per quanto riguarda gli obblighi dell’intermediario di primo livello, sulla base del “ruolo GDPR” ricoperto, si possono distinguere le seguenti fattispecie:
- titolare autonomo: l’intermediario deve tenere il registro relativo alle attività di trattamento svolte quale autonomo titolare mediante l’utilizzo di un proprio “template”;
- responsabile: in tale veste, l’intermediario deve riportare nel registro “le categorie di attività relative al trattamento svolte per conto” della/e Compagnia/e e le ulteriori informazioni richieste dall’art. 30, par. 2 del GDPR;
- contitolare: il distributore è tenuto a inserire nel registro i riferimenti di ambedue i titolari e le fattispecie di trattamento oggetto di contitolarità con la Compagnia e/o con altro intermediario di primo livello.