Ogni responsabile e, eventualmente, il suo rappresentante devono avere una directory di tutte le attività di trattamento soggette alla loro giurisdizione ai sensi dell’art. 30 del GDPR.

Tale directory deve includere le seguenti informazioni:

  • Finalità del trattamento;
  • una descrizione delle categorie degli interessati e delle categorie dei dati personali;
  • le categorie dei destinatari a cui i dati personali sono stati comunicati o sono ancora oggetto di divulgazione;
  • se possibile, i termini per la cancellazione delle diverse categorie dati;
  • se possibile, una descrizione generale delle misure tecniche e organizzative adottate per la protezione dei dati.

Tale directory di attività del trattamento deve essere presentata su richiesta dell’autorità di regolamentazione e può servire come prova di conformità ai principi di cui sopra.