L'articolo 30 del GDPR 2016/679, prevede che il registro delle attività di trattamento dei dati contenga le seguenti informazioni: - il nome e i dati di contatto del titolare del trattamento e, se applicabile, del responsabile del trattamento; - le finalità del trattamento; - le categorie di dati personali trattati; - i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari in paesi terzi o organizzazioni internazionali; - se applicabile, i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, comprese le garanzie appropriate; - se applicabile, la durata del periodo di conservazione dei dati personali; - l'esistenza di diritti dell'interessato e come esercitarli; - l'esistenza di un meccanismo di reclamo presso un'autorità di controllo; - in caso di trattamento automatizzato, informazioni sull'esistenza di un processo decisionale automatizzato, compresa la profilazione, e informazioni significative sull'influenza di tale trattamento sulle persone fisiche. Le organizzazioni possono redigere il registro delle attività di trattamento dei dati in formato cartaceo o elettronico. Il registro deve essere aggiornato regolarmente, per riflettere le modifiche alle attività di trattamento dei dati.