 |
In questi giorni il Garante per la Protezione dei Dati Personali ha messo a disposizione sul proprio sito le istruzioni sul REGISTRO DELLE ATTIVITA' di TRATTAMENTO, previsto dal Regolamento EU 2016/679 (per tutti noi ormai solo più IL GDPR). |
L’obbligo di redigere il REGISTRO DEI TRATTAMENTI, costituisce uno dei principali elementi del principio base del GDPR, l'ACCOUNTABILITY del Titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.
Partendo da questa notizia cogliamo allora l'opportunità di approfondire un pò l'argomento Registro del Trattamento.
La tenuta del Registro è contenuta nell'Art. 30 del Gdpr, ed è considerata indice di corretta gestione, responsabilità e trasparenza di trattamento dei dati personali!In particolare l’ Art. 30 prescrive ai Titolare o, se nominato, al Responsabile del trattamento, l’onere della tenuta del Registro sotto la propria responsabilità, ovvero nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali. Saranno poi i titolari stessi a dover dimostrare, anche attraverso comportamenti proattivi, di aver concretamente adottato le misure finalizzate ad assicurare l’applicazione del Regolamento. Il registro dei trattamenti, è quindi uno strumento fondamentale per un'analisi e valutazione dei trattamenti svolti e quindi finalizzata anche all'analisi del rischio e alla più corretta pianificazione dei trattamenti in ottica con gli altri principi base del Gdpr, quali IL PRIVACY BY DESIGN e PRIVACY BY DEFAULT. E’ utile non soltanto per disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, ma è anche indispensabile per ogni valutazione e analisi del rischio.
Il registro va tenuto in forma scritta, anche in formato elettronico, e va esibito all'autorità di controllo (Garante) in caso di eventuali verifiche.
IL REGISTRO DEVE CONTENERE QUESTE INFORMAZIONI
La norma non definisce un modello di Registro puntuale, ma fornisce una lista di contenuti obbligatori, indica cioè le informazioni essenziali che devono essere in esso contenute, come:
a) il nome e i DATI di CONTATTO del TITOLARE del TRATTAMENTO e, se nominati, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO);
b) le FINALITA' del TRATTAMENTO;
c) una DESCRIZIONE delle CATEGORIE dei DATI PERSONALI e categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
d) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
e) dove possibile, i TERMINI ultimi previsti PER la CANCELLAZIONE delle diverse CATEGORIE di DATI;
f) dove possibile, una DESCRIZIONE GENERALE delle MISURE di SICUREZZA TECNICHE e ORGANIZZATIVE di cui all’articolo 32, paragrafo 1.
Secondo la norma del GDPR sono esentate dall'OBBLIGO di TENUTA del REGISTRO le Imprese con meno di 250 dipendenti, a meno che il trattamento effettuato:
- possa presentare un rischio per i diritti e le libertà degli interessati,
- non sia occasionale,
- o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10 (cioé dati sensibili o giudiziari).
E’ chiaro che risulta importante individuare le categorie di informazioni che devono essere raccolte all’interno del Registro dei trattamenti, ricomprendendo sia quelle previste dall’articolo 30 del Regolamento, che quelle necessarie ai fini del processo di valutazione ed individuazione degli obblighi previsti dal Regolamento per ciascun trattamento. A ragione di ciò, l’utilità del Registro dei trattamenti riguarda anche quelle imprese o organizzazioni con meno di 250 dipendenti per cui non ricorre l’obbligo di redigerlo, in quanto, solo la conoscenza puntuale delle operazioni e dei termini dei trattamenti effettuati possono consentire di sviluppare un processo di adeguamento coerente e corretto.
Quindi come le autorità che invitano comunque tutti i Titolari a dotarsene, eventualmente inserendo nel registro ogni elemento utile, anche oltre a quelli minimi previsti dalle norme...LO CONSIGLIAMO PURE NOI DI REGOLAMENTO 679.
Il Registro dei Trattamenti, anche dove non previsto l’obbligo, è uno strumento indispensabile per tenere traccia delle operazioni effettuate dall’organizzazione sui dati personali degli interessati. E della stessa idea è anche il Working Party Article 29, (Comitato europeo della protezione dei dati introdotto dal nuovo regolamento europeo GDPR, un organismo consultivo indipendente, “composto da un rappresentante delle varie autorità nazionali, dal Garante europeo della protezione dei dati, nonché da un rappresentante della Commissione.”). Il Gruppo articolo 29 , (in inglese Working Party article 29), ha infatti pubblicato un parere sul Registro, in cui precisa che è sufficiente che occorra una sola delle condizioni previste dall'articolo 30 del Gdpr, per far scattare l'obbligo di tenuta del registro, ovvero basterebbe trattare dati personali in modo stabile per essere tenuti alla registrazione. Pertanto qualsiasi azienda tratta dati sensibili (relativi alla salute) dei propri dipendenti (ad esempio, un'aspettativa per motivi di salute)...anche i liberi professionisti trattano dati personali altrui in maniera non occasionale e anche un sito web con un form di contatti! Tale interpretazione appare in contrasto con quella dell'Autorità di controllo italiana che ha precisato sul suo sito che tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati all’art. 30. In tal senso sarebbe sufficiente avere meno di 250 dipendenti e non effettuare trattamenti a rischio, laddove l'interpretazione del WP29 (che è successiva, e il Garante italiano fa parte del WP29) è più restrittiva.
Concludiamo ricordandoVi che il ns TEAM, di LEGAL&SECURITY STRATEGY, AFFIANCANDO LE AZIENDE NELLA GESTIONE INTEGRATA DI TUTTI GLI ASPETTI legali, tecnici, tecnologici, organizzativi e formativi PER PROBLEMI di Adeguamento al GDPR, PUO' AIUTARVI ANCHE NELLA REDAZIONE DEL REGISTRO DEI TRATTAMENTI!
CONTATTACI via E-MAIL a info@regolamento679.com
o ai NUMERI +39 3664515806 e +39 3426781545
e trova la versione pił adatta alle tue esigenze
