Registro delle attività di trattamento: come costruirlo e aggiornarlo

Registro delle attività di trattamento: come costruirlo e aggiornarlo

Audit di ricognizione dei trattamenti

Elaborazione della prima bozza del Registro delle attività di trattamento

Verifica e revisione con il Cliente

Formazione sulle modalità di corretto aggiornamento, conservazione e utilizzo del Registro delle attività di trattamento

Il registro dei trattamenti è uno strumento fondamentale non soltanto per disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, ma è anche indispensabile per ogni valutazione e analisi del rischio (ulteriori adempimenti previsti dal GDPR in ottica accountability).

Com’è possibile pensare di poter dimostrare di aver adottato tutte le misure necessarie a garantire il rispetto della normativa privacy se non siamo nemmeno in grado di sapere con esattezza quali trattamenti sono svolti in azienda, con quali modalità e misure di sicurezza?

Per questo motivo il Garante per la protezione dei dati personali, nella sua Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali ritiene che: “il registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”, invitando tutti i titolari del trattamento e i responsabili,  a prescindere dalle dimensioni dell’organizzazione,  a compiere i passi necessari per dotarsi di tale registro.

Il Garante si rivolge, quindi, a tutti i soggetti, prescindendo dalle dimensioni dell’organizzazione!

Sì, perché l’art. 30 del GDPR esclude da tale obbligo tutti gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti che possano presentare “un rischio per i diritti e le libertà dell’interessato, o il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1 o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.

Come già indicato in precedenza, nel rispetto delle raccomandazioni del Garante, è opinione di chi scrive che il registro delle operazioni di trattamento sia il punto di partenza fondamentale per un’azienda o organismo pubblico per attuare qualsivoglia strategia per la conformità in materia di protezione dei dati personali.

L’art. 30 del GDPR, oltre a prevedere che il registro debba essere tenuto in forma scritta, anche in formato elettronico e che debba essere esibito su richiesta al Garante, fornisce anche una lista di contenuti obbligatori:

  •  il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Si tratta ovviamente dei contenuti minimi che devono essere indicati all’interno del registro. Dal momento, però, che questo documento non dev’essere visto come un mero adempimento formale, anzi, deve essere inteso come uno strumento operativo, nulla vieta (ed anzi si può suggerire di) integrare tali contenuti con qualunque informazione utile al titolare per poter correttamente governare gli aspetti privacy dei trattamenti.

 

Per scoprire il servizio “Easy Privacy” clicca qui