giovedì 10 maggio 2018

UN MINUTO DI PRIVACY - Il Registro dei trattamenti: dovere o opportunità?

Il GDPR (art. 30) ha introdotto uno nuovo strumento fondamentale per la corretta gestione dei dati personali: il Registro dei Trattamenti.

A norma del citato articolo del Regolamento UE, il titolare o il responsabile (ma anche un loro rappresentante) deve tenere un registro delle attività di trattamento dei dati svolte sotto la propria responsabilità.

Il registro deve avere forma scritta ed è ammessa anche la versione elettronica.

Ma concretamente, di che tipo di adempimento si tratta?

Quello che viene richiesto alle aziende è di creare una vera e propria mappatura di tutti i dati trattati, mediante l’indicazione di precise informazioni individuate dal GDPR tra cui:

- le finalità di trattamento;

- la descrizione delle categorie di dati personali e di soggetti interessati;

- i soggetti a cui i dati potranno essere comunicati e gli eventuali trasferimenti dei dati personali all’estero;

- le misure di sicurezza tecniche e organizzative adottate;

- i termini per la cancellazione dei dati.

Oltre a ciò nulla vieta al titolare o al responsabile di inserire nel registro tutte le informazioni che riterrà più opportune in relazione alla propria attività, nell’ottica della complessiva valutazione di impatto dei trattamenti.

Un aspetto sostanziale da considerare è che hanno l’obbligo di tenere il registro dei trattamenti solamente gli organismi con più di 250 dipendenti o che, indipendentemente dalle dimensioni, effettuano trattamenti a rischio (dati sensibili, dati relativi a condanne penali etc).

Per tutti gli altri, il Garante della privacy non solo suggerisce, ma addirittura raccomanda caldamente di dotarsi in ogni caso di un registro: il processo ricognitivo legato alla sua compilazione, infatti, costituisce un importante momento di confronto per verificare la liceità dei trattamenti già in essere ed un buon punto di partenza per procedere con l’adeguamento privacy richiesto dal GDPR.

Quindi, a conti fatti il registro dei trattamenti non è solo un onere, ma una vera opportunità di introspezione aziendale.

Infine, per semplificare l’approccio a questo nuovo adempimento cui le aziende italiane dovranno adeguarsi entro prossimo il 25 maggio 2018, il Garante suggerisce di recuperare il vecchio DPS (il Documento programmatico sulla sicurezza, non più obbligatorio dal 2012), e utilizzarlo come una valida base per iniziare a redigere il proprio registro.