Molte organizzazioni stanno affrontando in questo periodo il percorso di adeguamento al Regolamento Europeo (“GDPR”). Tra le novità di maggior rilievo introdotte dalla normativa vi è sicuramente l’obbligo della tenuta del Registro dei Trattamenti.
Il Registro dei Trattamenti è una delle principali novità del GDPR. Senza scendere nei dettagli sui contenuti del registro, si vuole qui sottolineare come la predisposizione del medesimo non debba essere considerata alla stregua di un nuovo adempimento burocratico, ma come strumento che consente una gestione più efficace della data protection all’interno dell’organizzazione, oltre a rappresentare un elemento imprescindibile per l’individuazione e la realizzazione di un numero significativo di azioni inserite nell’Action Plan per l’adeguamento al GDPR.
tenere traccia delle operazioni di trattamento effettuate all’interno della singola organizzazione;
costituire uno strumento operativo di lavoro mediante il quale censire in maniera ordinata le banche dati e gli altri elementi rilevanti per assicurare un efficace «ciclo di gestione» dei dati personali;
Chi è obbligato alla tenuta del registro dei trattamenti
La tenuta del registro dei trattamenti, se interpretata in questo modo, potrebbe essere utile persino alle organizzazioni per le quali non costituisca un obbligo. A tal proposito è proprio l’art. 30, co. 5, del GDPR ad esonerare dall’obbligo di tenuta del registro dei trattamenti le imprese con meno di 250 dipendenti a meno che: “il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.
A conferma dell’opportunità generale di dotarsi del registro dei trattamenti, si possono considerare le raccomandazioni indicate nelle Linee Guida al regolamento, pubblicate dal Garante per la Protezione dei dati personali, in cui viene così espressamente previsto: “la tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”.
Per quanto attiene ai soggetti obbligati alla tenuta del registro dei trattamenti, deve precisarsi che:
il co. I dell’art. 30 disciplina il registro dei trattamenti del titolare, stabilendo che ogni titolare del trattamento e, ove applicabile, il suo rappresentante, tengono un registro delle attività di trattamento svolte sotto la propria responsabilità;
il co. II dell’art. 30 disciplina invece il registro dei trattamenti del responsabile, stabilendo che ogni responsabile del trattamento e, ove applicabile, il suo rappresentante, tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un Titolare del trattamento.
I due registri presentano delle differenze dal punto di vista contenutistico, avendo il primo una portata più ampia che si estende all’indicazione delle finalità del trattamento, delle categorie di interessati e delle categorie di dati personali, delle categorie di destinatari a cui i dati personali sono stati o saranno comunicati (compresi i destinatari di paesi terzi od organizzazioni internazionali), dei termini ultimi previsti per la cancellazione delle diverse categorie di dati (ove possibile).
Figura 1 – Registro dei trattamenti ampio Fonte: P4I
Modalità di costruzione del Registro
Non è disciplinata a livello normativo una regola generale che stabilisca le modalità attraverso le quali costruire il registro dei trattamenti: l’art. 30 del GDPR, infatti, si limita ad indicare quali sono gli elementi che il registro deve necessariamente contenere. Il modello di registro consigliato integra le informazioni minime richieste dal Regolamento con elementi aggiuntiviin grado di trasformare il registro in un vero e proprio asset aziendale, mantenendo uncollegamento diretto con i principali «oggetti aziendali» (es. mappa dei processi). Nello specifico, si consiglia di inserire all’interno del registro i seguenti elementi:
processi/macro-attività, per poter inquadrare i trattamenti di dati personali all’interno delle attività svolte da ciascuna Unità Organizzativa e facilitarne la comprensione e l’aggiornamento da parte del relativo responsabile;
base giuridica e modalità di raccolta del consenso, per facilitare la predisposizione dell’informativa da consegnare all’interessato. Al riguardo, si ricorda che l’art. 13 co. I l. c) del GDPR ricomprende la base giuridica del trattamento tra gli elementi che devono essere contenuti all’interno dell’informativa;
referente interno e categorie di soggetti autorizzati al trattamento, per fornire indicazioni utili in merito a persone che, limitatamente ai trattamenti di propria competenza, avranno dei compiti esecutivi all’interno del modello di funzionamento;
responsabili esterni del trattamento, per individuare tutti i soggetti terzi che trattano dati personali per conto del titolare del trattamento e che dovranno essere nominati responsabili esterni, richiamando le tipologie di trattamento consentite;
modalità di trattamento dei dati, per poter mappare con esattezza, attraverso l’elencazione dei soli applicativi utilizzati per il trattamento dei dati personali, le misure di sicurezza implementate/da implementare, nonché per poter condurre efficacemente la valutazione dei rischi.
In conclusione, una corretta implementazione del Registro dei Trattamenti consentirebbe di avere un supporto importanteper il governo della data protection nell’ottica di garantire l’accountability. Tale necessità di comprovare la conformità al Regolamento, adottando misure tecniche e organizzative adeguate, prescinde dalle dimensioni dell’organizzazione ed in tale contesto il registro diventa uno strumento utile per tutte le organizzazioni.
Valuta la qualità di questo articolo
La tua opinione è importante per noi!
Iscriviti alla newsletter per ricevere articoli di tuo interesse
email
Prendi visione dell'Informativa Privacy e, se vuoi, seleziona la casella di consenso.
GDPR: un percorso strutturato e sostenibile per essere compliant
06 Nov 2017
di Luca Galetti e Andrea Reghelin
Condividi il post
Condividi
La stretta relazione tra GDPR e innovazione digitale
02 Ott 2017
di Sergio Fumagalli
Condividi il post
Condividi
Articolo 1 di 4
I tuoi contenuti, la tua privacy!
Su questo sito utilizziamo cookie tecnici necessari alla navigazione e funzionali all’erogazione del servizio.
Utilizziamo i cookie anche per fornirti un’esperienza di navigazione sempre migliore, per facilitare le interazioni con le nostre funzionalità social e per consentirti di ricevere comunicazioni di marketing aderenti alle tue abitudini di navigazione e ai tuoi interessi.
Puoi esprimere il tuo consenso cliccando su ACCETTA TUTTI I COOKIE. Chiudendo questa informativa, continui senza accettare.
Potrai sempre gestire le tue preferenze accedendo al nostro COOKIE CENTER e ottenere maggiori informazioni sui cookie utilizzati, visitando la nostra COOKIE POLICY.
ACCETTA
PIÙ OPZIONI
Cookie Center
ACCETTA TUTTO
RIFIUTA TUTTO
Tramite il nostro Cookie Center, l'utente ha la possibilità di selezionare/deselezionare le singole categorie di cookie che sono utilizzate sui siti web.
Per ottenere maggiori informazioni sui cookie utilizzati, è comunque possibile visitare la nostra COOKIE POLICY.
ACCETTA TUTTO
RIFIUTA TUTTO
COOKIE TECNICI
Strettamente necessari
I cookie tecnici sono necessari al funzionamento del sito web perché abilitano funzioni per facilitare la navigazione dell’utente, che per esempio potrà accedere al proprio profilo senza dover eseguire ogni volta il login oppure potrà selezionare la lingua con cui desidera navigare il sito senza doverla impostare ogni volta.
COOKIE ANALITICI
I cookie analitici, che possono essere di prima o di terza parte, sono installati per collezionare informazioni sull’uso del sito web. In particolare, sono utili per analizzare statisticamente gli accessi o le visite al sito stesso e per consentire al titolare di migliorarne la struttura, le logiche di navigazione e i contenuti.
COOKIE DI PROFILAZIONE E SOCIAL PLUGIN
I cookie di profilazione e i social plugin, che possono essere di prima o di terza parte, servono a tracciare la navigazione dell’utente, analizzare il suo comportamento ai fini marketing e creare profili in merito ai suoi gusti, abitudini, scelte, etc. In questo modo è possibile ad esempio trasmettere messaggi pubblicitari mirati in relazione agli interessi dell’utente ed in linea con le preferenze da questi manifestate nella navigazione online.
