Close
Cerca
Filters

Privacy: il registro del trattamento

Privacy: il registro del trattamento

Il nuovo Regolamento Europeo sulla Privacy è già stato approvato nel 2016 ed entrerà, ufficialmente, in vigore il 24 maggio 2018, tra le varie novità normative previste, l'art 30 introduce la redazione del Registro del Trattamento.

L'obbligo, per i titolari e i responsabili del trattamento, si applica alle aziende, enti ed imprese con più di 250 dipendenti.

L'esenzione, però, non opera su tutti i titolari con un numero inferiore a 250, infatti, l'obbligo ricade se un trattamento rappresenta un rischio per i diritti e la libertà degli interessati, e nel caso:

- il trattamento non è occasionale

- per quanto occasionale, il trattamento include dati sensibili o giudiziari.

Il punto più controverso è costituito dall'individuazione del "rischio" anche da parte delle aziende con meno di 250 dipendenti, cosa che dovrà essere stabilita, sicuramente, da una profonda analisi, meglio se coadiuvata da un Privacy Specialist o da un Data Protection Officer.

Il Registro del Trattamento, come previsto dal par. 4 dell'art. 30, può essere richiesto, dalle autorità garanti o di controllo, per documentare l'attività svolta dall'azienda o dall'ente, per conformarsi al Regolamento. Può essere cartaceo o elettronico, purchè, ci siano i presupposti per una conservazione a norma e una firma digitale per garantirne la "paternità".

Il Registro del Trattamento, non costituisce, di per sè, una "prova" dell'adempienza alla normativa privacy, quanto una documentazione di quanto fatto per arrivare alla compliance al Regolamento.

I Registri previsti sono 2: il Registro del Titolare e il Registro del Responsabile.

Il Responsabile (interno o esterno) interviene quando si aplicano trattamenti per conto del titolare.

il Registro del Titolare deve contenere:

  1. Dati anagrafici del titolare e dei suoi rappresentanti
  2. Finalità del trattamento
  3. Categorie di destinatari
  4. Trasferimenti di dati in Paesi extra UE (se applicabile)
  5. Scadenze per la cencellazione dei dati trattati
  6. Descrizione delle misure di sicurezza applicate

il Registro del Responsabile deve contenere:

  1. Dati anagrafici del responsabile e dei titolari per cui agisce
  2. Categorie di trattamenti effettuati
  3. Trasferimenti di dati in Paesi extra UE (se applicabile)
  4. Descrizione delle misure di sicurezza applicate

E' evidente che le misure di sicurezza da applicare non potranno più essere quelle "minime" come previsto dall'attuale ordinamento, ma dovranno essere valutate per garantire un adeguato livello di sicurezza, considerando i dati trattati e i rischi collegati.

Il consiglio che possiamo dare è quello di rivolgersi ad un professionista per un'adeguata valutazione dei rischi e delle misure da adottare e, per la stesura del registro, adottare un sistema elettronico a norma con tutti i meccanismi previsti per l'archiviazione e la documentazione necessaria.

 

Lascia un commento