RGPD Manager - Registri delle attività di trattamento
L’art.30 del Regolamento UE 679/2016 (GDPR) introduce un nuovo adempimento riguardante i Registri delle attività di trattamento la cui tenuta è a carico del Titolare e, se nominato, del Responsabile del trattamento dei dati personali. All’interno dei Registri l’organizzazione è tenuta a riportare tutte le operazioni effettuate sui dati personali oggetto di trattamento. I Registri possono essere gestiti sia in forma cartacea che digitale allo scopo di essere esibiti in caso di verifica da parte delle Autorità preposte.
Chi è tenuto a redigere i Registri?
Le Organizzazioni con 250 dipendenti e oltre sono obbligate alla tenuta dei Registri; per quelle sotto tale numero, l’obbligo è previsto nel caso in cui il trattamento effettuato presenti dei rischi per i diritti e le libertà degli interessati o preveda categorie particolari di dati (ad esempio dati genetici, biometrici o che rivelino l’origine razziale, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, ecc.).
A questo proposito è importante riflettere sul fatto che, in relazione alle tante variabili in gioco, non è semplice stabilire la sussistenza o meno di trattamenti a rischio, se non a fronte di una attività preliminare di analisi che nel caso di piccole realtà rappresenterebbe certamente un onere maggiore rispetto alla tenuta stessa dei Registri.
Perché è importante il Registro dei trattamenti?
La domanda che spesso mi viene rivolta è la seguente: “… ma in caso di verifica da parte delle Autorità preposte quali sono gli elementi da portare all’attenzione per dimostrare di essere conformi alla normativa?” La necessità di dimostrare di aver soddisfatto i requisiti richiesti dalla norma è una prerogativa del GDPR che, se mal gestita, può essere motivo di inadempienza generare difficoltà e imbarazzo all’interno della propria organizzazione. Il Registro delle attività di trattamento rappresenta in questo senso uno strumento di estrema importanza in quanto consente al Titolare e, se previsto, al Responsabile di circoscrivere il perimetro di intervento dei trattamenti documentando in forma analitica e strutturata tutti gli elementi che li caratterizzano. In sostanza ogni attività di trattamento censita all’interno del Registro dovrà essere classificata attraverso una serie di informazioni riferite a:
- Ambito, finalità e categorie di trattamento
- Dati personali
- Soggetti coinvolti
- Trasferimento dati all’estero
- Conservazione delle misure adottate
- Liceità del trattamento
- Fonte dei dati personali
- Consenso degli interessati
In ultimo non va trascurato il fatto che la disponibilità del Registro costituisce una forma di semplificazione collaborativa per le Autorità stesse le quali saranno in grado di determinare con maggiore precisione il livello di conformità raggiunto.
Comments are closed, but trackbacks and pingbacks are open.