Registro dei trattamenti, oltre l’obbligo dell’articolo 30

‍Utili suggerimenti per una compilazione completa e virtuosa.

Con l’entrata in vigore del Regolamento europeo 2016/679 a Maggio 2018 l’obbligo previsto dall’art. 30 di adottare un Registro per le attività di trattamento rappresenta, e continuerà a rappresentare, per tutte le aziende Europee un punto di partenza imprescindibile per adeguarsi al nuovo sistema per la gestione e protezione dei dati personali.

La prescrizione, secondo l’orientamento del gruppo di lavoro WP29, ora chiamato EDPB, composto dai garanti degli Stati europei tra cui il nostro Garante privacy Italiano, non è solo rivolta alle organizzazioni aventi più di 250 dipendenti, ma anche alle piccole e medie imprese che nel corso della loro attività trattano dati personali.

L'articolo in questione si riferisce anche ai trattamenti non occasionali ed è infatti molto difficile che un azienda con meno di 250 dipendenti tratti i dati personali in maniera occasionale

La tenuta del registro dei trattamenti, quindi, rappresenta una sfida globale, rivolta a tutte le aziende, a prescindere dalle loro dimensioni o dal numero dei dipendenti.

Grazie a questo strumento, ogni organizzazione dovrà tenere traccia di tutte le operazioni effettuate sui dati e, allo stesso tempo, pianificare un modello di protezione adeguato alla tutela degli stessi, strumento essenziale per il rispetto del principio generale di accountability.

Vantaggi e contenuti del registro dei trattamenti

Nello specifico, creare a aggiornare il registro permetterà ai titolari e responsabili del trattamento di disporre sempre di un quadro completo e aggiornato dei trattamenti in essere all’interno dell’azienda, un presupposto che consente ai soggetti coinvolti un duplice vantaggio:‍‍

• ‍Individuare gli obblighi a cui sono chiamati a rispondere (in base alla natura dei dati e alla valutazione del rischio)
• ‍Adottare le misure più adeguate per assicurare l’applicazione del regolamento e la protezione dei dati personali trattati.
  

Sottolineata l’importanza strategica del Registro dei trattamenti occorre stabilire quali sono le informazioni che questo documento deve contenere.

Da questo punto di vista l’art. 30 fornisce un’indicazione chiara elencando le informazioni che seguono:

• I riferimenti del titolare del trattamento e, se presenti, del contitolare, del rappresentante e del responsabile della protezione dei dati;
• Le finalità del trattamento cioè il motivo per cui viene effettuato il trattamento;
• La descrizione delle categorie di interessati e delle categorie di dati personali trattati;
• Le categorie di destinatari a cui sono stati o saranno comunicati;
• Se vengono effettuati trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, e in quale paese e con quali garanzie avviene il trasferimento;
• I termini previsti per la cancellazione dei dati in base alle categorie di dati trattati;
• La descrizione generale delle misure di sicurezza tecniche e organizzative messe in atto;
  

Tuttavia, secondo l’orientamento del Garante Italiano, il registro dei trattamenti non dev’essere inteso come un obbligo formale, ma come uno strumento dinamico e operativo, un supporto da implementare continuamente anche con contenuti ulteriori rispetto a quelli previsti dall’art. 30.

In gioco, infatti, c’è una visione globale e unitaria degli aspetti di protezione dei dati personali della propria organizzazione, indipendentemente dalla grandezza o dalle tipologie di dati trattati.

Consulta la nostra guida su come redigere il registro dei trattamenti in azienda.

Suggerimenti del Garante per la protezione dei dati personali

Dunque, in linea con l’invito del Garante ecco un’ulteriore lista di informazioni con cui ogni azienda, a prescindere delle dimensioni, è chiamata ad arricchire il registro dei trattamenti nell’ottica di una compliance completa, virtuosa e mediamente superiore.

Vediamoli uno alla volta:

• ‍Descrizione del trattamento: risulta utile in quanto evidenzia in maniera chiara le finalità perseguite e le modalità con cui viene effettuato il trattamento, sarà strumentale inoltre alla stesura delle relative informative.
• ‍Atti e documenti: individuare tutte le tipologie di atti o documenti utilizzati da ciascun trattamento può rappresentare un’azione indispensabile per comprendere possibili obblighi di conservazione, derivanti anche dalla normativa nazionale. Suggerimento che vale soprattutto per il settore sanitario e della pubblica amministrazione, dove il trattamento dei dati è gestito ancora con strumenti spesso cartacei.
• ‍Strumenti elettronici e rischi di sicurezza: l’indicazione degli strumenti elettronici utilizzati da ciascun trattamento rappresenta un’informazione essenziale per evidenziare i rischi di sicurezza a cui possono essere esposti i dati personali, nonché individuare i soggetti (spesso terzi come fornitori di soluzioni IT) responsabili della loro gestione e manutenzione.

Se senti la necessità di approfondire la tematica del Registro dei Trattamenti nell’ottica di una compliance completa e virtuosa non esitare a contattarci.