UN PILASTRO PER LA COMPLIANCE CON IL GDPR … IL REGISTRO DELL’ ATTIVITA’ DI TRATTAMENTO

Leggendo il paragrafo 5 dell’art.30 “Registri del trattamento di dati” del GDPR che dice :

“…gli obblighi di cui ai paragrafi 1 e 2 (obbligo di tenuta di un registro di tutte le categorie di attività relative al trattamento da parte del titolare e del responsabile ) non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati […], o i dati personali relativi a condanne penali e a reati […]”

 

si potrebbe giungere alla conclusione che se un’impresa o un’organizzazione non presenta tali caratteristiche (soprattutto in termini di numero di dipendenti) si è sollevati da tale adempimento.
Ma cosa si intende per trattamento "non occasionale" di dati personali?
Ogni azienda che impiega lavoratori elabora praticamente sempre i dati personali. Basti pensare alla gestione del personale e delle buste paga.
Data l’ambiguità del concetto, è necessario che tutte le operazioni di trattamento dei dati siano tracciabili e documentabili, arrivando dunque ad affermare che ogni azienda dovrebbe dotarsi di un registro dell’attività.
In questo modo l’impresa riuscirà a ottimizzare COME, DOVE, PERCHÉ il proprio business elabora i dati personali e a soddisfare in maniera efficiente le eventuali richieste degli interessati a esercitare i propri diritti come l'accesso, la cancellazione e la portabilità.
Ma come dovrà essere tale registro?
In generale dovrà contenere le seguenti informazioni:

  1. chi gestisce i dati: il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  2. perché: le finalità del trattamento;
  3. cosa: una descrizione delle categorie di interessati e delle categorie di dati personali;
  4. dove: le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  5. ove applicabile, informazioni sui trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, e la documentazione delle garanzie adeguate;
  6. fino a quando: ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  7. come: ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

Il registro fornirà così informazioni sul trattamento, il coinvolgimento di terze parti, su quanto a lungo sono conservati i dati e informazioni pertinenti che si devono includere nelle informative e consensi privacy e nelle risposte alle richieste di accesso ai dati personali di una persona.
In questo modo si disporrà di uno strumento di reporting aziendale che allo stato dell’arte farà la differenza perché non è sufficiente affermare di essere compliant: bisogna anche dimostrarlo!

email-1

Iscriviti alla newsletter

Per rimanere aggiornato su tutte le novità, leggere gli ultimi articoli del blog e conoscere gli eventi in programma nelle prossime settimane, iscriviti subito alla newsletter

Iscriviti