Stampa & Eventi

GDPR e registro dei trattamenti

Privacy e registro dei trattamenti: quali informazioni deve contenere?

L’art. 30 del Reg. UE n. 2016/679 (conosciuto come “GDPR”) prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento. Tale documento deve contenere le principali informazioni relative alle tipologie di trattamento svolte dal titolare (e, quando nominato, dal responsabile del trattamento su un registro apposito).

La tenuta del registro costituisce uno dei principali elementi di accountability del titolare, in quanto è in grado di fornire un quadro completo e aggiornato dei trattamenti in essere all’interno della propria organizzazione, ed è indispensabile per ogni attività di valutazione o analisi del rischio preliminare sui trattamenti che si vogliono effettuare.

Il registro deve essere tenuto in forma scritta, anche in formato elettronico, e deve essere esibito su richiesta al Garante in caso di verifica.

 

Quali informazioni deve contenere?

Con riferimento ai contenuti del registro, così come indicato nel modello pubblicato dal Garante, si rappresenta quanto segue:

 

  1. Nel campo “finalità e basi legali del trattamento” oltre alle ragioni che giustificano i trattamenti (ad es.: trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro / dei candidati per la gestione dei CV / dei contatti dei fornitori per la gestione degli ordini), è opportuno indicare anche la base giuridica dello stesso, ossia ciò che autorizza legalmente il trattamento.
    A tal proposito, si richiama l’art. 6 del GDPR, il quale enuncia le condizioni in base alle quali il trattamento può dirsi lecito. Nel caso di trattamento basato sul “legittimo interesse“, si suggerisce di riportare la descrizione dell’interesse concretamente perseguito, nonché, ove effettuata, la preventiva valutazione d’impatto del trattamento;
  2. Nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” devono essere specificate sia le tipologie di interessati (ad es.: es. clienti, fornitori, dipendenti, candidati, collaboratori) sia quelle di dati personali oggetto di trattamento (ad es.: dati anagrafici, dati sanitari, immagini personali, contatti, indirizzi di recapito);
  3. Nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati eventuali enti cui siano comunicati i dati (ad es.: enti previdenziali). Inoltre, si ritiene opportuno che siano indicati anche gli eventuali altri soggetti ai quali – in qualità di responsabili o autorizzati al trattamento – siano trasmessi i dati da parte del titolare (ad es.: soggetto esterno/interno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti);
  4. Nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” si riportano le informazioni relative ai suddetti trasferimenti verso Paese/i terzo/i e la documentazione delle “garanzie adeguate” adottate ai sensi del capo V del GDPR (ad es.: decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali standard, ecc.);
  5. Nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento. Ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (norme di legge, prassi settoriali) per determinarlo (ad es.: “in caso di contenzioso, i dati saranno cancellati al termine dello stesso” o “in caso di raccolta dei CV, i dati saranno cancellati al termine del processo di selezione”);
  6. Nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del GDPR, tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento in essere.
    Tale lista ha un carattere dinamico, dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, rinviando per una valutazione più dettagliata a documenti esterni di carattere generale (ad es.: procedure organizzative interne; disciplinari aziendali; security policy ecc.).

Lascia un commento