Registro dei trattamenti per la privacy (GDPR), come farlo e i vantaggi
Il Registro dei trattamenti, anche dove non previsto l’obbligo, è uno strumento indispensabile per tenere traccia delle operazioni effettuate dall’organizzazione sui dati personali degli interessati. Ecco quali informazioni dovrebbe contenere anche in funzione degli strumenti usati per il trattamento
Indice degli argomenti:
- Cosa deve contenere il Registro dei trattamenti
- Individuazione delle attività soggette a raccolta dati
- Utilità del Registro per chi non è soggetto all’obbligo
- Indicazione di liceità e base giuridica
- Ruoli e compiti all’interno dell’organizzazione
- Individuazione delle tipologie di atti e documenti
- Strumenti elettronici e rischi di sicurezza
l 25 maggio è diventato definitivamente applicabile in via diretta in tutti i Paesi Ue il nuovo Regolamento europeo 2016/679 in materia di protezione dei dati personali (in inglese GDPR), che tra le altre cose istituisce l’obbligo di tenere un Registro delle attività di trattamento, in forma cartacea o anche in formato elettronico, a cura del titolare e del responsabile del trattamento ai sensi dell’articolo 30. Uno strumento ritenuto indispensabile per tenere traccia delle operazioni effettuate dall’organizzazione sui dati personali degli interessati ed essere in grado di valutare gli obblighi normativi applicabili, nonché di attuare un modello di governo della privacy adeguato al proprio contesto organizzativo (anche sistema di gestione privacy).
Infatti, l’individuazione puntuale dei trattamenti di dati personali effettuati, in relazione alle attività svolte dalla propria organizzazione, rappresenta il primo passo per poter comprendere gli obblighi a cui è necessario rispondere (ad esempio, raccolta del consenso, designazione responsabili esterni, ecc.), individuare le responsabilità ed i compiti di tutela all’interno dell’organizzazione e sviluppare correttamente le attività di valutazione della necessità e proporzionalità del trattamento, quando ricade l’obbligo di effettuare la DPIA (ai sensi dell’articolo 35), come anche dei rischi per la protezione dei dati personali e dei possibili impatti, o danni, che possono essere causati agli interessati in caso di violazione degli stessi.
...
In conclusione, il Registro non dovrebbe contenere solo le categorie di informazioni previste dall’articolo 30 del Regolamento, ma anche tutte quelle informazioni necessarie ed indispensabili per individuare e valutare gli obblighi previsti dal quadro normativo di riferimento e i rischi a cui possono essere esposti i dati personali in funzione degli strumenti utilizzati per il loro trattamento e che possono causare potenziali danni, sia materiali che immateriali, agli interessati.