A maggio 2018 tutte le aziende e gli enti europei dovranno conformarsi al nuovo regolamento Privacy europeo, il cosiddetto GDPR, che introduce o aggiorna alcune prescrizioni non presenti nella passata normativa privacy o solo in parte richieste .Tra queste, la tenuta dei registri delle attività di trattamento effettuate, che l’articolo 30 del Regolamento assegna al Titolare del Trattamento (comma 1 ) e al Responsabile (comma 2).
=> Guida al nuovo Regolamento Privacy
Registri dei trattamenti
Si tratta, in sintesi, di un adempimento formale che fornisce una prima indicazione rispetto al fatto che il Titolare e il Responsabile operano in conformità al GDPR. In caso di controlli da parte del Garante per la Privacy, infatti, probabilmente il registro dei trattamenti rappresenta uno dei primi documenti richiesti.
Tra le indicazioni che il GDPR fornisce alle aziende troviamo le informazioni i registri dovranno obbligatoriamente contenere, ovvero:
- nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
=> Garante della Privacy: news e approfondimenti
PMI escluse
Ci sono alcuni elementi importanti da considerare, tra cui le esclusioni previste per enti e altri organismi con meno di 250 dipendenti che:
- non realizzano trattamenti che possono presentare un rischio per i diritti e le libertà degli interessati;
- il trattamento risulta occasionale e non includa dati di cui all’art. 9.1 o all’articolo 10. (dati particolari e dati personali giudiziari).
In attesa di un chiarimento del Garante rispetto alla definizione di “occasionalità” e “rischio per i diritti e le libertà degli interessati”, una possibile chiave di lettura è l’applicazione del principio di “Accountability” promosso dal GDPR, ovvero la valutazione obiettiva e concreta dei rischi, per garantire l’adozione delle adeguate ed efficaci misure di sicurezza e privacy.
Per approfondimenti consultare il Sito UE.