Show
Privacy, registro dei trattamenti: quali informazioni contiene e per chi è obbligatorio? Le istruzioni del Garante per la protezione dei dati personali sullo strumento introdotto dal GDPR. Previsto un modello semplificato per le PMI.Privacy, registro dei trattamenti: quali informazioni deve contenere e quali sono i soggetti obbligati a redigerlo? Si tratta di un obbligo introdotto dal GDPR General Data Protection Regulation del 2018, il nuovo regolamento europeo sulla protezione dei dati personali dei cittadini. Le istruzioni dell’Autorità Garante per essere in regola. Il Registro dei trattamenti è obbligatorio soltanto per le imprese con più di 250 dipendenti, ma si tratta di uno degli adempimenti fondamentali per tutte le imprese e le organizzazioni che sono impegnate nel trattamento dei dati in maniera non occasionale e che può rappresentare un rischio per i diritti e le libertà delle persone coinvolte. In Italia per le PMI è previsto un modello in versione semplificata. Privacy, registro dei trattamenti: che cos’è e a cosa serve?Cos’è il registro dei trattamenti? Si tratta di un documento che contiene le principali informazioni relative alle operazioni di trattamento di dati rilevanti ai fini della privacy effettuate da un’impresa, un’associazione, un esercizio commerciale o un libero professionista. Rappresenta lo strumento utile per effettuare una rendicontazione delle attività giornaliere che riguardano il trattamento dei dati personali. A doverlo compilare è il titolare e il responsabile del trattamento. L’obbligo è previsto dall’articolo 30 del GDPR ed è una rappresentazione tangibile del concetto di accountability, uno dei pilastri della normativa europea in tema di privacy. Rappresenta un elemento idoneo a fornire le informazioni sui trattamenti effettuati, sui possibili rischi e sulle valutazioni effettuate. Ogni azione sui dati deve essere tracciata. Una parte del registro, infatti, va dedicata alle violazioni: in caso di data breach, ovvero distruzione, perdita, modifica, divulgazione non autorizzata o accesso a dati personali trattati, è necessario annotare nell’apposito documento tutti i dettagli dell’evento. Si tratta di uno strumento che, nella nuova ottica con cui si guarda alla protezione dei dati, assume grande importanza e che il Garante Privacy suggerisce di compilare a tutte le imprese, anche quelle più piccole, per le quali è messo a disposizione un modello di registro dei trattamenti semplificato. Di seguito tutte le istruzioni su uno degli adempimenti privacy più importanti. Registro dei trattamenti privacy: istruzioni e soggetti obbligatiSecondo le istruzioni pubblicate sul sito dell’Autorità Garante della Privacy e redatte sulla base delle novità introdotte dal GDPR, il registro dei trattamenti dovrà essere compilato in forma scritta, in modalità cartacea ed elettronica. L’obbligo di redigere il Registro riguarda i seguenti soggetti privati:
È quindi chiaro che sono obbligati a tenere e redigere il registro dei trattamenti dei dati personali buona parte di imprese e professionisti. Ad esempio, è obbligatorio per negozi, uffici o artigiani (bar, ristoranti) con almeno un dipendente, così come per chi tratta dati sanitari dei propri clienti (come parrucchieri, estetisti, ottici, tatuatori ecc..). L’obbligo riguarda anche i liberi professionisti, come commercialisti, notai, avvocati, farmacisti o medici in generale, che trattano dati sanitari o sensibili. Associazioni, fondazioni o comitati, allo stesso modo, sono chiamati a redigere il registro dei trattamenti ai fini del rispetto del GDPR qualora trattino categorie particolari di dati. Si tratta ad esempio di associazioni che si occupano di soggetti vulnerabili (disabili, ex detenuti, ecc..) o associazioni che perseguono finalità di contrasto alle discriminazioni di genere, razziale, basate sull’orientamento religioso, sessuale o politico, così come le associazioni sportive che trattano dati sanitari o i partiti e sindacati. Per le imprese e le organizzazioni con meno di 250 dipendenti sono previste misure di semplificazione e il Garante Privacy ha pubblicato un modello di registro dei trattamenti appositamente dedicato. Registro dei trattamenti privacy, modello semplificato per le PMICome si legge anche nelle istruzioni pubblicate dal Garante, le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno beneficiare di alcune misure di semplificazione. In tal caso l’obbligo di redazione del registro riguarderà soltanto le specifiche attività di trattamento sopra individuate. Ad esempio, nel caso in cui il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento. Per semplificare il rispetto degli adempimenti previsti dal GDPR, l’Autorità Garante per la Privacy mette a disposizione delle piccole e medie imprese due modelli relativi al registro semplificato: Di seguito si forniscono le ulteriori istruzioni per la compilazione e la tenuta del Registro secondo quanto riportato nella . Registro dei trattamenti: istruzioni per la compilazione del Garante della PrivacyLe istruzioni su come compilare il registro dei trattamenti sono contenute nel GDPR e sono illustrate in una pagina web dedicata dal Garante per la protezione dei dati personali. Le informazioni che deve riportare sono le seguenti:
Dopo aver passato a rassegna le informazioni che sicuramente deve contenere il registro delle attività dei trattamenti di dati, è necessario sottolineare che, partendo dal modello standard, ogni organizzazione o impresa dovrebbe costruire in maniera sartoriale il suo registro, tenendo conto della sua specificità. Modalità di conservazione e di aggiornamento del Registro dei trattamentiIl documento deve essere costantemente aggiornato in quanto si tratta di uno strumento indispensabile per dimostrare le attività di trattamento dati effettuate dal titolare o dal responsabile. In merito alle modalità di tenuta e conservazione, il Garante ricorda che può essere compilato sia in formato cartaceo che elettronico e che deve indicare la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) insieme a quella dell’ultimo aggiornamento. Nel caso di aggiornamento, nel Registro bisogna indicare un’annotazione di questo tipo:
Registro responsabile trattamento datiIn chiusura, il Garante per la Privacy nelle istruzioni fornite a imprese, professionisti e organizzazioni chiarisce che il responsabile del trattamento deve tenere un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare”. Il documento deve essere compilato nel modo che segue:
A cosa serve il Registro dei trattamenti e chi lo deve prevedere?Il registro delle attività di trattamento è un documento obbligatorio per molte aziende, per adempiere agli obblighi previsti dal GDPR. Nello specifico, è l'art. 30 del Regolamento Europeo 679/2016 a prevedere, tra gli adempimenti del titolare e del responsabile del trattamento dei dati, la tenuta di tale registro.
Chi ha l'obbligo di compilare il Registro dei trattamenti?Registro dei trattamenti: chi è obbligato
Si precisa che, come da Art. 30 del GDPR, tutti i titolari e i responsabili del trattamento sono tenuti a redigere il registro delle attività di trattamento.
Cosa deve essere inserito nel registro dei trattamenti?30 prevede che il registro dei titolari del trattamento elenchi almeno le seguenti informazioni: a) il nome e i dati di contatto del titolare del trattamento e, se nominati, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO);
Quando è obbligatorio predisporre un registro dei trattamenti dei dati personali?Il Registro dei trattamenti è obbligatorio soltanto per le imprese con più di 250 dipendenti, ma si tratta di uno degli adempimenti fondamentali per tutte le imprese e le organizzazioni che sono impegnate nel trattamento dei dati in maniera non occasionale e che può rappresentare un rischio per i diritti e le libertà ...
|