Privacy

Cos’è il Registro dei Trattamenti?

Tutti i titolari ed i responsabili di trattamento, ad eccezione di organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un registro delle operazioni di trattamento i cui contenuti sono indicati nell’art. 30.

Il Registro dei Trattamenti è uno strumento fondamentale non soltanto in caso di una supervisione da parte del Garante della Privacy, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione ed analisi del rischio.

Il registro deve avere una forma scritta, anche elettronica, e deve essere esibito su richiesta del Garante della Privacy.

Alcune raccomandazioni sul Registro dei Trattamenti

La tenuta del registro dei trattamenti non costituisce un adempimento formale, ma una parte integrante di un sistema di corretta gestione dei dati personali.

Per questo motivo i titolari del trattamento ed i responsabili dovrebbero prescindere dalle dimensioni dell’organizzazione, e compiere quei passi necessari per dotarsi di un registro e, in ogni caso, compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche.

I contenuti del registro sono fissati dall’art. 30 e nulla vieta ad un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti.

Si richiama l’attenzione, inoltre, sulla coincidenza fra i contenuti della notifica dei trattamenti del Codice e quelli che devono costituire il registro dei trattamenti del regolamento.

Quali sono le Misure di Sicurezza?

Le misure di sicurezza devono garantire un livello di sicurezza adeguato al rischio del trattamento (art. 32, paragrafo 1); in questo senso è una lista aperta e non esaustiva.

Per lo stesso motivo non potranno sussistere dopo il 25 Maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza poiché tale valutazione sarà rimessa, caso per caso, al titolare ed al responsabile in rapporto ai rischi specificatamente individuati come da art. 32 del Regolamento.

Notifica delle violazioni di dati personali

A partire dal 25 Maggio 2018, tutti i titolari dei dati dovranno inviare una comunicazione elettronica alle Autorità competenti nel caso avvenga una violazione dei dati personali, entro e non oltre le 72 ore all’accaduto. Non è in alcun modo giustificato un ritardo.

La comunicazione in ogni caso va effettuata soltanto se si ritiene probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.

Qualora la probabilità che tale rischio sia elevate, è necessario informare di tale rischio anche i diretti interessati, anche in questo caso senza giustificare ritardo.

Alcune raccomandazioni riguardo le violazioni dei dati personali

Tutti i titolari del trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non sono state notificate all’autorità di controllo o non siano state comunicate ai diretti interessati.

E’ raccomandabile, pertanto, ai titolari di trattamento di adottare le misure necessarie a documentare eventuali violazioni, essendo tenuti a fornire tale documentazione, su richiesta, al Garante in caso di accertamenti.

Chi è il Responsabile della Protezione dei Dati?

Il Responsabile della Protezione dei Dati (RPD o DPO) riflette, appunto, l’approccio responsabilizzante che è proprio del regolamento.

I compiti del RPS rientrano nella sensibilizzazione, nella formazione del personale e nella sorveglianza sullo svolgimento della valutazione di impatto.

La designazione di un RPD (o DPO) è obbligatoria in alcuni casi, ed il regolamento tratteggia le caratteristiche soggettive e oggettive di questa figura (indipendenza, autorevolezza e competenze manageriali).