La mia azienda deve tenere il Registro dei Trattamenti?

Molte aziende oggi si domandano se hanno l’obbligo di tenere il Registro dei Trattamenti così come richiesto dall’articolo 30 del Regolamento Europeo.

Vediamo assieme le situazioni in cui è previsto questo adempimento. Intanto cominciamo a leggerci il paragrafo interessato dell’articolo 30.

art 30 Gli obblighi di cui ai paragrafi 1 e 2 [tenuta del registro da parte del Titolare e del Responsabile del Trattamento] non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

Dunque se l’Azienda ha più di 250 dipendenti non c’è dubbio che debba tenere il registro in oggetto. Anche quando sono effettuati trattamenti a rischio (per le libertà e i diritti degli interessati) di dati sensibili o giudiziari, l’azienda terrà il registro dei trattamenti.

Se sono escluse le categorie di dati particolari, la tenuta dei registri è obbligatoria se il trattamento rischioso non è occasionale.

 

Allo scopo di una maggiore chiarezza, ora schematizziamo quanto descritto in precedenza:

 

 

Tuttavia quando siamo chiamati a fare la nostra consulenza, non possiamo affidarci unicamente a qualche schema, pertanto vogliamo sottolineare due aspetti che allargano non poco questa casistica.

Uno dei due aspetti è che ogni Azienda è invitata a tenere il registro dei trattamenti.

Il concetto è espresso nel Considerando 82 del Regolamento:

  1. Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti.

Quindi ‘sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a ..[] mettere, su richiesta, detti registri a sua disposizione [dell’Autorità di controllo] per monitorare detti trattamenti’. Ma anche la Guida applicativa al Regolamento, pubblicata sul sito del Garante, sostiene che anche chi non è tenuto a redigere il registro, è comunque “invitato a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche”.

Un secondo aspetto riguarda l’azienda che non effettua trattamenti rischiosi. Chi può dirsi appartenente a questa categoria di aziende?

Di fatto molto poche: per fare un esempio, possiamo pensare al classico piccolo forno senza dipendenti.

Quindi per poter analizzare meglio, riportiamo qui di seguito il Considerando 75 del Regolamento che spiega in quali casi da un trattamento può derivare un rischio [per i diritti e le libertà delle persone fisiche].

(75) I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.

E’ un trattamento rischioso se, ad esempio, in azienda si creano profili personali sulla base della valutazione del rendimento professionale; oppure se è possibile che dal trattamento derivi un furto d’identità, si pensi in questo caso a tutti i piccoli negozi dotati di e-commerce, si preoccupano di proteggere i dati relativi ai pagamenti sul loro sito?

Altro trattamento rischioso è quello che impedisce all’interessato il controllo sui propri dati, dunque l’invio di una newsletter senza il consenso e senza dare all’interessato la possibilità di cancellare la propria registrazione. Così come sono a rischio i trattamenti di dati sensibili o giudiziari, se gli interessati sono persone vulnerabili o se nel trattamento sono coinvolte un vasto numero di persone, come nel caso di un impianto di videosorveglianza in un centro commerciale.

Ecco al proposito cosa chiarisce la Guida Applicativa al Regolamento parlando del Registro dei Trattamenti:

“Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.”

Quindi il registro deve avere forma scritta anche elettronica in modo da poter essere esibito su richiesta.

Privacylab che è il workflow più conosciuto dai consulenti in materia di trattamento di dati personali, permette da sempre di produrre il registro dei trattamenti – poiché descrive gli ambiti dei trattamenti, le categorie interessate e dati trattati, le finalità, i permessi, contiene i dati di contatto del titolare, a chi vengono comunicati, i trasferimenti con le garanzie adeguate, la descrizione delle misure di sicurezza adottate e i termini per la cancellazione.

Puoi contattarci e scoprire che il servizio web di Privacylab è facile e adatto a tutti. Potrai inoltre trovare il consulente più vicino a te:

email: info@zapsrl.com                      tel: 0522.18.41.777

 

 

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...