di Luca Leone

Già la Regola 19.1 dell’Allegato B al Codice Privacy (ormai abrogata) obbligava il Titolare del trattamento ad “elencare” i trattamenti di dati personali.

L’elenco dei trattamenti, da molti ritenuto superfluo, da altri confuso con l’elenco delle banche dati, costituiva, anche se a livello embrionale, un primo elemento che, se opportunamente sviluppato, avrebbe condotto gli “addetti ai lavori” (oggi “Privacy Officer”) ad una vera e propria Analisi dei trattamenti.

Fu il Garante, attraverso la Guida Operativa per la redazione del DPS, a introdurre il tema dell’Analisi, anche se non esplicitamente, iniziando a tracciare il sentiero per una corretto censimento dei trattamenti. Una Guida non obbligatoria ma utile che avrebbe portato le aziende ad interrogarsi, con metodo, sui trattamenti effettuati, a volte anche inconsapevolmente.

Per condurre un’attenta Analisi dei trattamenti è necessario individuare i singoli componenti. Un primo gruppo, costituito dalla finalità del trattamento, dagli interessati e dalla natura dei dati trattati, costituisce il nucleo minimo (potremo definirlo “Censimento di 1 livello”).

Andando oltre nell’individuazione degli altri elementi costitutivi del trattamento il Titolare riuscirà ad individuare il processo sotteso al trattamento stesso; questo gli permetterà di evidenziare eventuali criticità che saranno poi tenute in debito conto nell’analisi gemella: l’Analisi dei Rischi.

L’esercizio (cioè l’Analisi), per le aziende che hanno colto la sfida, e lo hanno mantenuto anche dopo la riforma che ha abolito l’obbligo di redazione del DPS, ora si rivela un asset strategico: il Nuovo Regolamento Privacy UE (GDPR), all’art. 30 obbliga il Titolare e il Responsabile del trattamento alla tenuta dei Registri delle Attività di Trattamento.

Anche in questo caso ci saranno Titolari del trattamento che vedranno l’adempimento come mero obbligo burocratico/legale e altri che si spingeranno oltre, utilizzando il Registro come base per una migliore e più dettagliata Analisi dei trattamenti che contempli ad esempio: il flusso informativo, i trattamenti oggetto di Data Breach, i trattamenti che devono essere sottoposti a Valutazione d’impatto, le Strutture che effettuano il trattamento al fine della stesura dei Mansionari Incarichi.

Trasformare il Registro in un vero e proprio “gestionale” del processo Privacy si può. L’aiuto ai Titolari del trattamento verrà dai TOOL, o software automatizzati, che supporteranno il DPO nelle attività di mantenimento e aggiornamento dei Registri (soprattutto se si pensa ai Responsabili del trattamento che dovranno tenere traccia di tutti i trattamenti per ogni singolo Titolare) e lo aiuteranno nei calcoli sottesi all’Analisi dei Rischi.

I TOOL saranno in grado di supportare/agevolare il Privacy Officer e dimostrare quello che a tutti sembra ancora un elemento di difficile interpretazione: l’Accountability.

(*) estratto da: Luca Leone, L’Analisi dei trattamenti nel Nuovo Regolamento Privacy UE, di prossima pubblicazione.

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.