Il Regolamento Generale per la Protezione dei Dati Personali (RGPD o GDPR) impone a Titolari e Responsabili del trattamento numerosi adempimenti, alcuni dei quali sono ricondotti ad una loro specifica valutazione, in linea con il principio di responsabilizzazione (Accountability).

Tra questi adempimenti, il più rilevante è sicuramente il Registro dei trattamenti, le cui caratteristiche sono elencate all’interno dell’articolo 30 del Regolamento.

È importante notare come il registro sia essenziale per effettuare il censimento dei trattamenti (peraltro già previsto dalla regola 19 del DPS – Documento Programmatico sulla Sicurezza, previsto dalla norma previgente), inteso come punto di partenza per adempiere agli altri obblighi previsti dalla norma come la Valutazione dei Rischi e la DPIA.

Diventa essenziale per le aziende titolari e responsabili del trattamento costruire un registro in linea con la normativa integrato con altri elementi di compliance e di accountability.

 

Il Registro dei trattamenti privacy con Excel

Gli strumenti a disposizione per la tenuta dei registri sono diversi: primo fra tutti, il foglio di calcolo (es. formato Excel).

Tale formato è stato utilizzato dalle Autorità di controllo (Garante italiano, CNIL e Autorità di controllo Belga) per offrire degli esempi pratici di tenuta del registro.

Il foglio elettronico ha di certo il vantaggio di essere flessibile, economico e di largo utilizzo. Pertanto, di immediata applicazione all’interno dell’organizzazione. Tuttavia, a questi vantaggi, si affiancano numerosi ed incisivi punti negativi:

  • Difficoltà di redazione in modalità condivisa e di integrazione in organizzazioni estese;
  • Assenza di meccanismi di monitoraggio;
  • Impossibilità di dimostrare con efficacia gli aggiornamenti eseguiti;
  • Interrogativi in merito alla sicurezza relativa al rischio di cancellazione e duplicazione;
  • Inadeguatezza per la gestione di registri in Gruppi Imprenditoriali;
  • Mancanza di integrazione dinamica con altre funzioni (es. valutazione dei rischi o DPIA);

Tutti questi svantaggi sono relativi alla difficoltà di implementare un processo di mappatura e aggiornamento governabile in modo agile e flessibile.

Le stesse problematiche sono riscontrabili per le modalità di gestione di fogli di calcolo ospitati in cloud (es. Google Sheets o Airtable).

 

Programmi sviluppati internamente con Access o altri linguaggi di programmazione

In alternativa ad Excel, una soluzione percorribile è quella di sviluppare internamente un programma che possa consentire la tenuta del registro dei trattamenti eliminando alcuni degli svantaggi tipici del foglio di calcolo.

Questa soluzione dipende in primis dalle competenze informatiche interne all’azienda, dal budget messo a disposizione e dagli sforzi necessari alla manutenzione del sistema.

Rimane però evidente la problematica legata alle competenze necessarie all’aggiornamento normativo adeguato al mantenimento di un sistema di gestione della compliance aziendale.

 

Il Registro dei trattamenti con GoPrivacy: il software per la Data Protection Compliance e la Cyber Security

L’analisi degli esempi di registro dei trattamenti forniti dalle diverse Autorità di Controllo europee, hanno evidenziato il fatto che le richieste di informazioni vanno ben oltre quelle previste espressamente dall’art. 30 del Regolamento (così come confermato dalle recenti FAQ sul registro delle attività di trattamento del Garante italiano).

Il registro quindi è incluso in un sistema di censimento e mappatura dei trattamenti, che favorisce non solo il raggiungimento della compliance ad un singolo articolo nella normativa europea, ma costituisce la base di partenza per lo svolgimento delle altre attività espressamente richieste (prima fra tutte la valutazione dei rischi) e per quelle strettamente legate al principio di responsabilizzazione.
Tenere il registro dei trattamenti con GoPrivacy significa proprio questo.

 

 

Il Registro dei trattamenti con il Modulo di mappatura di GoPrivacy

Il modulo di mappatura delle attività di trattamento di GoPrivacy permette la creazione di un sistema agile di censimento dei trattamenti, che permette il raggiungimento di diversi obiettivi contemporaneamente:

  • Creare il Registro dei trattamenti, uno per le attività svolte in qualità di Titolare e uno per quelle svolte in qualità di Responsabile;
  • Collegare dinamicamente le informazioni presenti nei registri con gli altri moduli di GoPrivacy, come l’Analisi dei Rischi e la Valutazione di impatto (DPIA);
  • Creare automaticamente documentazione per rafforzare la compliance, come il Mansionario per le Persone Autorizzate;
  • Sorvegliare il flusso esterno dei dati verso Responsabili/Sub-responsabili del trattamento;
  • Conservare le Fotografie Temporali relative a diversi periodi dell’anno;
  • Permettere la compilazione condivisa fra le varie unità aziendali, filtrando i coni di visibilità e i privilegi di accesso ai diversi utenti;
  • Monitorare lo stato di avanzamento del mantenimento del registro attraverso l’assegnazione di task ai diversi utenti;
  • Conservare l’intero sistema tramite piattaforma Cloud certificata;
  • Gestire con una sola utenza i registri di diverse società appartenenti ad un Gruppo Imprenditoriale;

Concentrare l’effort su un unico strumento di mappatura delle attività di trattamento permetterà quindi di ottenere diversi risultati, che andranno ad incidere sullo stato di compliance, di awareness e di accountability.

Inoltre, lo staff di consulenti privacy certificati di Unolegal mantiene costante l’aggiornamento giuridico dei diversi moduli, mantenendo costante l’attenzione in particolar modo agli interventi di normazione secondaria del Garante per la Protezione dei Dati Personali.

 

Vantaggi del modulo di mappatura dei trattamenti

Senza perdere il focus sugli obiettivi di compliance, attraverso il modulo di mappatura dei trattamenti di GoPrivacy è possibile mantenere sotto controllo, per il singolo trattamento:

  • Le informazioni espressamente richieste dalla normativa europea (campi obbligatori ex art. 30 GDPR);
  • Le informazioni aggiuntive ricavate da interventi dell’Autorità;
  • I criteri di rilevazione di rischio elevato (di cui alle linee guida del Gruppo di Lavoro Articolo 29 – WP 248 rev.01) per valutare la necessità di svolgimento di DPIA;
  • I flussi di dati verso fornitori (Responsabili ex art. 28 del Regolamento);
  • Le unità aziendali coinvolte nel trattamento;
  • Le figure di riferimento (Persone Autorizzate e Designati);
  • Le istruzioni fornite alle Persone Autorizzate;
  • Il livello di Rischio Intrinseco, Attuale e Futuro collegato al piano di trattamento del rischio (Risk Treatment Plan);

Infine, sarà possibile creare in automatico differenti tipologie di documentazione, come Lettere di Autorizzazione al trattamento nominative, Mansionario per le Persone Autorizzate, Informative e molto altro.

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.