Come migliorare il Registro dei trattamenti

Il Regolamento Generale per la Protezione dei Dati Personali (RGPD o GDPR) impone a Titolari e Responsabili del trattamento numerosi adempimenti, alcuni dei quali sono ricondotti ad una loro specifica valutazione, in linea con il principio di responsabilizzazione (Accountability).

Tra questi adempimenti, il più rilevante è sicuramente il Registro dei trattamenti, le cui caratteristiche sono elencate all’interno dell’articolo 30 del Regolamento.

È importante notare come il registro sia essenziale per effettuare il censimento dei trattamenti (peraltro già previsto dalla regola 19 del DPS – Documento Programmatico sulla Sicurezza, previsto dalla norma previgente), inteso come punto di partenza per adempiere agli altri obblighi previsti dalla norma come la Valutazione dei Rischi e la DPIA.

Diventa essenziale per le aziende titolari e responsabili del trattamento costruire un registro in linea con la normativa integrato con altri elementi di compliance e di accountability.

Il Registro dei trattamenti privacy con Excel

Gli strumenti a disposizione per la tenuta dei registri sono diversi: primo fra tutti, il foglio di calcolo (es. formato Excel).

Tale formato è stato utilizzato dalle Autorità di controllo (Garante italiano, CNIL e Autorità di controllo Belga) per offrire degli esempi pratici di tenuta del registro.

Il foglio elettronico ha di certo il vantaggio di essere flessibile, economico e di largo utilizzo. Pertanto, di immediata applicazione all’interno dell’organizzazione. Tuttavia, a questi vantaggi, si affiancano numerosi ed incisivi punti negativi:

  • Difficoltà di redazione in modalità condivisa e di integrazione in organizzazioni estese;
  • Assenza di meccanismi di monitoraggio;
  • Impossibilità di dimostrare con efficacia gli aggiornamenti eseguiti;
  • Interrogativi in merito alla sicurezza relativa al rischio di cancellazione e duplicazione;
  • Inadeguatezza per la gestione di registri in Gruppi Imprenditoriali;
  • Mancanza di integrazione dinamica con altre funzioni (es. valutazione dei rischi o DPIA);

Tutti questi svantaggi sono relativi alla difficoltà di implementare un processo di mappatura e aggiornamento governabile in modo agile e flessibile.

Le stesse problematiche sono riscontrabili per le modalità di gestione di fogli di calcolo ospitati in cloud (es. Google Sheets o Airtable).

 

Programmi sviluppati internamente con Access o altri linguaggi di programmazione

In alternativa ad Excel, una soluzione percorribile è quella di sviluppare internamente un programma che possa consentire la tenuta del registro dei trattamenti eliminando alcuni degli svantaggi tipici del foglio di calcolo.

Questa soluzione dipende in primis dalle competenze informatiche interne all’azienda, dal budget messo a disposizione e dagli sforzi necessari alla manutenzione del sistema.

Rimane però evidente la problematica legata alle competenze necessarie all’aggiornamento normativo adeguato al mantenimento di un sistema di gestione della compliance aziendale.

Il Registro dei trattamenti con GoPrivacy: il software per la Data Protection Compliance e la Cyber Security

L’analisi degli esempi di registro dei trattamenti forniti dalle diverse Autorità di Controllo europee, hanno evidenziato il fatto che le richieste di informazioni vanno ben oltre quelle previste espressamente dall’art. 30 del Regolamento (così come confermato dalle recenti FAQ sul registro delle attività di trattamento del Garante italiano).

Il registro quindi è incluso in un sistema di censimento e mappatura dei trattamenti, che favorisce non solo il raggiungimento della compliance ad un singolo articolo nella normativa europea, ma costituisce la base di partenza per lo svolgimento delle altre attività espressamente richieste (prima fra tutte la valutazione dei rischi) e per quelle strettamente legate al principio di responsabilizzazione.
Tenere il registro dei trattamenti con GoPrivacy significa proprio questo.

Il Registro dei trattamenti con il Modulo di mappatura di GoPrivacy

Il modulo di mappatura delle attività di trattamento di GoPrivacy permette la creazione di un sistema agile di censimento dei trattamenti, che permette il raggiungimento di diversi obiettivi contemporaneamente:

  • Creare il Registro dei trattamenti, uno per le attività svolte in qualità di Titolare e uno per quelle svolte in qualità di Responsabile;
  • Collegare dinamicamente le informazioni presenti nei registri con gli altri moduli di GoPrivacy, come l’Analisi dei Rischi e la Valutazione di impatto (DPIA);
  • Creare automaticamente documentazione per rafforzare la compliance, come il Mansionario per le Persone Autorizzate;
  • Sorvegliare il flusso esterno dei dati verso Responsabili/Sub-responsabili del trattamento;
  • Conservare le Fotografie Temporali relative a diversi periodi dell’anno;
  • Permettere la compilazione condivisa fra le varie unità aziendali, filtrando i coni di visibilità e i privilegi di accesso ai diversi utenti;
  • Monitorare lo stato di avanzamento del mantenimento del registro attraverso l’assegnazione di task ai diversi utenti;
  • Conservare l’intero sistema tramite piattaforma Cloud certificata;
  • Gestire con una sola utenza i registri di diverse società appartenenti ad un Gruppo Imprenditoriale;

Concentrare l’effort su un unico strumento di mappatura delle attività di trattamento permetterà quindi di ottenere diversi risultati, che andranno ad incidere sullo stato di compliance, di awareness e di accountability.

Inoltre, lo staff di consulenti privacy certificati di Unolegal mantiene costante l’aggiornamento giuridico dei diversi moduli, mantenendo costante l’attenzione in particolar modo agli interventi di normazione secondaria del Garante per la Protezione dei Dati Personali.

Vantaggi del modulo di mappatura dei trattamenti

Senza perdere il focus sugli obiettivi di compliance, attraverso il modulo di mappatura dei trattamenti di GoPrivacy è possibile mantenere sotto controllo, per il singolo trattamento:

  • Le informazioni espressamente richieste dalla normativa europea (campi obbligatori ex art. 30 GDPR);
  • Le informazioni aggiuntive ricavate da interventi dell’Autorità;
  • I criteri di rilevazione di rischio elevato (di cui alle linee guida del Gruppo di Lavoro Articolo 29 – WP 248 rev.01) per valutare la necessità di svolgimento di DPIA;
  • I flussi di dati verso fornitori (Responsabili ex art. 28 del Regolamento);
  • Le unità aziendali coinvolte nel trattamento;
  • Le figure di riferimento (Persone Autorizzate e Designati);
  • Le istruzioni fornite alle Persone Autorizzate;
  • Il livello di Rischio Intrinseco, Attuale e Futuro collegato al piano di trattamento del rischio (Risk Treatment Plan);

Infine, sarà possibile creare in automatico differenti tipologie di documentazione, come Lettere di Autorizzazione al trattamento nominative, Mansionario per le Persone Autorizzate, Informative e molto altro.

Torna in alto