Registro dei trattamenti: automazioni e collegamenti

Registro dei trattamenti: automazioni e collegamenti

La tenuta del Registro dei trattamenti è ormai considerata un adempimento valevole per tutti. Ecco che la sua automazione diventa un’opportunità assoluta che solo un gestionale di eccellenza può soddisfare.

 Chiara Ponti
Ufficio Compliance

Il Registro delle Attività di Trattamento

 

Tra gli adempimenti principali del Titolare e del Responsabile del trattamento ricorre la tenuta di un Registro delle Attività di trattamento. Si tratta di un adempimento previsto dall’art. 30 paragrafo 1 conformemente al quale, ogni Titolare del trattamento è chiamato a tenere «…un registro delle attività di trattamento svolte sotto la propria responsabilità»; ed al paragrafo 2 si legge che, in pari modo, ogni Responsabile deve avere «…un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento». (In un articolo precedente abbiamo visto come poterlo migliorare. Qui approfondiremo il discorso dell’automatizzazione.)

Come adempimento

La tenuta del Registro dei trattamenti non costituisce soltanto un mero adempimento formale, è molto di più. Costituisce, infatti, parte integrante di un sistema che garantisca una corretta gestione dei dati personali.

Per tale motivo, da una lettura attenta delle “Raccomandazioni” ufficiali, l’Autorità Garante invita tutti —sia Titolari che Responsabili del trattamento a prescindere dalle dimensioni dell’Organizzazione— di dotarsi, dopo un’accurata analisi dei trattamenti effettuati, di tale Registro.

A livello interpretativo

Merita precisare che, dal punto di vista squisitamente interpretativo, l’art. 30 del GDPR conclude dicendo che gli “obblighi”, tra cui il Registro, «non si applicano alle imprese o organizzazioni con meno di 250 dipendenti».

In ordine alle (eventuali) deroghe, ricordiamo che il WP29 si è espresso con un position paper nel quale viene sostanzialmente chiarito che quella soglia non sia “assoluta” dal momento che il Legislatore europeo si è espresso con una congiunzione disgiuntiva (“o“) con il preciso intento di concepire, detto obbligo, in chiave alternativa. Ne consegue che al verificarsi di uno solo dei requisiti[1] sarà necessario avere un Registro delle attività di trattamento, esattamente come quando il contesto è oltre quella soglia.

 

Come misura di Accountability

In ogni caso come spesso si sente ancora dire da autorevoli esponenti dell’Autorità Garante, è bene intendere il Registro in questione, come un “…obbligo generalizzato” suggerendo a tutte le Realtà anche quelle di piccole/medie dimensioni di dotarsene. Per queste ultime, rammentiamo —per completezza— che il Garante ha messo a disposizione —come da FAQ— un Registro semplificato.

Poiché si tratta di un documento dinamico che deve contenere le principali informazioni relative alle operazioni di trattamento svolte dal Titolare e, se nominato, dal Responsabile del trattamento, esso rappresenta una delle principali misure di accountability a dimostrazione della corretta gestione del Sistema privacy di cui l’Organizzazione si è dotata.

Rappresenta infatti e come si legge tra le già citate “Raccomandazioni, uno degli strumenti fondamentali «non solo ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio

[1] Nella fattispecie:

  • Trattamento che potrebbe comportare un rischio per i diritti e le libertà degli interessati.
  • Elaborazione non occasionale.
  • Trattamento che include categorie speciali di dati o dati personali relativi a condanne penali e reati.

La gestione del Registro

 

La dinamicità del Registro impone una “gestione” altrettanto dinamica e corretta, specie per quelle Realtà medio/grandi o dai molteplici trattamenti di dati personali impattanti, perciò, sui diritti e le libertà delle persone fisiche.

Per tali motivi, è bene predisporre una Procedura di Gestione del Registro delle attività di trattamento che contempli “chi fa e che cosa”, come inserire/indicare/modificare i singoli trattamenti di dati personali affinchè l’Organizzazione possa dimostrare una mappatura congrua e coerente del proprio contesto.

Per la tenuta dei registri specie laddove non sia una tantum ma costante nel tempo, ecco che occorrono strumenti di supporto (tool o gestionali) efficaci ed efficienti che garantiscano un’adeguata “manutenzione”, proprio come GoPrivacy.

GoPrivacy con i suoi molteplici punti di forza

 

Molteplici sono i punti di forza di un Gestionale come GoPrivacy.

É anzitutto uno strumento integrato in virtù del quale i dati del Registro vengono adoperati per effettuare, ad esempio, l’analisi dei rischi aggiornata ai parametri da un lato di Enisa con un processo guidato e tradotto in semplici domande&riposte per PMI, dall’altro secondo i parametri dello Standard ISO/IEC 31000:2018.

In secondo luogo, un Tool bene istruito, dunque, che sfrutta l’organigramma privacy a dimostrazione della perfetta aderenza al contesto alimentando contestualmente i contenuti del Registro.

Un software poi che consente all’operatore di effettuare un import-export dei dati agevolmente, con un controllo completo e dotato di reportistiche avanzate.

Ancora, un gestionale popolato da ricche tabelle che suggeriscono opzioni precostituite (come la funzione “Library” raffigurata nell’immagine sottostante) ma non imposte all’Utente, sempre libero di inserire la descrizione che ritiene più opportuna.  

GoPrivacy registro trattamenti dati personali

In poche battute non è certo dato possibile esprimerne tutto il potenziale, ma forse è bastato per ritenerlo già la scelta vincente per qualunque Organizzazione.

Vuoi rimanere aggiornato su tutte le ultime novità in materia Privacy?

Iscriviti a Privacy Revolution.

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su linkedin
Condividi su twitter
Condividi su email

Articoli recenti

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.