Perchè conviene sempre fare il registro dei trattamenti per la privacy

Perchè conviene sempre fare il registro dei trattamenti per la privacy

30th luglio 2018 0 Di omniasoft

Il Registro dei trattamenti, anche dove non previsto l’obbligo, è uno strumento indispensabile per tenere traccia delle operazioni effettuate dall’organizzazione sui dati personali degli interessati. Ecco quali informazioni dovrebbe contenere anche in funzione degli strumenti usati per il trattamento

Cosa deve contenere il Registro dei trattamenti

La norma non definisce un modello di Registro puntuale, ma indica le informazioni essenziali che devono essere in esso contenute, come: il nome e i dati di contatto del titolare del trattamento, e (ove applicabile) del contitolare del trattamento e del responsabile della protezione dei dati; le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; (ove possibile) i termini ultimi previsti per la cancellazione delle diverse categorie di dati; (ove possibile) una descrizione generale delle misure di sicurezza tecniche e organizzative.

Come qualsiasi atto interpretativo, questo ha fatto sì che modelli diversi di Registro dei trattamenti siano stati sviluppati, anche da software house, ed adottati da organizzazioni pubbliche e private, differenziandosi sia per le tipologie di informazioni censite che per le categorie di informazioni previste in aggiunta a quelle indicate dall’articolo 30 del Regolamento.

Utilità del Registro per chi non è soggetto all’obbligo

Pertanto, risulta importante individuare le categorie di informazioni che devono essere raccolte all’interno del Registro dei trattamenti, ricomprendendo sia quelle previste dall’articolo 30 del Regolamento, che quelle necessarie ai fini del processo di valutazione ed individuazione degli obblighi previsti dal Regolamento per ciascun trattamentoA ragione di ciò, l’utilità del Registro dei trattamenti riguarda anche quelle imprese o organizzazioni con meno di 250 dipendenti per cui non ricorre l’obbligo di redigerlo, in quanto, solo la conoscenza puntuale delle operazioni e dei termini dei trattamenti effettuati possono consentire di sviluppare un processo di adeguamento coerente e corretto.

In particolare, prevedere nel modello di Registro la necessità di fornire una descrizione del trattamento di dati personali risulta utile al fine di comprenderne in maniera più estesa le finalità perseguite e le modalità con cui viene effettuato il trattamento, nonché altri aspetti importanti (ad esempio, strumenti utilizzati, possibili destinatari a cui possono essere comunicati i dati, ecc.) che possono concorrere alla successiva valutazione degli obblighi applicabili. Un esempio per comprendere la modalità con cui descrivere il trattamento è rappresentato dalla quantità e tipologia di informazioni fornite, le quali dovrebbero essere in grado di consentire la stesura di un’eventuale un’Informativa del trattamento, soprattutto, per quanto riguarda l’indicazione specifica ed esplicita delle finalità e della sua base giuridica (ai sensi articolo 13 e 14, comma 1, lettera c)). Al riguardo, partire dall’individuazione e descrizione dei servizi e processi di business per cui vengono raccolti ed elaborati i dati personali può risultare fondamentale per identificare e comprendere i trattamenti di dati personali derivanti e le finalità da questi perseguite.