È oramai noto a molti che il 25 maggio 2018 entrerà in vigore il nuovo Regolamento Europeo sulla protezione dei dati personali (Reg. UE n. 679/2016) o GDPR.

Tante sono le novità, la più consistente, senza dubbio è la tenuta di un registro delle attività di trattamento, il cd. registro dei trattamenti.

Il registro dei trattamenti è uno strumento fondamentale, non soltanto per disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda, ma è anche indispensabile per ogni valutazione e analisi del rischio.

Com’è possibile pensare di poter dimostrare di aver adottato tutte le misure necessarie a garantire il rispetto della normativa privacy se non siamo nemmeno in grado di sapere con esattezza quali trattamenti sono svolti nella nostra azienda, con quali modalità e misure di sicurezza?

Il Garante per la protezione dei dati personali, ritiene che: “il registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”, invitando tutti i titolari del trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro.

Sì, perché l’art. 30 del GDPR esclude da tale obbligo tutti gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti che possano presentare “un rischio per i diritti e le libertà dell’interessato, o il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati …”.

L’art. 30 del GDPR, oltre a prevedere che il registro debba essere tenuto in forma scritta, o in formato elettronico e che debba essere esibito su richiesta al Garante, fornisce anche una lista di contenuti obbligatori, dal momento, però, che questo documento non deve essere visto come un mero adempimento formale, anzi, deve essere inteso come uno strumento operativo, nulla vieta di integrare tali contenuti con qualunque informazione utile al titolare per poter correttamente governare gli aspetti privacy dei trattamenti.

Di sicuro una corretta gestione del registro dei trattamenti richiede un grande impegno ed è probabile che molti titolari o lo affronteranno solo per paura di incorrere nelle sanzioni amministrative pecuniarie previste dal Regolamento (fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente), o non lo affronteranno affatto assumendosi il rischio.

Ma coloro i quali decideranno di impegnare risorse ed energie in un tale progetto si troveranno ad avere una mappatura ordinata e organizzata che, da un lato, in caso di visita ispettiva da parte del Garante dimostrerà una profonda attenzione alle tematiche di protezione dei dati personali; dall’altro, consentirà all’azienda di tenere sotto controllo quali tipi di dati sono in fase di trattamento, da chi e per quali finalità. 

Una tale conoscenza consentirà ai titolari di ottimizzare le operazioni di trattamento limitando gli sprechi in termini di tempo, risorse e duplicazione delle informazioni, abbattendo anche i rischi di eventuali trattamenti illeciti o contestazioni.

I consulenti di Struqture che da anni supportano le aziende in materia di trattamento dei dati, sono disponibili per un audit preliminare volto a verificare la conformità del sistema privacy presso la Vs. azienda e per proporVi delle soluzioni mirate per l’assolvimento di tutti gli adempimenti previsti dal nuovo Regolamento Europeo sulla protezione dei dati personali.  Per ogni informazione rivolgetevi alla nostra consulente Dott.ssa Elena Bardelli, Tel: 0332/231735 – e-mail: e.bardelli@struqture.it

PDF all'articolo completo Data Protection e inserimento del Registro dei Trattamenti