GDPR E REGISTRO DEL TRATTAMENTO DEI DATI

by Vittoria Investigazioni
0 comment

Il GDPR, normativa europea a tutela della Privacy dei cittadini, prevede un Registro del Trattamento Dati. Andiamo a vedere di cosa si tratta. Il Regolamento Generale sulla Protezione dei Dati (GDPR) è una legge europea che entrata in vigore nel maggio 2018. Si tratta di una legge che stabilisce regole per la protezione dei dati personali e la privacy degli individui all’interno dell’Unione Europea.

Il GDPR integrale QUI

Questi sono i principi fondamentali del Regolamento:

Legalità, correttezza e trasparenza – I dati personali devono essere obbligatoriamente raccolti e trattati con la massima correttezza e trasparenza.

Integrità e riservatezza – è indispensabile attestare di prendere tutte le misure di sicurezza tecnico-organizzative necessarie a tutelare la riservatezza e l’integrità dei dati raccolti.

Accuratezza – i dati devono essere raccolti, aggiornati e cancellati con una amministrazione meticolosa e tempestiva.

Minimizzazione dei dati – i dati devono essere raccolti in relazione alle finalità per le quali gli stessi saranno trattati e non devono essere eccedenti tale finalità.

Limitazione della conservazione – la conservazione dei dati deve essere limitata nel tempo, per cui è necessario cancellare quelli di cui non si ha più bisogno.

Limitazione dello scopo – nell’Informativa è necessario indicare i motivi specifichi per cui si raccolgono i dati oltre i quali non è corretto trattenere i dati.

Responsabilità – è necessario potere dimostrare di rispettare le norme dettate dal GDPR

Per assicurare questi sette principi è necessario:

  • Dotarsi di una Privacy policy
  • adeguare la Cookie Policy
  • regolamentare l’invio della newsletter
  • svolgere corrette azioni di marketing.

Un Tutorial del Garante della Privacy, QUI

Per la conformità di un sito internet al GDPR serve conoscere:

– la tipologia di dati personali trattati. Non vengono registrati nome e cognome? Anche l’indirizzo IP statico e dinamico è considerato dato sensibile se attraverso questo si riesce a identificare l’utente.

– i cookies utilizzati. E’ necessario sapere che tipo di cookies vengono utilizzati: cookies di prima parte o di terze parti?

– la localizzazione dei server su cui vengono trasferiti i dati. I server sono in Italia e Europa o in territori extra UE?

Il titolare del trattamento deve trascrivere sull’Informativa della Privacy e sulla Cookie Policy tutte le informazioni degli interessati.

Per assicurare la conformità ai principi del GDPR è necessario:
Dotarsi di una Privacy policy
adeguare la Cookie Policy
regolamentare l’invio della newsletter
svolgere corrette azioni di marketing.

Il Registro dei Trattamenti QUI

E QUI

L’azienda deve aggiornare il Registro del Trattamento: è il documento che riassume tutti i trattamenti dei dati che vengono effettuati dal titolare o dal responsabile del trattamento dati.

Il Registro delle Attività di Trattamento è un argomento ancora dibattuto, in quanto alcuni professionisti ritengono non sia sempre obbligatorio.

Il Registro è previsto dall’art. 5 ed è descritto dall’Articolo 30 del GDPR.

Registro dei Trattamenti secondo il Garante della Privacy italiano, QUI

L’ art.30 del GDPR stabilisce che tutti i titolari e i responsabili del trattamento sono tenuti a compilare il Registro delle Attività di Trattamento.

La sua tenuta è obbligatoria per le Amministrazioni Pubbliche, perché tutte devono nominare un Responsabile Protezione Dati; le aziende e le organizzazioni sono invece obbligate solo in questi casi:

  • imprese o organizzazioni (associazioni, fondazioni, comitati) con più di 250 dipendenti;
  • imprese con meno di 250 dipendenti provviste di un titolare (o di un responsabile) che effettui trattamenti suscettibili ad un minimo rischio per i diritti dell’interessato;
  • imprese con meno di 250 dipendenti quando il titolare (o il responsabile) effettua trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse imprese ed organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’art. 9 comma 1, o di dati personali relativi a condanne penali e a reati di cui all’art. 10;

La tenuta di un Registro dei dati personali non è sempre obbligatoria. L’obbligo non è previsto per imprese e organizzazioni con meno di 250 dipendenti (art. 30), salvo che il trattamento non sia occasionale, non sia rischioso per i diritti dell’interessato, non comprenda dati sensibili, genetici, biometrici, giudiziari.

Il Registro dei Dati Personali deve essere aggiornato regolarmente con:

  •  registrazione di qualsiasi cambiamento dei dati
  • annotazione delle persone che hanno accesso ai dati (o con cui vengono condivisi)

Il GDPR obbliga le organizzazioni a comunicare in modo chiaro e trasparente quali sono i dati che raccolgono e come li utilizzano.

Gli interessati hanno il diritto di richiedere l’accesso ai propri dati e di richiedere che vengano corretti o cancellati.

Il Registro dei Dati Personali è uno strumento importante per aiutare le organizzazioni a rispettare le regole del GDPR.

In conclusione, il Registro dei Dati Personali è uno strumento fondamentale per le aziende che vogliono aderire al GDPR. Si tratta di un documento in cui vengono elencate tutte le informazioni che un’organizzazione raccoglie sugli utenti che si trovano nell’Unione Europea.

Il GDPR stabilisce che le aziende devono essere trasparenti e chiare su quali sono i dati che raccolgono e come li utilizzano, e il Registro dei Dati Personali è uno strumento fondamentale per raggiungere questo obiettivo.

Esiste anche un Registro dei Trattamenti Semplificato: le PMI lo utilizzano per consentire a titolari e responsabili di rendere più facile il trattamento dei dati.

Anche il Registro Semplificato deve regolarmente essere aggiornato.

Il Registro dei Trattamenti Semplificato consente a titolari e responsabili del trattamento dati di piccole e medie imprese di rendere meno oneroso l’adeguamento al GDPR.

Le Linee Guida del Garante ritengono che il Registro sia un documento essenziale: serve a dimostrare l’affidabilità e la responsabilità dell’azienda.

In effetti, premesso che i “Considerando” del GDPR sono spiegazioni delle norme, il “Considerando” 82 del dichiara:

“(82) Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità.

Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti.”

Dunque, è vero che l’obbligo non è estensibile a tutte le tipologie di aziende, ma è anche vero che è suggerito, perché non esistono altri metodi più efficaci per documentare il trattamento dati.

Il Garante della Privacy italiano si è espresso in modo simile alla FAQ n°2:

“Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.”

Nella stessa pagina Web delle FAQ, il garante introduce un modello di Registro Semplificato per le PMI.

Registro per il titolare

QUI

Registro per il Responsabile

QUI

You may also like