Privacy e registro dei trattamenti dei dati: un utile strumento

Il regolamento UE 2016/679 (GDPR) che disciplina il trattamento dei dati personali e la protezione delle persone fisiche, ha introdotto una piccola rivoluzione nel trattamento dei dati personali, ponendo numerosi adempimenti e relative restrizioni al trattamento illecito di questi. L’esigenza di stampo Europeo è stata quella di dotarsi di un nuovo sistema che potesse porre regole stabili per la circolazione dei dati e delle informazioni personali che riguardano gli Interessati, ossia le persone fisiche a cui si riferiscono i dati personali. La normativa Italiana, dal canto suo, si è adeguata alla normativa Europea novellando il “vecchio” codice privacy d.lgs. 196/2003 con il d.lgs. 101/2018.  Il sistema di tutele per il trattamento dei dati personali introdotto dalla normativa del GDPR è concepito come un sistema dinamico, che si modifica in base ai trattamenti effettuati dalla stessa azienda insieme alla condivisione di questi con soggetti terzi, nonché, per gli scopi per cui vengono trattati.

L’individuazione tempestiva dei trattamenti dei dati personali effettuati all’interno di una azienda, in relazione alle attività svolte dalla propria organizzazione, rappresenta il primo passo per comprendere gli obblighi a cui è necessario rispondere, insieme a individuare le responsabilità ed i compiti di tutela all’interno dell’organizzazione aziendale da parte del Titolare del Trattamento (cioè l’azienda o il suo legale rappresentante). Ed è proprio in questo che la normativa del GDPR ha introdotto una novità fondamentale, quella per cui la norma spesso si limita solo a fissare alcuni parametri e sarà poi il Titolare del Trattamento, con le proprie scelte, a determinare gli strumenti da utilizzare.

In quest’ottica l’art. 30 del GDPR ha introdotto lo strumento del “Registro delle attività del trattamento”. Tale contiene le principali informazioni relative alle relazioni di trattamento svolte da una impresa, una associazione, un esercizio commerciale o un libero professionista. L’art. 30 è puntuale anche nello specificare quali siano le Aziende tenute alla redazione di tale registro, ma in questo senso, non deve trarre in inganno la prescrizione del GDPR che parla di obbligo di redazione solo per aziende con più di 250 dipendenti, poiché, come ribadito dal Garante per la protezione dei dati personali nelle FAQ sul registro, è tenuto alla sua redazione qualunque Titolare o Responsabile, anche aziende con meno di 250 dipendenti, “che effettui trattamenti che possano presentare un rischio, anche non elevato, per diritti e libertà dell’Interessato”. L’elemento fondamentale per comprenderne l’efficacia e l’eventuale obbligatorietà è proprio il “rischio, anche non elevato”, ossia qualunque trattamento che in qualche modo possa comportare un rischio per i diritti degli Interessati. Il rischio andrà valutato con molta attenzione da parte del Titolare del trattamento.

Il registro va inteso però non come un mero adempimento formale, cartaceo o digitale, da compilare e abbandonare da una parte, ma come vero strumento operativo utile per avere sotto controllo tutte le informazioni necessarie ai fini della valutazione e individuazione degli obblighi previsti dal GDPR per ciascun trattamento effettuato dall’Azienda. Il registro non dovrà contenere solo le categorie di Informazioni previste dall’art. 30, ma tutte quelle informazioni che risultino utili e necessarie per individuare e valutare tutti gli obblighi previsti dal quadro normativo del GDPR sul trattamento dei dati personali.

In conclusione, un Registro dei Trattamenti aziendali in cui racchiudere tutte le informazioni necessarie a creare una mappatura aziendale di tutti i processi e i relativi trattamenti adottati, può essere un utile strumento di controllo aziendale per verificare adempimenti e funzioni aziendali. Il registro infatti deve essere considerato solo uno dei tanti strumenti messi a disposizione dal GDPR per raggiungere la tanto agognata “Accountability” di difficile traduzione italiana, fulcro dell’intera normativa sul trattamento dei dati personali, da intendersi come “Responsabilizzazione” dell’operato del Titolare del Trattamento, nel rispetto dei principi legali imposti dalla normativa ma, soprattutto, per assicurare un livello di protezione dei dati adeguato alla natura del trattamento.

Sfera Ingegneria assiste le Aziende nell’adeguamento o implementazione di un sistema aziendale per gli adempimenti relativi alla protezione per il trattamento dei dati personali, così come stabilito dal GDPR e dal d.lgs. 101/2018.

CONTATTACI per informazioni specifiche: info@sferaingegneria.com– tel.  055 895 2563.

Raffaello Carlucci, Divisione Tecnica.