Guida digitale al registro dei trattamenti e fac simili

Dal 25 maggio 2018,  il Regolamento Ue 2016/679, meglio noto come GDPR (General Data Protection Regulation) – costituirà la nuova normativa in tema di protezione dei dati personali.

Il GDPR nasce da precise esigenze di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trattamento dei dati personali sia all’interno che all’esterno dell’Unione europea. La disciplina sinora vigente in tema di Privacy viene modificata profondamente dal GDPR che introduce numerose novità, tra le quali l’adozione dei registri delle attività di trattamento (art. 30 GDPR).

I registri vanno a comporre l’apparato documentale da tenere a disposizione per dimostrare la propria conformità e dare sostanza al principio di responsabilizzazione (c.d. “accountability”), sancito dalla nuova normativa europea.

Nonostante la redazione dei registri delle attività di trattamento sia obbligatoria solo in determinati casi elencati dall’art. 30 comma 5 GDPR, si ritiene che l’adozione di tale documentazione sia utile ai fini probatori, per dimostrare la conformità dell’impresa alla disciplina europea.

Al fine di fornire una corretta interpretazione del GDPR, il Legislatore europeo ha chiarito che “per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti” (Considerando 82 GDPR).

Il presente toolkit costituisce una linea guida generale per la redazione di tali registri, supportando l’utente attraverso un percorso di compilazione semplificato.

Lo scopo del toolkit è, dunque, quello di aiutare l’utente nella mappatura dei processi aziendali dell’impresa, fornendo le basi per l’adozione di un sistema adeguato e integrato alla normativa sulla protezione dei dati personali.

In merito alle misure di sicurezza di tipo tecnico e organizzativo riportate nei registri, si raccomanda di compiere una corretta valutazione dei rischi (ed eventualmente una valutazione d’impatto), al fine di assicurarsi di aver adottato tutte le misure necessarie per la prevenzione dei rischi aziendali (artt. 32 e 35 GDPR).

La valutazione dei rischi e la valutazione d’impatto sono attività tecniche che necessitano del supporto specifico di un consulente IT, capace di identificare i pericoli per la violazione dei dati personali.