Registro trattamenti

Pubblicato da Gio Lan il

-La videosintesi-

-Il commento testuale-

 Il registro dei trattamenti

 

Tra i nuovi obblighi previsti dal Regolamento, una menzione particolare merita l’istituzione del registro dei trattamenti. Si tratta, infatti, di uno strumento fondamentale, per una corretta osservanza del principio di “accountability”, non solo ai fini della mappatura dei trattamenti in essere presso qualsiasi organizzazione, ma anche al fine di individuare ed analizzare i profili di rischio e procedere, quindi, alla adozione delle misure necessarie al fine di garantire il rispetto dei requisiti prescritti dal Regolamento.

 

Ove il titolare o il responsabile non abbiano un quadro preciso ed aggiornato dei trattamenti in essere presso la propria struttura, appare, infatti, alquanto improbabile che essi riescano a dimostrare di avere osservato un comportamento responsabile a tutela dei dati personali trattati.

 

Anche per tale ragione, il Garante per la Privacy ha avuto modo di precisare che la tenuta del registro dei trattamenti (che, per alcuni versi, sembra richiamare il vecchio DPS) non costituisce un mero adempimento di natura formale, ma, al contrario, è parte integrante di un sistema di corretta gestione dei dati personali, raccomandando, per tale motivo, a tutti i titolari del trattamento ed ai responsabili – a prescindere dalle dimensioni dell’organizzazione ed indipendentemente dall’esistenza di un obbligo di legge – l’adozione di tale registro e, in ogni caso, l’effettuazione di un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche.

 

Ciò detto, l’adozione di tale registro non sarà, comunque, obbligatorio per tutti. Un obbligo in tal senso non sussiste, infatti, per le organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa comportare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o riguardi categorie particolari di dati (i cosiddetti dati “sensibili”) o dati personali relativi a condanne penali e a reati.

 

Il registro deve avere forma scritta, anche elettronica, e dovrà essere esibito al Garante nel caso di richiesta da parte dell’Autorità. Il contenuto minimo del registro è previsto dal Regolamento ed è differenziato per il titolare ed il responsabile del trattamento. Nello specifico, si richiama l’attenzione sulla sostanziale coincidenza fra i contenuti della notifica dei trattamenti di cui all’art. 38 del Codice Privacy e quelli prescritti dal Regolamento per il registro dei trattamenti.

 

Nulla vieta, peraltro, a titolare e responsabile di inserire ulteriori informazioni ove lo ritengano opportuno, proprio nell’ottica di una massima trasparenza in relazione ai trattamenti svolti.

 

Al fine di agevolare il lavoro di quanti dovranno dotarsi di tale strumento entro il 25 maggio 2018, il Garante sta valutando di mettere a disposizione sul proprio sito un modello di registro dei trattamenti, che i singoli titolari potranno integrare nei modi ritenuti più opportuni.

Categorie: GDPR

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *