GDPR cosa cambia per le aziende

Registro dei Trattamenti GDPR

Condividi:

Tra le più importanti novità contenute nel GDPR 2018 troviamo ovviamente il Registro dei Trattamenti. Un elemento innovativo che consentirà di controllare in maniera decisamente più efficace la data protection a livello aziendale. L’adempimento con questo previsto dal GDPR permette a ciascuna organizzazione di rispondere a svariate esigenze.

Chi deve tenere obbligatoriamente il Registro dei Trattamenti?

La risposta si ha dall’articolo 30 del GDPR. Tra l’altro, tale strumento può tornare utile anche a tutte quelle organizzazioni per cui non è vigente l’obbligo. Quando il trattamento dei dati di imprese che hanno meno di 250 dipendenti può mettere in pericolo libertà e diritti dell’interessato. Anche le raccomandazioni previste dalle Linee Guida che accompagnano il Regolamento consigliano alle aziende di dotarsi di tale strumento. I soggetti che detengono l’obbligo, invece, sono i titolari dei trattamenti o i loro trattamenti, oppure i responsabili di ciascun trattamento o i loro rappresentati.

Le differenze tra i due tipi di registri

Il primo comma dell’articolo 30 disciplina il Registro dei Trattamenti del titolare, mentre il secondo comma parla del Registro dei Trattamenti del Responsabile. Le principali differenze sono esclusivamente sotto il profilo del contenuto. Il primo presenta una portata decisamente maggiore, visto che arriva perfino ad individuare gli scopi del trattamento, le categorie di dati personali, di responsabili e di destinatari del trattamento, così come delle scadenze da rispettare in merito alla cancellazione, nel caso in cui venga richiesta.

Come si crea un Registro

Manca, però, una specifica disciplina generale per quanto concerne le modalità con cui realizzare questo registro. Dall’articolo 30 le indicazioni sono poche, visto che vengono individuati gli elementi fondamentali da inserire nel registro e poco altro. Il modello che viene suggerito è quello che comprende sia quanto previste dal GDPR che dettagli aggiuntivi che lo fanno diventare una sorta di vero e proprio asset aziendale. Ecco gli elementi che non devono assolutamente mancare. Si parte dai processi/macro-attività, relativi all’inquadramento dei trattamenti di dati personali a ciascun livello aziendale. Poi deve esserci la base giuridica e il modo in cui è stato ottenuto il consenso: sono elementi che tornano decisamente utili per semplificare la formazione dell’informativa che deve essere poi consegnata all’interessato. Bisogna individuare i responsabili esterni del trattamento, ma anche il referente interno all’aziende e tutte quelle categorie di persone che hanno l’autorizzazione al trattamento. Ovviamente, ciascuna categoria di persone dovrà essere suddivisa in base ai compiti esecutivi detenuti. Infine, devono essere presenti le modalità con cui vengono trattati i dati personali. L’obiettivo è quello di localizzare con estrema precisioni tutte quelle misure di sicurezza che sono state organizzate o che devono essere implementata. Al tempo stesso, servono per realizzare un’efficace e attenta valutazione dei rischi.

LEGGI ANCHE  GDPR: Guida completa per essere in regola

Perché è così importante

Implementare in modo corretto il Registro dei Trattamenti farebbe in modo di poter contare su un supporto decisivo per tenere sotto controllo la data protection, con l’obiettivo ovviamente di garantire la massima accountability. Proprio perché le previsioni normative del GDPR non dipendono dalle dimensioni dell’organizzazione, ecco che c’è l’esigenza di poter sfruttare misure tecniche e organizzate diverse, ma efficaci a loro modo.

Condividi:

Leave a Reply