Un Modello Privacy senza Registro dei trattamenti è come una pizza senza lievito.
Sai come farlo correttamente?
Il GDPR non abbonda certo in dettagli circa documenti o procedure da redigere lasciando, di conseguenza, spazio alla libera scelta di Titolari e Responsabili del trattamento circa le misure adeguate da adottare. Diversamente è per il registro dei trattamenti i cui contenuti, come per l’informativa agli Interessati, sono minuziosamente indicati nell’art. 30 del GDPR.
Di cosa parliamo quando parliamo di “Registro dei trattamenti”?
È, per l’appunto, un registro in cui vanno descritte tutte le attività di trattamento svolte dal Titolare o dal Responsabile sotto la propria responsabilità. Una fotografia ad elevato grado di risoluzione circa i trattamenti di dati personali con tanto di:
- descrizione del perché stiamo trattando i dati (finalità del trattamento);
- descrizione delle categorie di interessati e delle categorie di dati personali;
- elenco delle categorie di destinatari a cui i dati personali sono stati o saranno comunicati (compresi i destinatari di paesi terzi rispetto all’Unione Europea od organizzazioni internazionali);
- ove applicabile, i trasferimenti di dati personali verso un paese terzo rispetto all’Unione Europea o un’Organizzazione Internazionale, compresa l’identificazione del paese terzo o dell’Organizzazione Internazionale e la documentazione delle garanzie adeguate;
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.
Come farlo?
Prima di scattare la fotografia dobbiamo preparare il set e, questo step si chiama “data mapping”. Durante questo passaggio vengono individuati i processi aziendali (“Aree del trattamento”) che coinvolgono trattamenti di dati personali.
Successivamente specificheremo, per ognuna di queste Aree, i trattamenti in cui si suddividono.
Esempio:
- Area del trattamento: Gestione risorse umane
- Trattamenti: Recruiting, gestione del Personale, Formazione.
Concluso il data mapping, supportati da interviste ai referenti di funzione, analisi organigramma, etc., cominciamo a comporre il nostro Registro del trattamento.
Esistono modelli di Registro dei trattamenti?
Certamente! Il nostro Garante Privacy ne propone uno estremamente semplice ed intuitivo, reperibile a questo link.
Quanti Registri dobbiamo redigere?
Quando vengono effettuati dei trattamenti dati ricoprendo esclusivamente il ruolo di Titolare del trattamento, è sufficiente un unico Registro (“Registro del Titolare”).
Nel momento in cui determinati trattamenti dovessero essere effettuati ricoprendo il ruolo di Responsabili del trattamento, ad esempio, se nella prestazione dei nostri servizi trattiamo anche dati per conto dei Clienti), oltre al classico Registro del Titolare, dobbiamo redigere anche il Registro dei trattamenti del Responsabile il cui Modello è reperibile qui.
Bene, e dopo?
Terminata la redazione, i Registri vanno correttamente firmati, datati e messi a disposizione in caso di accertamenti da parte della Guardia di Finanza o dell’Autorità Garante.
I Registri dovranno sempre essere aggiornati in caso di modifiche intervenute ai trattamenti descritti nel caso in cui ne vengano effettuati di nuovi. In ogni caso, buona cosa è riprendere in mano i Registri almeno una volta all’anno per verificarne ed eventualmente aggiornare i contenuti.
In conclusione: facendo i debiti scongiuri, i primi documenti richiesti in caso di ispezione sono i Registri delle attività del trattamento e la procedura di gestione dei data breach, di cui parleremo prossimamente. I primi perché indicano il grado di consapevolezza e il livello di conoscenza dei trattamenti dei dati personali effettuati dal Titolare o dal Responsabile. La seconda perché rappresenta il sistema immunitario costruito per proteggere i dati personali trattati e per evitare (nei casi peggiori, tamponare) eventuali violazioni di sicurezza.
