sabato, 23 marzo 2019

W la Privacy

W la Privacy

Accountability tools: il registro dei trattamenti

22/02/2019

MILANO - Come noto, con il Regolamento UE 2016/679 è stato introdotto nel nostro ordinamento il principio dell’accountability o di responsabilizzazione, consistente nel dovere del titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate al fine di dimostrare che un determinato trattamento è effettuato conformemente al regolamento.

Tra le misure da adottare, un ruolo dominante lo riveste il Registro delle attività di trattamento ai sensi dell’articolo 30 del Regolamento UE 2016/679. Il Registro, che deve essere predisposto dal titolare e dal responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da un’impresa, un’associazione, un esercizio commerciale, un libero professionista.

Chi è tenuto a redigerlo

Nelle istruzioni fornite a Ottobre 2018, l’Autorità Garante ha precisato che sono tenuti a redigerlo: imprese o organizzazioni con almeno 250 dipendenti; qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato; qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali; qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD. Rientrano nella categoria delle “organizzazioni”, osserva l’Autorità, anche le associazioni, fondazioni e i comitati.

L’obbligo di redigere il Registro, che deve avere forma scritta anche elettronica, costituisce uno dei principali elementi di accountability del titolare (c.d. accountability tools), poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività. Ne segue che, al di là dei profili obbligatori o facoltativi sulla tenuta del registro, è innegabile che esso rappresenti la principale “evidenza” da esibire in sede di ispezione.

Un ulteriore approfondimento di questo tema può essere fatto con la lettura dell'articolo di Marco Soffientini e Silvia Mencaroni:

https://www.secsolution.com/articolo.asp?id=669

   



pagina precedente