Come si tiene un registro del trattamento dei dati conforme al RGPD?
Il Regolamento generale sulla protezione dei dati (o GDPR) entrerà in vigore il 25 maggio 2018 e si applicherà a tutti gli enti pubblici e alle aziende private che effettuano trattamenti di dati personali su larga scala.
Introduce il principio di accountability, ovvero ogni attore deve essere in grado di dimostrare, in qualsiasi momento, la conformità delle proprie attività di trattamento alla normativa applicabile, da cui la necessità di tenere un registro dei trattamenti. Questo è uno dei principali obblighi di conformità al RGPD.
SOMMARIO :
Chi è tenuto a tenere un registro dei trattamenti?
Tutte le aziende e gli enti pubblici con più di 250 dipendenti sono interessati dal RGPD e sono obbligati a tenere un registro dei trattamenti.
Tuttavia, anche le aziende con meno di 250 dipendenti sono interessate e devono redigere un registro dei trattamenti quando si verifica una delle seguenti situazioni:
- Il trattamento può comportare un rischio per i diritti e le libertà degli interessati (trattamenti che danno luogo a discriminazioni, che rivelano l'origine razziale, ecc;)
- Il trattamento è di routine (gestione del personale (HR), gestione dei fornitori o gestione dei clienti, che non vengono eseguiti occasionalmente);
- Il trattamento riguarda categorie particolari di dati, detti "dati sensibili" (dati relativi all'origine razziale o etnica, alla religione o alle convinzioni personali, alle opinioni politiche o di qualsiasi altra natura, alla salute, ecc;)
- Il trattamento effettuato riguarda dati giudiziari.
La normativa specifica che l'assenza di un responsabile della protezione dei dati (RPD) non esime l'organizzazione dal tenere un registro delle operazioni di trattamento.
Il nuovo regolamento prevede inoltre che i responsabili del trattamento dei dati personali tengano un registro dei trattamenti.
Cosa deve contenere il registro dei trattamenti?
Le informazioni contenute nel registro dei trattamenti devono rispondere alle seguenti domande: Chi?
- Chi: i dati personali del titolare del trattamento,
- Perché vengono trattati? Si tratta di una descrizione delle finalità del trattamento dei dati,
- Quali dati? Le varie categorie di interessati e di dati trattati,
- Dove: si tratta di localizzare i dati e di specificare i destinatari,
- Fino a quando? Devono essere definite le scadenze previste per la distruzione,
- Come? Si tratta di descrivere le misure di sicurezza tecniche e organizzative da mettere in atto per proteggere i dati.
Poiché non esiste un elenco degli elementi esatti che devono comparire in un registro del trattamento, è possibile aggiungere altri elementi complementari, come la necessità di un'analisi d'impatto, un registro delle violazioni dei dati, ecc.
Esempio di registro del trattamento dei dati con CaptainDPO
CaptainDPO pubblica una soluzione software SaaS per aiutare i DPO a gestire la conformità della loro organizzazione al RGPD.
- Viene presentato un elenco delle varie operazioni di trattamento,
- I responsabili del trattamento,
- l'azienda,
- lo stato di ogni trattamento (in corso - conforme - non conforme).
CapitanDPO vi permetterà di scoprire dove non siete conformi, in modo da poter prendere le misure necessarie creando attività e garantendo la conformità.
Sono disponibili anche i dettagli di ciascun trattamento:
- Una descrizione generale del trattamento,
- Il responsabile del trattamento,
- Lo scopo del trattamento,
- Le misure di sicurezza utilizzate per proteggere i dati,
- La categoria di dati trattati,
- L'ubicazione dei dati (in caso di trasferimento dei dati al di fuori dell'UE).
La gestione di più registri è ora integrata in CaptainDPO per i DPO esterni.
Sanzioni per il mancato rispetto di questo obbligo
L'inosservanza dell'obbligo di tenere un registro dei trattamenti o di effettuare una valutazione d'impatto prima di trattare i dati personali può comportare gravi sanzioni.
L'ammenda può ammontare al 2% del fatturato mondiale dell'azienda o a 10 milioni di euro. L'importo più alto sarà trattenuto.