giovedì 10 maggio 2018

PRIVACY PILLS: 8 - Registro dei Trattamenti

PRIVACY PILLS 8 - IL REGISTRO DEI TRATTAMENTI

Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.

Tematiche già affrontate: 
PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all'  "Informativa".
PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a "il Responsabile"
PILL 4: ( Articolo Online del 13 Aprile ) la tematica relativa ai "Diritti dell'Interessato"
PILL 5 : ( Articolo Online del 27 Aprile ) la tematica relativa a "I Soggetti Coinvolti"
PILL 6 : ( Articolo Online del 30 Aprile ) la tematica relativa a "Responsabilizzazione del trattamento"
PILL 7 : ( Articolo Online del 09 Maggio ) la tematica relativa a "Data Breach - Sicurezza e violazione dei dati"



La pillola di oggi riguarda: il Registro dei Trattamenti
Affrontiamo l’ottavo e ultimo argomento scelto per questo ciclo di brevi interventi sul GDPR, il Registro dei Trattamenti. Per questo argomento stravolgeremo lo schema tradizionale con il quale abbiamo presentato i precedenti, poiché il Registro dei Trattamenti rappresenta una vera novità per la legislazione europea.
È necessaria da subito una precisazione, il titolo della pills potrebbe risultare fuorviante poiché in concreto non parliamo di registro ma di registri delle attività di trattamento, il (i) Registro del Titolare del Trattamento e (ii) il Registro del Responsabile del Trattamento. I registri concorrono entrambi alla definizione quadro generale dell’Accountability (Responsabilizzazione). È immediatamente intuitivo il principio secondo il quale sarebbe impossibile dimostrare effettivamente di essersi conformati al GDPR e a tutti i suoi principi senza avere la conoscenza di tutti i trattamenti che si effettuano. Per questo motivo il nuovo Regolamento prescrive una mappatura di tutti i trattamenti posti in essere dai Titolari e dai Responsabili che consenta loro di avere un quadro costantemente aggiornato di tutte le loro attività di Trattamento e delle loro specifiche. Il Registro, pertanto, che sia quello del Titolare o del Responsabile,  non deve essere considerato un adempimento formale ma una parte integrante e fondamentale della gestione dei dati personali.
Per meglio comprendere la ragione dell’introduzione di tale strumento, ci viene in aiuto il considerando 82 del nuovo Regolamento UE 679/2016 il quale spiega come:
“Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l'autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti.”.
Il registro, quindi, svolge la duplice funzione di responsabilizzare il Titolare/Responsabile del Trattamento e quella di fornire uno strumento di confronto e controllo tra i suddetti e l’Autorità Garante dei singoli Stati Membri.
Il contenuto minimo dei registri è espresso dall’art. 30 del GDPR che per il Titolare del Trattamento lo identifica in:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

Mentre, per il Responsabile del Trattamento:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e la documentazione delle garanzie adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
Quanto al Registro del Responsabile del Trattamento, per le aziende che operano anche sul mercato italiano, è necessaria una precisazione. L’art. 30 par 2 non contiene tutte le previsioni individuate nel precedente comma 1 relativo al Titolare del Trattamento, ma, il Garante per la Protezione dei Dati, durante l’incontro con la P.A. svoltosi a Bari il 15 gennaio 2018, in persona della dr.ssa Cecamore del Dipartimento sanità e ricerca, ha chiarito che il Garante, ove possibile, pretende che nel Registro dei Trattamenti del Responsabile siano necessariamente indicati anche i contenuti ulteriori prescritti per il Registro dei Titolari, come ad esempio le indicazioni relative al termine di cancellazione e le finalità.
Quanto alla tenuta e gestione dei Registri il terzo comma dell’articolo in oggetto richiede per entrambe i registri la forma scritta anche in forma elettronica, da adottare necessariamente, anche in questo caso, entro il termine del 25 maggio 2018.
I registri vanno aggiornati al mutare dei singoli elementi in essi contenuti, pertanto, è impossibile dettarne un aggiornamento a cadenze periodiche che potrebbero essere necessarie con grande frequenza. In ogni caso, qualora nessuno degli elementi inseriti nel Registro fosse suscettibile di cambiamento, si caldeggia una revisione quantomeno annuale dello stesso.
Gli scriventi, sulla scorta del testo della normativa, delle considerazioni appena svolte, delle dichiarazioni rilasciate dal WP 29, degli interventi sul tema dei Garanti per la Protezione dei Dati Personali più autorevoli e prolifici d’Europa, hanno scelto deliberatamente di non trattare l’argomento dell’esenzione dalla tenuta del Registro dei Trattamenti cristallizzando questa scelta nella dichiarazione fatta precedentemente per la quale “sarebbe impossibile dimostrare effettivamente di essersi conformati al GDPR e a tutti i suoi principi senza avere la conoscenza di tutti i trattamenti che si effettuano”, e sarebbe altrettanto impossibile dimostrare tale conoscenza senza la regolare tenuta dei Registri in oggetto.



Nessun commento:

Posta un commento