Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Tematiche già affrontate:
PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all' "Informativa".
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all' "Informativa".
PILL 3 : ( Articolo Online del 05 Aprile ) la tematica relativa a "il Responsabile"
PILL 4: ( Articolo Online del 13 Aprile ) la tematica relativa ai "Diritti dell'Interessato"
PILL 5 : ( Articolo Online del 27 Aprile ) la tematica relativa a "I Soggetti Coinvolti"
PILL 6 : ( Articolo Online del 30 Aprile ) la tematica relativa a "Responsabilizzazione del trattamento"
PILL 7 : ( Articolo Online del 09 Maggio ) la tematica relativa a "Data Breach - Sicurezza e violazione dei dati"
PILL 5 : ( Articolo Online del 27 Aprile ) la tematica relativa a "I Soggetti Coinvolti"
PILL 6 : ( Articolo Online del 30 Aprile ) la tematica relativa a "Responsabilizzazione del trattamento"
PILL 7 : ( Articolo Online del 09 Maggio ) la tematica relativa a "Data Breach - Sicurezza e violazione dei dati"
La pillola di oggi riguarda: il Registro dei Trattamenti
Affrontiamo l’ottavo e
ultimo argomento scelto per questo ciclo di brevi interventi sul GDPR, il
Registro dei Trattamenti. Per questo argomento stravolgeremo lo schema
tradizionale con il quale abbiamo presentato i precedenti, poiché il Registro
dei Trattamenti rappresenta una vera novità per la legislazione europea.
È necessaria da subito
una precisazione, il titolo della pills potrebbe
risultare fuorviante poiché in concreto non parliamo di registro ma di registri
delle attività di trattamento, il (i) Registro del Titolare del Trattamento e (ii)
il Registro del Responsabile del Trattamento. I registri concorrono entrambi
alla definizione quadro generale dell’Accountability
(Responsabilizzazione). È immediatamente intuitivo il principio secondo il
quale sarebbe impossibile dimostrare effettivamente di essersi conformati al GDPR
e a tutti i suoi principi senza avere la conoscenza di tutti i trattamenti che
si effettuano. Per questo motivo il nuovo Regolamento prescrive una mappatura
di tutti i trattamenti posti in essere dai Titolari e dai Responsabili che
consenta loro di avere un quadro costantemente aggiornato di tutte le loro
attività di Trattamento e delle loro specifiche. Il Registro, pertanto, che sia
quello del Titolare o del Responsabile, non deve essere considerato un adempimento
formale ma una parte integrante e fondamentale della gestione dei dati
personali.
Per meglio comprendere
la ragione dell’introduzione di tale strumento, ci viene in aiuto il
considerando 82 del nuovo Regolamento UE 679/2016 il quale spiega come:
“Per
dimostrare che si conforma al presente regolamento, il titolare del trattamento
o il responsabile del trattamento dovrebbe tenere un registro delle attività di
trattamento effettuate sotto la sua responsabilità. Sarebbe necessario
obbligare tutti i titolari del trattamento e i responsabili del trattamento a
cooperare con l'autorità di controllo e a mettere, su richiesta, detti registri
a sua disposizione affinché possano servire per monitorare detti trattamenti.”.
Il registro, quindi,
svolge la duplice funzione di responsabilizzare il Titolare/Responsabile del
Trattamento e quella di fornire uno strumento di confronto e controllo tra i
suddetti e l’Autorità Garante dei singoli Stati Membri.
Il contenuto minimo dei
registri è espresso dall’art. 30 del GDPR che per il Titolare del
Trattamento lo identifica in:
a) il nome e i dati di
contatto del titolare del trattamento e, ove applicabile, del contitolare del
trattamento, del rappresentante del titolare del trattamento e del responsabile
della protezione dei dati;
b) le finalità del
trattamento;
c) una descrizione
delle categorie di interessati e delle categorie di dati personali;
d) le categorie di
destinatari a cui i dati personali sono stati o saranno comunicati, compresi i
destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i
trasferimenti di dati personali verso un paese terzo o un'organizzazione
internazionale, compresa l'identificazione del paese terzo o
dell'organizzazione internazionale e la documentazione delle garanzie adeguate;
f) ove possibile, i
termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una
descrizione generale delle misure di sicurezza tecniche e organizzative.
Mentre, per il Responsabile
del Trattamento:
a) il nome e i dati di
contatto del responsabile o dei responsabili del trattamento, di ogni titolare
del trattamento per conto del quale agisce il responsabile del trattamento, del
rappresentante del titolare del trattamento o del responsabile del trattamento
e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei
trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i
trasferimenti di dati personali verso un paese terzo o un'organizzazione
internazionale, compresa l'identificazione del paese terzo o
dell'organizzazione internazionale e la documentazione delle garanzie adeguate;
d) ove possibile, una
descrizione generale delle misure di sicurezza tecniche e organizzative.
Quanto al Registro del
Responsabile del Trattamento, per le aziende che operano anche sul mercato
italiano, è necessaria una precisazione. L’art. 30 par 2 non contiene tutte le
previsioni individuate nel precedente comma 1 relativo al Titolare del
Trattamento, ma, il Garante per la Protezione dei Dati, durante l’incontro con
la P.A. svoltosi a Bari il 15 gennaio 2018, in persona della dr.ssa Cecamore
del Dipartimento sanità e ricerca, ha chiarito che il Garante, ove possibile,
pretende che nel Registro dei Trattamenti del Responsabile siano
necessariamente indicati anche i contenuti ulteriori prescritti per il Registro
dei Titolari, come ad esempio le indicazioni relative al termine di
cancellazione e le finalità.
Quanto alla tenuta e
gestione dei Registri il terzo comma dell’articolo in oggetto richiede per
entrambe i registri la forma scritta anche in forma elettronica, da adottare
necessariamente, anche in questo caso, entro il termine del 25 maggio 2018.
I registri vanno
aggiornati al mutare dei singoli elementi in essi contenuti, pertanto, è
impossibile dettarne un aggiornamento a cadenze periodiche che potrebbero
essere necessarie con grande frequenza. In ogni caso, qualora nessuno degli
elementi inseriti nel Registro fosse suscettibile di cambiamento, si caldeggia
una revisione quantomeno annuale dello stesso.
Gli scriventi, sulla
scorta del testo della normativa, delle considerazioni appena svolte, delle
dichiarazioni rilasciate dal WP 29, degli interventi sul tema dei Garanti per
la Protezione dei Dati Personali più autorevoli e prolifici d’Europa, hanno
scelto deliberatamente di non trattare l’argomento dell’esenzione dalla tenuta
del Registro dei Trattamenti cristallizzando questa scelta nella dichiarazione
fatta precedentemente per la quale “sarebbe
impossibile dimostrare effettivamente di essersi conformati al GDPR e a tutti i
suoi principi senza avere la conoscenza di tutti i trattamenti che si
effettuano”, e sarebbe altrettanto impossibile dimostrare tale conoscenza
senza la regolare tenuta dei Registri in oggetto.
Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net
Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net