PILLOLE PRIVACY N° 10 – STRUMENTI E METODI
PILLOLA 10
IL REGISTRO DEI TRATTAMENTI
Per molte aziende, la compilazione del Registro dei trattamenti non sarà un obbligo.
Tuttavia, consigliamo a ogni organizzazione, indipendentemente dalla dimensione e dal settore di mercato in cui opera, di predisporlo.
È un’ottima occasione per mettere ordine. Si ha in questo modo la possibilità di dotarsi di una mappa che contiene tutte le informazioni in merito alle caratteristiche delle operazioni effettuate e alle entità coinvolte nel processo.
La mappa così costruita, che dovrà essere aggiornata e mantenuta nel tempo per riflettere eventuali variazioni, permette, in qualunque momento, di avere un quadro chiaro in merito ai dati personali trattati dall’azienda e di avere a disposizione tutte le informazioni pertinenti in un unico documento; se consideriamo i dati personali un asset aziendale, al pari degli strumenti tecnologici che permettono di svolgere le attività di lavoro, il Registro dei trattamenti è, a pieno titolo, un “registro degli asset”.
In ogni caso, anche se decidessero di non compilare fisicamente il Registro, il Regolamento richiede alle organizzazioni di:
- fare un censimento dei dati trattati, identificandoli in base alla categoria;
- identificare le categorie di interessati al trattamento;
- avere una chiara rappresentazione di come i dati sono elaborati, protetti, archiviati ed eliminati;
- indicare il luogo di conservazione fisica degli archivi, verificando che gli eventuali trasferimenti di dati personali avvengano nel rispetto delle garanzie previste per legge.
Che il Titolare e l’eventuale Responsabile del trattamento siano a conoscenza di queste informazioni è dato per scontato; per questo, dovendo mettere mano all’impresa, la compilazione del Registro è veramente l’ultima delle incombenze!
Vedremo dunque, in modo molto sintetico, quali sono i passi necessari ad acquisire le informazioni che i soggetti che svolgono attività di trattamento devono obbligatoriamente possedere.
-
CLASSIFICAZIONE E INVENTARIO DEI DATI PERSONALI.
L’inventario dei dati personali oggetto di trattamento richiede una ricognizione puntuale delle informazioni in possesso dell’organizzazione.
È possibile effettuarlo intervistando, anche con l’utilizzo di appositi questionari, tutte le funzioni aziendali che effettuano operazioni di trattamento. È molto utile, in questa fase, farsi supportare dal responsabile IT o dai responsabili dei diversi ambiti applicativi, che hanno la visione dei flussi e dei processi che insistono sulle stesse basi di dati.
Non è sufficiente classificare i dati personali in base alla loro tipologia (dati comuni, dati relativi alla salute, dati biometrici) ma bisogna stabilire a chi si riferiscono (clienti, dipendenti, terzi esterni, imprese facenti parti dello stesso gruppo, associati), dove siano conservati (luogo fisico, sistemi IT e device) e dove siano fisicamente effettuate le operazioni di trattamento.
Per ciascuno di questi elementi – categorie di dati, categorie di interessati, luogo di conservazione, luogo di trattamento – sarà inoltre necessario verificare l’esistenza delle condizioni di legittimità del trattamento effettuato.
… (continua)
Leave a Reply
Want to join the discussion?Feel free to contribute!