PILLOLA 10

IL REGISTRO DEI TRATTAMENTI

Per molte aziende, la compilazione del Registro dei trattamenti non sarà un obbligo.

Tuttavia, consigliamo a ogni organizzazione, indipendentemente dalla dimensione e dal settore di mercato in cui opera, di predisporlo.

È un’ottima occasione per mettere ordine. Si ha in questo modo la possibilità di dotarsi di una mappa che contiene tutte le informazioni in merito alle caratteristiche delle operazioni effettuate e alle entità coinvolte nel processo.

La mappa così costruita, che dovrà essere aggiornata e mantenuta nel tempo per riflettere eventuali variazioni, permette, in qualunque momento, di avere un quadro chiaro in merito ai dati personali trattati dall’azienda e di avere a disposizione tutte le informazioni pertinenti in un unico documento; se consideriamo i dati personali un asset aziendale, al pari degli strumenti tecnologici che permettono di svolgere le attività di lavoro, il Registro dei trattamenti è, a pieno titolo, un “registro degli asset”.

In ogni caso, anche se decidessero di non compilare fisicamente il Registro, il Regolamento richiede alle organizzazioni di:

• fare un censimento dei dati trattati, identificandoli in base alla categoria;
• identificare le categorie di interessati al trattamento;
• avere una chiara rappresentazione di come i dati sono elaborati, protetti, archiviati ed eliminati;
• indicare il luogo di conservazione fisica degli archivi, verificando che gli eventuali trasferimenti di dati personali avvengano nel rispetto delle garanzie previste per legge.

Che il Titolare e l’eventuale Responsabile del trattamento siano a conoscenza di queste informazioni è dato per scontato; per questo, dovendo mettere mano all’impresa, la compilazione del Registro è veramente l’ultima delle incombenze!

Vedremo dunque, in modo molto sintetico, quali sono i passi necessari ad acquisire le informazioni che i soggetti che svolgono attività di trattamento devono obbligatoriamente possedere.

• CLASSIFICAZIONE E INVENTARIO DEI DATI PERSONALI.

L’inventario dei dati personali oggetto di trattamento richiede una ricognizione puntuale delle informazioni in possesso dell’organizzazione.

È possibile effettuarlo intervistando, anche con l’utilizzo di appositi questionari, tutte le funzioni aziendali che effettuano operazioni di trattamento. È molto utile, in questa fase, farsi supportare dal responsabile IT o dai responsabili dei diversi ambiti applicativi, che hanno la visione dei flussi e dei processi che insistono sulle stesse basi di dati.

Non è sufficiente classificare i dati personali in base alla loro tipologia (dati comuni, dati relativi alla salute, dati biometrici) ma bisogna stabilire a chi si riferiscono (clienti, dipendenti, terzi esterni, imprese facenti parti dello stesso gruppo, associati), dove siano conservati (luogo fisico, sistemi IT e device) e dove siano fisicamente effettuate le operazioni di trattamento.

Per ciascuno di questi elementi – categorie di dati, categorie di interessati, luogo di conservazione, luogo di trattamento – sarà inoltre necessario verificare l’esistenza delle condizioni di legittimità del trattamento effettuato.

… (continua)