Il Nuovo Regolamento Europeo 2016/679, che sarà applicabile in tutti i Paesi UE dal 25 maggio 2018, tra le varie novità, introdurrà l’obbligo di istituire e di presentare su richiesta dell’autorità di controllo in fase di ispezione, un registro che elenchi tutti i trattamenti di dati effettuati. Tale registro potrà essere presentato in forma scritta o in formato elettronico.
Si tratta di un adempimento formale che sostituisce nell’ordinamento italiano l’obbligo di notificare il trattamento all’ autorità garante. L’adempimento in questione è un elemento di un altro adempimento che è la “valutazione di impatto privacy” ed è funzionale alla definizione delle misure di sicurezza dei trattamenti.
Secondo l’art. 30 del Regolamento Europeo, gli obblighi di tenuta dei registri non si applicano alle imprese o organizzazioni con meno di 250 dipendenti.
Gli obblighi in oggetto si applicano indipendentemente dal numero di dipendenti, nel caso in cui i dati che vengono trattati presentino un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa categorie particolari di dati – e cioè dati sensibili e biometrici – o i dati personali relativi a condanne penali e a reati.
I registri di cui si parla nel Regolamento sono due: il registro del titolare del trattamento e il registro del responsabile del trattamento.
Il registro del titolare del trattamento deve contenere:
– il nome e i dati di contatto del titolare del trattamento e, se del caso, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
– le finalità del trattamento;
– una descrizione delle categorie di interessati e delle categorie di dati personali;
– le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di Paesi terzi od organizzazioni internazionali;
– se del caso, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49 (per interessi legittimi), la documentazione delle appropriate garanzie;
– se possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
– se possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
Il registro del responsabile del trattamento che riguarda le attività relative al trattamento svolte per conto del titolare del trattamento, deve contenere:
– il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, se del caso, del responsabile della protezione dei dati;
– le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
– se del caso, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49 (per interessi legittimi), la documentazione delle garanzie adeguate;
– se possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
Tutto ciò considerato, risulta chiaro che si delinea l’obbligo di redigere un documento assolutamente simile all’ ex DPS (documento programmatico sulla sicurezza) il cui obbligo, quantomeno formale, era venuto meno con il Decreto Legge n. 5 del 9 febbraio 2012 (c.d. Decreto semplificazioni).
In caso di mancata istituzione del registro dei trattamenti, le sanzioni pecuniarie, come previsto dall’art. 32 del Regolamento, possono arrivare fino a 10 milioni di euro, o per le imprese fino al 2% del fatturato totale annuo dell’esercizio precedente.
E’ importante quindi rivalutare quanto prima, nel caso in cui oggi mancasse, l’istituzione di un documento, che riporti gli elementi richiesti dal Regolamento e che sia mantenuto costantemente aggiornato.
La consulenza Alavie è strutturata per garantire all’Azienda Cliente il pieno rispetto delle normative vigenti ed essere in anticipo rispetto le scadenze. Contattaci per maggiori informazioni sulla nostra consulenza privacy!
