Ancora dubbi da una parte e chiarimenti dall'altra in merito alla disciplina privacy, dopo l'entrata in vigore del Nuovo Regolamento Europeo per il trattamento dei dati. Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e - al di sotto dei 250 dipendenti qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.
Tali ultimi soggetti possono comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento. Ecco il modello di Registro delle attività di trattamento semplificato.
In particolare, in base alle FAQ pubblicate recentemente sul sito del Garante della Privacy, il regolamento deve contenere:
| Finalità del trattamento |
Indicazione delle finalità distinta per tipologie di trattamento e la base giuridica dello stesso, come ad esempio:
|
| Descrizione delle categorie di interessati e delle categorie di dati personali |
Specifica sia delle tipologie di interessati (clienti, fornitori, dipendenti) sia dei dati personali oggetto di trattamento come per esempio:
|
|
Categorie di destinatari a cui i dati sono stati o saranno comunicati |
Vanno riportati gli altri titolari cui siano comunicati i dati, anche come solo suddividendoli per categoria, come per esempio gli enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi; |
| Trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale |
Contine l’informazione relativa ai trasferimenti di dati unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD come per esempio:
|
| Termini ultimi previsti per la cancellazione delle diverse categorie di dati | Deve individuare i tempi di cancellazione per tipologia e finalità di trattamento; |
| Descrizione generale delle misure di sicurezza | Contiene le misure tecnico-organizzative adottate dal titolare. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni. |
Ovviamente, può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.
