L’accesso alla documentazione, previsto dal Gdpr, sia da parte di soggetti autorizzati che di esterni, è un tema raramente approfondito; pertanto si desidera condividere alcune riflessioni riguardanti specificamente il Registro dei trattamenti e la Valutazione dei rischi.
Il Registro è il documento che contiene le attività di trattamento dei dati, redatto preferibilmente in formato elettronico (ad esempio su un foglio excel) per facilitarne l’aggiornamento periodico. L’obbligo di tenuta e di aggiornamento grava sulle organizzazioni medio-grandi, ossia quelle con 250 o più dipendenti (articolo 30 del regolamento 679/2016).
Per ogni nuovo trattamento di dati personali, che è alla base delle Privacy by design, il GDPR prescrive una serie di aggiornamenti e valutazioni, a cominciare dal registro delle attività di trattamento, l’informativa privacy, l’analisi dei rischi e la valutazione d’impatto (DPIA). Organizzato un corso operativo di una giornata per venerdì 21 aprile 2023.
Per ogni nuovo trattamento di dati personali, che è alla base delle Privacy by design, il GDPR prescrive una serie di aggiornamenti e valutazioni, a cominciare dal registro delle attività di trattamento, l’informativa privacy, l’analisi dei rischi e la valutazione d’impatto (DPIA). Per poter gestire tutti questi adempimenti in modo efficace, Federprivacy ha organizzato un corso operativo che affronta, con esempi e contenuti di taglio molto pratico, l’analisi di tali documenti, seguendo un percorso logico e proponendo soluzioni alternative che devono essere contestualizzate per essere adattate alle specifiche di ogni realtà.
Con questo contributo si entra pur schematicamente nella vicenda del Responsabile del Responsabile (d'ora in poi anche 'Subresponsabile') nel momento in cui debba affrontare tre importanti adempimenti in base al Regolamento 2016/679, nell'ordine: la redazione e la tenuta del registro, la valutazione di impatto, la gestione delle violazioni di dati, tutti ovviamente nella misura in cui concernenti i dati o i trattamenti di dati nello svolgimento dell'attività e/o servizio affidatigli, con l'autorizzazione del Titolare, dal Responsabile.
Compilare in modo corretto un registro dei trattamenti, è noto, rappresenta uno degli adempimenti fondamentali per ciascun titolare o responsabile del trattamento. La deroga di cui all’art. 30.5 GDPR per cui non sussiste tale obbligo si può dire di rara applicazione, dal momento che come ha ribadito l’EDPB confermando il position paper assunto già in aprile 2018 le attività di trattamento che possono essere escluse dal registro delle organizzazioni con meno di 250 dipendenti possono riguardare solo trattamenti occasionali di dati non rientranti nelle categorie particolari o relativi a condanne penali e reati per cui non sussiste alcun rischio per gli interessati.
Il Garante per la protezione dei dati personali ha messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”). Il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.
