Per redigere un registro delle attività di trattamento
Innanzitutto, occorre procedere con una valutazione delle categorie di dati trattati e delle attività di trattamento, focalizzandosi sulla risposta a questa domanda molto pratica “cosa ne facciamo dei dati raccolti?”. Queste attività dovranno essere documentate per iscritto entro il 25 maggio prossimo.
Non c’è un metodo univoco per procedere alla redazione dei registri delle attività di trattamento.
Quello che è importante è che queste attività siano documentate per iscritto preferibilmente in formato elettronico, ad esempio utilizzando un sistema su cui si può facilmente intervenire: considerando che i registri vanno periodicamente aggiornati sarebbe opportuno pensare ad un file in excel (per le organizzazioni più semplici) oppure ad un software apposito che consenta di raccogliere, organizzare e individuare facilmente tutte le informazioni che un registro deve contenere ai sensi dell’art. 30 del GDPR; in questo modo, infatti, sarà più agevole aggiungere, cancellare o modificare informazioni quando necessario e tenere traccia delle operazioni effettuate sui registri delle attività.
Il contenuto dei registri delle attività di trattamento del titolare e del responsabile è indicato precisamente all’art. 30 del GDPR, rispettivamente punti 1 e 2.
Si tenga presente che ogni specifico trattamento deve avere una sezione dedicata e le informazioni devono essere strutturate e collegate in maniera logica tra di esse, in quanto ad esempio una tipologia di trattamento può avere periodi di conservazione diversi rispetto ad un’altra, oppure una specifica tipologia di trattamento può prevedere che i dati siano condivisi con alcuni soggetti che un’altra non prevede o ancora un trattamento può riguardare una specifica categoria di dati diversa rispetto ad un altro. Un elenco generico di dati senza alcuna organizzazione, logica o collegamento tra le informazioni contenute non ha alcun senso.
Un titolare del trattamento potrebbe suddividere i trattamenti partendo dalle aree aziendali che se ne occupano (es. area marketing; area amministrazione; area sales, …) e sulla base di ciascuna area, individuare ogni specifico trattamento che la coinvolge, per ciascun trattamento definire le finalità, le specifiche modalità, le categorie di interessati, le categorie di dati trattati, i soggetti con cui i dati si condividono, allegando i relativi contratti di designazione e quanto altro richiesto dall’art. 30.
Un responsabile del trattamento potrebbe iniziare con la suddivisione tra titolari per conto dei quali opera e per ciascun titolare individuare la specifica tipologia di trattamento o le specifiche tipologie, per ciascuna tipologia poi procedere con le misure di sicurezza e organizzative adottate e quanto altro richiesto dall’art. 30 punto 2 con specifico riferimento ai responsabili.
Ad ogni modo, è bene ricordare che un registro delle attività di trattamento deve essere visto come un beneficio per l’organizzazione, in quanto consente di identificare velocemente le operazioni svolte sui dati trattati, sapere quali dati personali si detengono perché si conservano e per quanto tempo e aiuta a riconoscere i dati non più necessari;
di certo queste operazioni consentono di affrontare proattivamente tutte le questioni che dovessero sorgere in relazione al trattamento dei dati personali (si pensi al caso in cui pervenga una richiesta di informazione sui dati da parte di un interessato, un registro permette di riconoscere velocemente i flussi di quei dati e facilita le operazioni di intervento) e aiutano a rendere i processi aziendali più snelli ed efficaci.
- Ultimo aggiornamento il .
- —
- Aggiornamento: GDPR