Il registro dei trattamenti dei dati personali

Pubblicato· Aggiornato

documento-registro-dati

Sapere che il 25 maggio del 2018 è entrato in vigore un Regolamento Generale sulla Protezione dei Dati Personali (GDPR), il n. 679/2016, ci serve a ben poco sanza avere cognizione dicosa sono i “dati personali”e se, in effetti, in azienda registriamo, conserviamo, ed eventualmente comunichiamo a terzi tali dati.

Quali sono i dati personali

L’articolo 1 del GPDRper prima cosa restringe l’ambito della normativa di tutela:stiamo parlando dei dati delle sole « persone fisiche ».Non sono tutelati, invece, i dati delle persone giuridiche (le imprese).

Dobbiamo consultarel’articolo 4 (“Definizioni”) del GDPRper apprendere che perdati personalis’intende «qualsiasi informazione [ personale ] riguardante una persona fisica identificata o identificabile».

Ad esempio, spiega la stessa norma, «il nome, un numero di identificazione [ codice fiscale, numero telefonico ], dati relativi all’ubicazione, un identificativo online [ email ]».

Ma sono dati personali anche gli «elementi caratteristici della identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di una persona fisica». Ad esempiol’immagine del suo volto, ma anche la sua impronta digitale, e il suo DNA ( in sintesi, « dati biometrici », i « dati genetici », ed i « dati relativi alla salute » ), i suoi dati sanitari, giudiziari nonché il suo reddito, le sue appartenenze religiose, sindacali o politiche, la sua identità sessuale.

Va da se, quindi, che ogni azienda o professionista che abbia un dipendente o, con continuità, dei clienti/utentipersona fisica, trattadati personali.

Insomma anche l’avvocato, l’ottico, l’odontoiatra, il fisioterapista, la parrucchiera (se ha dipendenti o se tiene una rubrica degli appuntamenti) trattano dati personali e sono tenuti a rispettare il GDPR.

L’analisi dei dati trattati

Appresa questa informazione, dobbiamo controllare ogni nostro archivio perrilevare l’insieme dei dati personali che trattiamo, cioè registriamo, conserviamo, ed eventualmente comunichiamo a terzi.

Dobbiamo, ancora, rilevare:

  • dadove si originano tali dati;
  • a che uso sono destinati;
  • gli spazi(“asset”) dove li custodiamo;
  • chi sono i soggetti autorizzati a trattarli;
  • per quanto tempoè necessario conservarli;
  • quale presidi di sicurezza utilizziamoper evitare che tali dati non finiscano in mano a terzi cui non sarebbero destinati.

L’articolo 30 del GDPRspiega che tutte queste informazioni vannoraccolte in un documento, la cui tenuta, salvo poche eccezioni, è obbligatoria per ogni azienda e ogni professionista:il registro dei trattamenti.

Tale registro risulta in ogni caso indispensabile per dimostrare che l’attività d’analisi sia stata svolta (la cosiddettaaccountability). L’unica scelta possibile è tra il tenerlo in forma cartacea oppure elettronica.

Se si preferisce la forma cartacea,sul sito web del Garante della Privacy è scaricabile il PDF di una scheda semplificata del registro dei trattamenti. Per i registrielettroniciesistono diverse aziende che, dietro un piccolo corrispettivo o un abbonamento annuale, mettono a disposizione formulari aggiornati e/o spazi server per conservarli.

Fonti e Note:

Credits: Photo byScott GrahamonUnsplash

Puoi approfondire il tema del registro dei trattamenti, sul sito web delGarante della Privacy,FAQ sul registro delle attività di trattamento

Tag:

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.I campi obbligatori sono contrassegnati*