Previous Page  38 / 53 Next Page
Information
Show Menu
Previous Page 38 / 53 Next Page
Page Background

SPECIALE GDPR

5HJLVWUR GHL WUDWWDPHQWL YDOXWD]LRQH GL LPSDWWR VXOOD SURWH]LRQH GHL GDWL GDWD EUHDFK QRWL¼FDWLRQ

trasferimenti di dati all’estero.

I

l GDPR contiene molti elementi di novità rispetto alla

disciplina vigente: tra questi, si assiste al venir meno di

oneri burocratici e amministrativi che lasciano il posto

ad adempimenti di tutela sostanziale e a un approccio

che tiene continuamente conto del principio di respon-

sabilizzazione (accountability), secondo il quale il titola-

re del trattamento è responsabile per l’applicazione dei

principi contenuti nel GDPR e deve essere in grado di

dimostrare che le operazioni di trattamento vengono

effettuate in conformità alla nuova disciplina.

Il principio di accountability rappresenta anche una logica

interpretativa utile per comprendere le principali novità

organizzativo-metodologiche da affrontare nel percor-

so di adeguamento al GDPR, tra cui vi sono l’obbligo

di tenuta di un registro dei trattamenti, la valutazione

di impatto privacy e l’implementazione di un sistema di

reazione alle violazioni di dati personali.

TUTTI GLI ADEMPIMENTI

DA NON DIMENTICARE

Valentina Santi

Avvocato del Foro di Milano

Il Registro dei Trattamenti

L’art. 30 del GDPR introduce l’obbligo della tenuta di un

Registro dei Trattamenti. È un documento che richiama

i tratti di quello che era il documento programmatico

della sicurezza, abolito nel 2012. Il primo comma dell’art.

30 del GDPR specifica il contenuto minimo del registro

del titolare del trattamento, mentre il secondo comma

si occupa del registro del responsabile del trattamento.

Il contenuto delle due disposizioni è molto simile e com-

prende, per esempio, il nome e i dati di contatto del

titolare/responsabile, le finalità del trattamento, una

descrizione delle categorie degli interessati e dei dati

personali, le categorie di destinatari a cui i dati personali

sono comunicati, eventuali trasferimenti di dati perso-

nali verso un Paese terzo, i termini ultimi previsti per la

cancellazione delle diverse categorie di dati e, ove pos-

sibile, una descrizione generale delle misure di sicurezza

tecniche e organizzative di cui all’articolo 32 del GDPR.

Il Registro dei Trattamenti può essere tenuto in for-

ma elettronica o cartacea e va messo a disposizione

dell’autorità di controllo quando richiesto; è dunque

uno strumento utile anche ai fini della dimostrabilità di

quanto effettuato.

L’obbligo di tenuta del Registro dei Trattamenti non si

applica alle imprese o organizzazioni con meno di 250

dipendenti, a meno che il trattamento effettuato:

- possa presentare un rischio per i diritti e le libertà

dell’interessato;

- non sia un trattamento occasionale;

- oppure includa il trattamento di categorie particolari

di dati di cui all’articolo 9, paragrafo 1, o art. 10 del

GDPR (i cosidetti dati sensibili).

È un adempimento che, nell’ottica del principio di ac-

countability, assume un’impor tanza fondamentale, in

quanto permette al titolare/responsabile di documentare

i processi organizzativi all’interno della singola organiz-

68

dicembre 2017

© iStock - PashaIgnatov