28

innovazione.PA

|

01-02/2018

| ANNO XV GENNAIO - FEBBRAIO

Attenzione agli

adempimenti

fondamentali

Potenziare la consapevolezza dei rischi per attuare misure adeguate

Tra gli elementi di maggiore cambiamento introdotti dal

GDPR emerge la ricerca di una effettiva consapevolezza ed

efficacia delle misure da mettere in campo in materia di

protezione dei dati personali, in luogo degli adempimenti

formali e burocratici. Il loro posto viene preso da

adempimenti di “tutela sostanziale” secondo un criterio di

fondo da tenere ben presente: l’accountability, il principio di

responsabilità del titolare del trattamento nell’applicazione,

dimostrabile, delle misure previste dal GDPR.

Rientrano in questa logica l’adozione e l’aggiornamento di un

Registro dei trattamenti; la valutazione di impatto privacy;

l’implementazione di un sistema di reazione alle violazioni. Di

seguito una sintesi delle caratteristiche e delle finalità di tali

adempimenti estratta dallo Speciale GDPR.

Il Registro dei trattamenti

Il Registro dei trattamenti viene introdotto dall’articolo 30 del

GDPR. Ne è previsto uno a cura del titolare del trattamento

ed uno del responsabile del trattamento. In esso devono essere

indicati il nome e i dati di contatto del titolare e del responsabile,

le finalità del trattamento, una descrizione delle categorie degli

interessati e dei dati personali, le categorie di destinatari a cui i

dati personali sono comunicati, eventuali trasferimenti di dati

personali verso un Paese terzo, i termini ultimi previsti per la

cancellazione delle diverse categorie di dati e una descrizione

delle misure di sicurezza tecniche e organizzative adottate

secondo quanto previsto dal GDPR.

Il Registro dei Trattamenti può essere tenuto in forma

elettronica o cartacea ma deve essere messo a disposizione

dell’autorità di controllo quando richiesto.

L’obbligo di tenuta del Registro dei trattamenti non si applica

alle imprese o organizzazioni con meno di 250 dipendenti, a

meno che il trattamento effettuato possa presentare un rischio

per i diritti e le libertà dell’interessato, non abbia un carattere

occasionale, oppure includa il trattamento di dati sensibili.

Nel rispetto del principio di accountability, il Registro dei

trattamenti consente a titolare e responsabile di documentare i

processi organizzativi a tutela delle informazioni e di indicare

per ciascuno di questi la specificità dei trattamenti effettuati.

Costituisce inoltre una valida base di partenza per pianificare le

azioni da intraprendere e può essere molto utile per individuare i

trattamenti che richiedono una valutazione di impatto privacy.

Valutazione di impatto sulla privacy

Altra fondamentale misura introdotta dal GDPR è rappresentata

dalla Valutazione di impatto sulla protezione dei dati (Data

Protection Impact Assessment - DPIA).

La Valutazione va applicata nel caso di trattamento di dati

che possano presentare un rischio elevato per i diritti e

le libertà delle persone fisiche, per loro natura, ambito di

applicazione, contesto e finalità. Si tratta di una valutazione

dell’impatto che i trattamenti dati potrebbero avere, al fine

di identificare i rischi connessi, analizzandone in particolare

l’origine, la particolarità e la gravità.

L’esito della valutazione serve a determinare le opportune

misure da adottare affinché il trattamento dei dati personali

risulti in conformità con le norme del GDPR. È un’attività che

va fatta prima di procedere al trattamento e che si lega molto

all’elemento del rischio inteso come accadimento concreto

e grave, non come possibilità astratta. Se esistono queste

condizioni, si procede alla sua effettuazione, a meno che il

tipo di trattamento non rientri nella lista di quelli esenti

dall’obbligo di DPIA che il Garante per la protezione dei dati

personali avrà il compito di redigere.

Il responsabile dell’effettuazione della DPIA è il titolare

del trattamento che può avvalersi di diverse figure come per

esempio consulenti esterni, Responsabili del trattamento o

categorie di soggetti interessati dal trattamento oggetto di

DPIA. Il Responsabile della protezione dei dati può agire quale

consulente del titolare, oltre ad avere il compito di vigilare su

quanto compiuto in questo processo. Qualora l’esito della DPIA

indichi che i trattamenti presentano un rischio elevato, probabile

e grave che il titolare del trattamento non può ridurre mediante

misure opportune in termini di tecnologia disponibile e costi di

attuazione, si apre una fase di consultazione preventiva di fronte

all’Autorità di controllo, specificata dall’art. 36 del GDPR.

Privacy, un diritto per i cittadini d’Europa

DOSSIER