Il registro dei trattamenti dei dati personali

Sapere che il 25 maggio del 2018 è entrato in vigore un Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ), il n. 679/2016, ci serve a ben poco sanza avere cognizione di cosa sono i “dati personali” e se, in effetti, in azienda registriamo, conserviamo, ed eventualmente comunichiamo a terzi tali dati.
Quali sono i dati personali
L’articolo 1 del GPDR per prima cosa restringe l’ambito della normativa di tutela: stiamo parlando dei dati delle sole « persone fisiche ». Non sono tutelati, invece, i dati delle persone giuridiche ( le imprese ).
Dobbiamo consultare l’articolo 4 (“Definizioni”) del GDPR per apprendere che per dati personali s’intende « qualsiasi informazione [ personale ] riguardante una persona fisica identificata o identificabile ».
Ad esempio, spiega la stessa norma, « il nome, un numero di identificazione [ codice fiscale, numero telefonico ], dati relativi all’ubicazione, un identificativo online [ email ] ».
Ma sono dati personali anche gli « elementi caratteristici della identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di una persona fisica ». Ad esempio l’immagine del suo volto, ma anche la sua impronta digitale, e il suo DNA ( in sintesi, « dati biometrici », i « dati genetici », ed i « dati relativi alla salute » ), i suoi dati sanitari, giudiziari nonché il suo reddito, le sue appartenenze religiose, sindacali o politiche, la sua identità sessuale.
Va da se, quindi, che ogni azienda o professionista che abbia un dipendente o, con continuità, dei clienti/utenti persona fisica, tratta dati personali.
Insomma anche l’avvocato, l’ottico, l’odontoiatra, il fisioterapista, la parrucchiera ( se ha dipendenti o se tiene una rubrica degli appuntamenti ) trattano dati personali e sono tenuti a rispettare il GDPR.
L’analisi dei dati trattati
Appresa questa informazione, dobbiamo controllare ogni nostro archivio per rilevare l’insieme dei dati personali che trattiamo, cioè registriamo, conserviamo, ed eventualmente comunichiamo a terzi.
Dobbiamo, ancora, rilevare:
- da dove si originano tali dati;
- a che uso sono destinati;
- gli spazi (“asset”) dove li custodiamo;
- chi sono i soggetti autorizzati a trattarli;
- per quanto tempo è necessario conservarli;
- quale presidi di sicurezza utilizziamo per evitare che tali dati non finiscano in mano a terzi cui non sarebbero destinati.
L’articolo 30 del GDPR spiega che tutte queste informazioni vanno raccolte in un documento, la cui tenuta, salvo poche eccezioni, è obbligatoria per ogni azienda e ogni professionista: il registro dei trattamenti.
Tale registro risulta in ogni caso indispensabile per dimostrare che l’attività d’analisi sia stata svolta ( la cosiddetta accountability ). L’unica scelta possibile è tra il tenerlo in forma cartacea oppure elettronica.
Se si preferisce la forma cartacea, sul sito web del Garante della Privacy è scaricabile il PDF di una scheda semplificata del registro dei trattamenti. Per i registri elettronici esistono diverse aziende che, dietro un piccolo corrispettivo o un abbonamento annuale, mettono a disposizione formulari aggiornati e/o spazi server per conservarli.

–
Fonti e Note:
Credits : Photo by Scott Graham on Unsplash
Puoi approfondire il tema del registro dei trattamenti, sul sito web del Garante della Privacy, “FAQ sul registro delle attività di trattamento”