Il registro dei trattamenti dei dati personali

Sapere che il 25 maggio del 2018 è entrato in vigore un Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ), il n. 679/2016, ci serve a ben poco sanza avere cognizione di cosa sono i “dati personali” e se, in effetti, in azienda registriamo, conserviamo, ed eventualmente comunichiamo a terzi tali dati.

Quali sono i dati personali

L’articolo 1 del GPDR per prima cosa restringe l’ambito della normativa di tutela: stiamo parlando dei dati delle sole « persone fisiche ». Non sono tutelati, invece, i dati delle persone giuridiche ( le imprese ).

Dobbiamo consultare l’articolo 4 (“Definizioni”) del GDPR per apprendere che per dati personali s’intende « qualsiasi informazione [ personale ] riguardante una persona fisica identificata o identificabile ».

Ad esempio, spiega la stessa norma, « il nome, un numero di identificazione [ codice fiscale, numero telefonico ], dati relativi all’ubicazione, un identificativo online [ email ] ».

Ma sono dati personali anche gli « elementi caratteristici della identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di una persona fisica ». Ad esempio l’immagine del suo volto, ma anche la sua impronta digitale, e il suo DNA ( in sintesi, « dati biometrici », i « dati genetici », ed i « dati relativi alla salute » ), i suoi dati sanitari, giudiziari nonché il suo reddito, le sue appartenenze religiose, sindacali o politiche, la sua identità sessuale.

Va da se, quindi, che ogni azienda o professionista che abbia un dipendente o, con continuità, dei clienti/utenti persona fisica, tratta dati personali.

Insomma anche l’avvocato, l’ottico, l’odontoiatra, il fisioterapista, la parrucchiera ( se ha dipendenti o se tiene una rubrica degli appuntamenti ) trattano dati personali e sono tenuti a rispettare il GDPR.

L’analisi dei dati trattati

Appresa questa informazione, dobbiamo controllare ogni nostro archivio per rilevare l’insieme dei dati personali che trattiamo, cioè registriamo, conserviamo, ed eventualmente comunichiamo a terzi.

Dobbiamo, ancora, rilevare:

• da dove si originano tali dati;
• a che uso sono destinati;
• gli spazi (“asset”) dove li custodiamo;
• chi sono i soggetti autorizzati a trattarli;
• per quanto tempo è necessario conservarli;
• quale presidi di sicurezza utilizziamo per evitare che tali dati non finiscano in mano a terzi cui non sarebbero destinati.

L’articolo 30 del GDPR spiega che tutte queste informazioni vanno raccolte in un documento, la cui tenuta, salvo poche eccezioni, è obbligatoria per ogni azienda e ogni professionista: il registro dei trattamenti.

Tale registro risulta in ogni caso indispensabile per dimostrare che l’attività d’analisi sia stata svolta ( la cosiddetta accountability ). L’unica scelta possibile è tra il tenerlo in forma cartacea oppure elettronica.

Se si preferisce la forma cartacea, sul sito web del Garante della Privacy è scaricabile il PDF di una scheda semplificata del registro dei trattamenti. Per i registri elettronici esistono diverse aziende che, dietro un piccolo corrispettivo o un abbonamento annuale, mettono a disposizione formulari aggiornati e/o spazi server per conservarli.

–

Fonti e Note:

Credits : Photo by Scott Graham on Unsplash

Puoi approfondire il tema del registro dei trattamenti, sul sito web del Garante della Privacy, “FAQ sul registro delle attività di trattamento”