Sapere che il 25 maggio del 2018 è entrato in vigore un Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ), il n. 679/2016, ci serve a ben poco sanza avere cognizione di cosa sono i “dati personali” e se, in effetti, in azienda registriamo, conserviamo, ed eventualmente comunichiamo a terzi tali dati.
Quali sono i dati personali
L’articolo 1 del GPDR per prima cosa restringe l’ambito della normativa di tutela: stiamo parlando dei dati delle sole « persone fisiche ». Non sono tutelati, invece, i dati delle persone giuridiche ( le imprese ).
Dobbiamo consultare l’articolo 4 (“Definizioni”) del GDPR per apprendere che per dati personali s’intende « qualsiasi informazione [ personale ] riguardante una persona fisica identificata o identificabile ».
Ad esempio, spiega la stessa norma, « il nome, un numero di identificazione [ codice fiscale, numero telefonico ], dati relativi all’ubicazione, un identificativo online [ email ] ».
Ma sono dati personali anche gli « elementi caratteristici della identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale di una persona fisica ». Ad esempio l’immagine del suo volto, ma anche la sua impronta digitale, e il suo DNA ( in sintesi, « dati biometrici », i « dati genetici », ed i « dati relativi alla salute » ), i suoi dati sanitari, giudiziari nonché il suo reddito, le sue appartenenze religiose, sindacali o politiche, la sua identità sessuale.
Va da se, quindi, che ogni azienda o professionista che abbia un dipendente o, con continuità, dei clienti/utenti persona fisica, tratta dati personali.
Insomma anche l’avvocato, l’ottico, l’odontoiatra, il fisioterapista, la parrucchiera ( se ha dipendenti o se tiene una rubrica degli appuntamenti ) trattano dati personali e sono tenuti a rispettare il GDPR.
L’analisi dei dati trattati
Appresa questa informazione, dobbiamo controllare ogni nostro archivio per rilevare l’insieme dei dati personali che trattiamo, cioè registriamo, conserviamo, ed eventualmente comunichiamo a terzi.
Dobbiamo, ancora, rilevare:
- da dove si originano tali dati;
- a che uso sono destinati;
- gli spazi (“asset”) dove li custodiamo;
- chi sono i soggetti autorizzati a trattarli;
- per quanto tempo è necessario conservarli;
- quale presidi di sicurezza utilizziamo per evitare che tali dati non finiscano in mano a terzi cui non sarebbero destinati.
L’articolo 30 del GDPR spiega che tutte queste informazioni vanno raccolte in un documento, la cui tenuta, salvo poche eccezioni, è obbligatoria per ogni azienda e ogni professionista: il registro dei trattamenti.
Tale registro risulta in ogni caso indispensabile per dimostrare che l’attività d’analisi sia stata svolta ( la cosiddetta accountability ). L’unica scelta possibile è tra il tenerlo in forma cartacea oppure elettronica.
Se si preferisce la forma cartacea, sul sito web del Garante della Privacy è scaricabile il PDF di una scheda semplificata del registro dei trattamenti. Per i registri elettronici esistono diverse aziende che, dietro un piccolo corrispettivo o un abbonamento annuale, mettono a disposizione formulari aggiornati e/o spazi server per conservarli.
–
Fonti e Note:
Credits : Photo by Scott Graham on Unsplash
Puoi approfondire il tema del registro dei trattamenti, sul sito web del Garante della Privacy, “FAQ sul registro delle attività di trattamento”
Lascia un commento