Confindustria Firenze, in linea con l’attività sinora intrapresa sugli adempimenti necessari per adeguarsi alla nuova normativa, offre ai propri associati uno strumento utile per adempiere alle novità introdotte dal GDPR che entrerà in vigore il prossimo 25 maggio.
In allegato sono riportate le versioni aggiornate del Modello di Registro delle attività di trattamento ed il relativo glossario predisposte da Confindustria sulla base delle indicazioni e sollecitazioni ricevute dal Garante della Privacy.
L’Autorità Garante (doc. allegato) ha risposto ad una serie di quesito posti da Confindustria, anche con riferimento alla figura del responsabile del trattamento a seguito delle novità introdotte dalla Legge Europea 2017.
Di seguito vi riassumiamo alcuni dei contenuti della lettera:
- Registro delle attività di trattamento rappresenta un aspetto di particolare rilievo del nuovo quadro normativo europeo costituendo uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, alla base di ogni attività di valutazione o analisi del rischio. Tale registro è obbligatorio per tutti i titolari/responsabili del trattamento, con un’unica eccezione per imprese con meno di 250 dipendenti che non effettuino trattamenti c.d.“rischiosi”. E’ opportuno precisare che le organizzazioni con meno di 250 dipendenti non rientranti nella deroga a causa dei trattamenti effettuati, potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle specifiche attività “rischiose”.
- con riferimento alle “categorie di destinatari a cui i dati sono stati o saranno comunicati”: in tale sezione andranno indicati, anche semplicemente per categoria di appartenenza, non solo gli altri titolari cui i dati siano comunicati, ma anche gli eventuali responsabili del trattamento nominati dal titolare;
- Responsabile del Trattamento: tale soggetto deve essere designato ai sensi dell’art. 28 del RGPD, ovvero con un contratto (o altro atto giuridico vincolante) il cui contenuto minimo è espressamente individuato dalla normativa di riferimento: può essere opportuno valutare, alla luce del RGPD, i rapporti già in essere con eventuali soggetti esterni cui siano conferite attività di trattamento di dati personali, al fine sia di verificare la necessità di intervenire con la designazione a responsabile del trattamento, ove non ancora effettuata, sia nell’ottica di apportare ai rapporti già in atto le necessarie integrazioni o modifiche, specialmente in materia di misure di sicurezza o designazione dei sub-responsabili. Il titolare deve preventivamente autorizzare per iscritto il responsabile ove questi ricorra ad altri sub-responsabili e deve essere tempestivamente informato di ogni eventuale modifica riguardante l’aggiunta o la sostituzione dei sub-responsabili; ciò al fine di consentire al titolare di conoscere i soggetti esterni cui sono affidate in tutto o in parte le attività di trattamento dei dati personali.
- Se le attività di trasmissione dei dati ad altri soggetti integrino al contempo un’attività di trasferimento verso Paesi terzi, si fa presente che tale informazione dovrà essere riportata nell’apposita sezione del registro a ciò dedicata unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie adeguate” adottate: precisare che, in via residuale e solo a determinate condizioni è possibile trasferire, con riferimento per lo più a trattamenti di carattere meramente occasionale, dati personali nell’ambito delle c.d. “deroghe”(ad esempio: il consenso esplicito dell’interessato o l’esecuzione di un contratto concluso con il titolare o tra il titolare e un terzo a favore dell’interessato).
- Trattamenti posti in essere per perseguire il legittimo interesse del titolare o di un terzo: devono essere esplicitate all’interno del registro, sia il legittimo interesse in concreto perseguito sia le garanzie adeguate ivi approntate, nonché, ove effettuata, l’eventuale valutazione d’impatto posta in essere.
- Termini di cancellazione: individuazione alcuni termini di cancellazione “tipizzabili” per tipologie di trattamento (es. in caso di rapporto contrattuale, 10
anni dall’ultima registrazione in ragione del generale obbligo di conservazionedelle scritture contabili di cui all’art. 2220 del codice civile ecc.) - Misure sicurezza: il fac-simile fornito è una lista aperta e non esaustiva, essendo ad ogni modo rimessa al titolare e al responsabile la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Tale lista ha di per sé un carattere dinamico dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi.
Contatti:
d.ssa Enrica Masi tel. 055 2707219; e-mail: enrica.masi@confindustriafirenze.it
d.ssa Veronica Rovai tel. 055 2707277; e-mail: veronica.rovai@confindustriafirenze.it
d.ssa Stefania Rinaldo tel. 055 2707274; e-mail: stefania.rinaldo@confindustriafirenze.it
