Registro G.D.P.R. Trattamenti dati personali del Responsabile - Gruppo Buffetti DU1331R0100

Gruppo Buffetti - Settore Modulistica

Comunicazione n.20 del 25 maggio 2018

-

PRIVACY: I NUOVI REGISTRI DEI TRATTAMENTI DATI PERSONALI

-

 Il 25 maggio 2018 entra ufficialmente in vigore in Italia il G.D.P.R. (General Data Protection Regulation) cioè il nuovo regolamento comunitario in materia di Privacy.

Il Regolamento all’art 30 individua due distinti registri:

• il registro ad uso del Titolare del trattamento codice 1331T0100 (il Titolare è colui che determina le finalità e i mezzi con cui sono trattati i dati personali, individuabile di solito nel rappresentante legale);
• il registro ad uso del Responsabile del trattamento codice 1331R0100 (il Responsabile è colui che tratta effettivamente i dati per conto del Titolare).

A chi devono essere proposti

Per gli artigiani, i lavoratori autonomi, i piccoli studi professionali ma anche le aziende con un numero limitato di dipendenti gli adempimenti previsti dal nuovo GDPR sono tutto sommato limitati. I registri, che devono essere tenuti in forma scritta/cartacea, sono ufficialmente obbligatori infatti per imprese da 250 e più dipendenti.

Nel caso di imprese di minori dimensioni, nostri clienti abituali, l’obbligo del registro scatta però se le operazioni di trattamento mettano a rischio i dati degli interessati (per es. dipendenti, collaboratori, fornitori, clienti e via dicendo) oppure vengano trattati dati sensibili (malattie per es.) o dati giudiziari oppure il trattamento dei dati sia effettuato in modo continuativo cioè non occasionale.

Il principio di fondo è quello dell’account-ability, ossia della responsabilizzazione, per cui è il titolare del trattamento di eventuali dati che deve valutare, a prescindere dalle dimensioni dell’organizzazione, l’eventuale impatto del rischio di violazione privacy e mettere a punto tutte le misure tecniche e organizzative ritenute idonee ad assicurare il rispetto del diritto alla riservatezza (criptazione dati, backup, recupero dati…) degli interessati così come prevede il regolamento, a maggior ragione se sono dati sensibili.

 Perché devono essere proposti

Il Responsabile dell’organizzazione (azienda, studio etc.) deve essere sempre in condizione di dimostrare:

• che ha acquisito i dati personali a ragione della sua attività;

• la legittimità dei trattamenti dei dati personali acquisiti;
• di aver adottato procedure certe e trasparenti e di aver fatto tutto quanto in suo potere per proteggere i dati personali da qualsivoglia violazione.    

Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative.

  Il contenuto dei registri

Il contenuto base dei registri proposti è stato definito dal Regolamento UE, ma esso può essere ampliato dai rispettivi responsabili ed è per questo motivo che abbiamo previsto all’interno alcune colonne e spazi multiuso in bianco/generici per accogliere anche informazioni supplementari, che il compilatore trovi “utili” nell’adempimento del suo compito.

Come si compilano i registri

Di seguito le voci riportate sui registri (quelle in grassetto sono espressamente previste dal regolamento e quindi costituiscono il contenuto minimo obbligatorio):

• il nome (e indirizzo) e i dati di contatto (telefono, e-mail, Pec) del titolare del trattamento, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati, del responsabile del trattamento etc.: insomma vanno chiaramente identificati i soggetti coinvolti nel trattamento;
•  Trattamento: Nel caso dell’ufficio del personale il trattamento da indicare potrebbe essere per es. la gestione paghe;
• le finalità del trattamento: indicare cioè per quale fine sono trattati i dati. Nel caso dell’ufficio del personale potrebbero essere ad es. finalità anagrafiche, iscrizioni sindacali, certificati di malattia, maternità ecc.;
•  L’Ufficio/Settore:  indicare chi gestisce materialmente i dati personali, per es. l’ufficio del personale, che può essere identificato anche attraverso una sigla;
• una descrizione degli interessati o categorie di interessati (dipendenti, liberi professionisti, collaboratori, tirocinanti, apprendisti ecc.) e delle categorie di dati personali acquisiti e trattati (per dato personale si intende qualsiasi informazione che attiene alla persona fisica identificata o identificabile direttamente o indirettamente, ad esempio attraverso nome, numero di identificazione, ubicazione, identificativo online, elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale). L’articolo 9 del GDPR precisa che: "È vietato trattare dati personali – i famosi dati sensibili - che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona”. Il divieto non si applica in presenza di consenso esplicito o di necessità per assolvere gli obblighi di legge.