LA COMPLIANCE NEL NUOVO REGOLAMENTO EUROPEO PRIVACY: IL REGISTRO DEI TRATTAMENTI E LA VALUTAZIONE DEI RISCHI / by Giampietro Malusa

La compliance aziendale in materia di dati personali prevista dal nuovo Regolamento (n. 2016/679, il testo ufficiale pubblicato nella GUCE è consultabile qui) trova uno dei suoi principali strumenti nel Registro delle attività di trattamento di dati personali (art. 30).

Tale Registro, tenuto a cura del Titolare del trattamento, dovrà essere messo a disposizione dell’Autorità Garante qualora lo richieda, e dovrà contenere:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi;
  • ove applicabile, i trasferimenti di dati personali verso paesi terzi e la loro identificazione; in taluni casi deve essere allegata la documentazione delle garanzie adeguate;
  • i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • una descrizione generale delle misure di sicurezza tecniche e organizzative.

Un Registro sostanzialmente analogo dovrà essere tenuto da ogni Responsabile del trattamento.

Tali Registri, che possono essere tenuti anche in formato elettronico, non sono obbligatori per i Titolari con meno di 250 dipendenti, salvo che il trattamento non comprenda dati sensibili, o non sia presente un rischio per i diritti e le libertà dell’interessato.

Una seconda, fondamentale, misura di compliance è costituita dalla valutazione dei rischi del trattamento di dati personali (art. 35), effettuata su più livelli.

Una prima valutazione dovrà stabilire se vi sono rischi, e la gravità di tali rischi, per i diritti e le libertà degli interessati.

Se poi un trattamento, in considerazione delle tecnologie utilizzate, della natura, dell'oggetto, del contesto e delle finalità, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento (consultandosi con il DPO, Data Protection Officer, laddove esistente) dovrà effettuare, prima di procedere, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali (DPIA, Data Protection Impact Assessment).

La valutazione d'impatto sulla protezione dei dati è richiesta in particolare nel caso di:

  • valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente sugli interessati;
  • trattamento, su larga scala, di categorie particolari di dati personali (sensibili o giudiziari)
  • la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

La valutazione dovrà contenere almeno:

  • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento;
  • una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • una valutazione dei rischi per i diritti e le libertà degli interessati;
  • le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento.

In taluni casi, gli esiti della valutazione d’impatto dovranno condurre a una interlocuzione con l’Autorità Garante.

Un elenco più specifico delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati dovrà essere stilato dalla medesima Autorità.