di Valeria Zeppilli - Con l'entrata in vigore del Gdpr, è entrato in vigore anche l'obbligo, per determinate categorie di soggetti, di predisporre e curare il registro dei trattamenti.
Il titolare del trattamento, per mettersi in regola rispetto a tale obbligo, è tenuto a compiere una serie di adempimenti. Vediamo, passaggio per passaggio, cosa occorre fare.
Tipologia e finalità del trattamento
Innanzitutto è necessario individuare la tipologia e le finalità del trattamento.
Ciò vuol dire che bisogna rilevare e registrare tutti i processi interni che prevedono il trattamento dei dati personali e identificare i soggetti che sono incaricati della raccolta delle informazioni.
Individuata in tal modo la tipologia del trattamento, il secondo passaggio è quello di identificare le motivazioni per le quali i dati sono raccolti e trattati.
Categorie di dati
Compiute queste preliminari operazioni, il titolare del trattamento deve andare più a fondo e valutare se i dati trattati sono dati comuni o dati sensibili, ovverosia se si tratta di informazioni semplici, come ad esempio quelle anagrafiche o quelle relative ai contatti dell'interessato, o di informazioni particolari, come ad esempio quelle concernenti lo stato di salute o l'orientamento sessuale.
Destinatari e ambito di trattamento
Non bisogna poi dimenticare di identificare i soggetti coinvolti nel trattamento, ai quali potranno essere destinati i dati, e di indicare se vi sono dei flussi di trattamento diretti verso paesi esterni all'Unione Europea.
Tempi di conservazione e misure di sicurezza
Per ogni categoria di trattamento, è necessario inoltre indicare le tempistiche che servono o che sono stimate come necessarie per raggiungere la finalità per la quale i dati sono raccolti e trattati.
Vanno anche adeguatamente individuate le misure di sicurezza adottate per la tutela della privacy.
Valutazione di impatto
Infine, occorre valutare se vi sono dei trattamenti di dati che sono particolarmente rischiosi per i diritti e le libertà delle persone interessate e per i quali è quindi necessario eseguire una valutazione di impatto (Dpia -Data protection impact assessment).
Contenuto del registro dei trattamenti
Compiute tutte queste operazioni, si hanno le carte in regola per una corretta tenuta del registro dei trattamenti.
Ma cosa deve contenere esattamente il registro del titolare del trattamento?
A precisarlo è il comma 1 dell'articolo 30 del Gdpr. Si tratta, in particolare, delle seguenti informazioni:
"a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1".
Leggi anche:
- Gdpr: tutto quello che c'è da sapere
- Gdpr: ecco la privacy all'italiana
• Foto: 123rf.com
Servitù di passaggio
Muro al confine: le regole del codice civile
Divorzio breve
Separazione e divorzio: il reclamo in corte d'appello
Il consorzio: la disciplina del codice civile
Servitù di veduta
Interruzione della prescrizione
Interversione del possesso: cos'è