Il Registro dei Trattamenti è una delle novità introdotte dal GDPR, il Regolamento Europeo n. 2016/679 in materia di protezione dei dati personali che sarà pienamente applicabile dal maggio del 2018 e a cui tutte le aziende che trattano dati, startup comprese devono adeguarsi. Il Registro dei trattamenti è un processo attraverso il quale il Titolare deve tenere traccia documentale delle operazioni di trattamento effettuate indicando una serie di informazioni di dettaglio, quali le finalità del trattamento, le categorie di interessati e dei dati personali, la base giuridica su cui si fonda, il periodo di conservazione dei dati, gli eventuali trasferimenti verso Paesi terzi e le misure di sicurezza applicate. Il Registro dei Trattamenti, nelle intenzioni del legislatore, rappresenta uno strumento gestionale per consentire un governo più efficace della data protection all’interno dell’organizzazione. Solo conoscendo nel dettaglio i trattamenti effettuati è infatti possibile verificare che gli obblighi normativi siano costantemente rispettati. Ma la tenuta del registro è obbligatoria anche per le startup? In teoria no: l’art. 30, comma 5, del GDPR esonera dall’obbligo di tenuta del Registro dei trattamenti le imprese con meno di 250 dipendenti, ma introduce anche un’eccezione dicendo che non vi è l’obbligo ‘a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, non sia occasionale o includa il trattamento di categorie particolari di dati (es. dati biometrici, dati sanitari, ecc,) o i dati personali relativi a condanne penali’. In sintesi, ciò che determina l’obbligatorietà della tenuta o meno del registro è la rischiosità dei trattamenti, a prescindere dalla dimensione dell’impresa. Il Garante italiano per la protezione dei dati personali caldeggia la tenuta del Registro dei Trattamenti a imprese di ogni dimensione. Così si esprime – La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta. I contenuti del registro sono fissati, come detto, nell’art. 30; tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei trattamenti svolti. Per saperne di più leggi questo articolo.
© RIPRODUZIONE RISERVATA