Con il nuovo Regolamento Generale sulla Protezione dei Dati (GDPR), le aziende che elaborano dati dovranno assicurarsi di avere registrazioni dettagliate di ciò che fanno con i dati.

L‘articolo 30 recita: “Ciascun titolare del trattamento e, se del caso, il suo rappresentante, conserva un registro delle attività di trattamento sotto la propria responsabilità”.

Il Il GDPR sancirà la fine di ogni distinzione tra registri interni ed esterni. Ora c’è un solo tipo di registrazione, quella interna, che deve essere messa a disposizione delle autorità di vigilanza su loro richiesta.

In casi estremi, il mancato rispetto dei requisiti del GDPR potrebbe comportare per la tua organizzazione una multa fino a 20 milioni di euro o al 4% del fatturato globale annuo, se superiore.

Controllore o processore

Titolare o Responsabile del trattamento dei dati

Se la tua organizzazione è quella che decide a quale scopo raccogliere i dati o come raccoglierli, allora sei un responsabile del trattamento dei dati.

Tuttavia, se stai effettuando il trattamento per conto di un’altra organizzazione, allora sei un responsabile del trattamento. È probabile che la tua organizzazione sia sia responsabile che incaricato del trattamento.

Il nuovo regolamento GDPR prevede una serie di requisiti rigorosi sia per i titolari che per i responsabili del trattamento dei dati. Il regolamento prevede che tu debba registrare:
1) I tuoi dati organizzativi e i dati di contatto del tuo responsabile della protezione dei dati. Inoltre, se la tua azienda non si trova all’interno dell’UE, devi fornire i dettagli del tuo rappresentante designato nell’UE
2) Una descrizione delle misure di sicurezza che hai adottato per proteggere i dati. Ciò include sia misure di sicurezza tecniche, come la crittografia, sia misure di sicurezza organizzative, ad esempio restrizioni interne su chi ha accesso a quali parti della rete
3) Per i trasferimenti di dati al di fuori del SEE, le organizzazioni dovranno documentare il luogo in cui i dati vengono trasferiti e le misure di sicurezza adottate per proteggerli.

Articolo 30 – Cosa significa per il Controllore?

Se il tuo ruolo è quello di responsabile del trattamento, l’onere di determinare lo scopo del trattamento dei dati spetta a te.

Dovrai inoltre registrare i tipi di persone con cui stai lavorando e i tipi di dati con cui stai lavorando, che inevitabilmente variano a seconda della natura della tua attività.

Se sei un responsabile del trattamento, dovrai anche registrare i tipi di destinatari a cui divulgherai i dati. È inoltre responsabilità del responsabile del trattamento documentare il periodo di tempo in cui si prevede di conservare ogni categoria di dati prima di cancellarli.

Articolo 30 – Cosa significa per il Processore?

Se sei l’incaricato del trattamento, dovrai occuparti della documentazione dei dati. Dovrai registrare:
– I nomi e i dati di contatto del responsabile del trattamento per il quale stai elaborando i dati
– I dati del DPO del responsabile del trattamento (se ne ha uno) e del suo rappresentante se non ha sede nell’UE.

Questo può sembrare poco impegnativo, ma devi tenere presente che un incaricato del trattamento medio, ad esempio un’agenzia di marketing, tratta i dati per conto di numerosi clienti. Questi dati devono essere registrati anche per ogni responsabile del trattamento per conto del quale l’incaricato elabora i dati.

Inoltre, gli incaricati del trattamento devono documentare le diverse categorie di trattamento effettuate per conto di ciascun responsabile del trattamento. Il GDPR definisce il trattamento come: “”qualsiasi operazione o insieme di operazioni compiute su dati personali o su insiemi di dati personali, con o senza l’ausilio di mezzi automatizzati, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la divulgazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, l’allineamento o l’interconnessione, la limitazione, la cancellazione o la distruzione””.

Con così tante variabili, puoi capire come questo possa diventare un problema complesso molto rapidamente.

Cos’altro c’è da sapere sull’Articolo 30?

Cos'altro c'è da sapere sull'Articolo 30?

Molti sono impreparati a questo livello di conformità alla protezione dei dati. Dovranno adottare rapidamente linee guida sulla privacy mature, in grado di verificare le attività di trattamento in più dipartimenti, aziende e mercati.

Devi avere un registro di tutti i trattamenti dei dati, indipendentemente dal fatto che siano in formato scritto o elettronico, e deve essere a disposizione dell’autorità di vigilanza locale quando questa lo richiede.

Preparazione all’Articolo 30

È necessario identificare le funzioni aziendali rilevanti e le attività di trattamento dei dati di terzi e creare un registro dei dati personali. Le politiche e le informative sulla privacy devono essere aggiornate e il personale interno deve essere messo al corrente del GDPR in relazione alla propria mansione.

In un contesto più ampio, il fulcro del GDPR risiede nella sua enfasi sulla responsabilità. È necessario stabilire una catena di responsabilità a livello di dipartimento, azienda e organizzazione per mantenere una gestione coerente degli incidenti, dei processi operativi e delle attività di reporting. Puoi leggere ulteriori informazioni sull’importanza della responsabilità nel nostro precedente blog  qui.

Se desideri un ulteriore aiuto per il tuo progetto GDPR, puoi venire a trovarci in una delle nostre tappe nell’ambito del nostro roadshow GDPR for Dummies, che arriverà presto in una città vicina a te. Registrati per le colazioni gratuite  qui.

Abbiamo anche creato MetaPrivacy, una soluzione GDPR appositamente studiata per aiutare la tua azienda ad affrontare l’articolo 30. Per ulteriori informazioni su MetaPrivacy e sulle altre risorse GDPR, visita il sito  qui.