Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

GDPR Day 2019 - Il Registro delle Attività di Trattamento

344 views

Published on

Relatore: Avv. Adriana Augenti, Segretario del Centro Studi Informatica Giuridica (CSIG Bari) e Vice Presidente del Centro Studi Processo Telematico. Data Protection Officer dell’Ordine degli Avvocati di Bari e tra i maggiori esperti italiani di GDPR

È il documento che contiene le principali informazioni in merito all’attività di trattamento dei dati personali svolte dal Titolare e dagli eventuali responsabili del trattamento.
È il primo e principale strumento di Accountability, “idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio” (dalle FAQ del Garante).
Dopo un’analisi dei soggetti obbligati al rispetto dell’obbligo di tenuta, l’intervento mira ad esporre in modo chiaro e conciso le principali tecniche di redazione del Registro delle attività di trattamento.

Published in: Law
  • Be the first to comment

  • Be the first to like this

GDPR Day 2019 - Il Registro delle Attività di Trattamento

  1. 1. Avv. Adriana Augenti DPO Ordine Avvocati Bari
  2. 2. È un documento che contiene le principali informazioni in merito all’attività di trattamento svolte dal Titolare e dal Responsabile del Trattamento (eventuale). È uno dei principali elementi di Accountability del Titolare I registri sono tenuti in forma scritta anche in formato elettronico e su richiesta devono essere messi a disposizione dell'autorità di controllo. Adriana Augenti
  3. 3. La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri
  4. 4. SOGGETTI 1 Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (4) 2 Destinatario: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi (4) 3 Terzo: … che non sia l'interessato, il titolare del trattamento dei dati, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile (4) 4 Contitolare: Sono contitolari del trattamento coloro i quali concorrono a determinare le finalità e i mezzi del trattamento (26) 5 Soggetto autorizzato: … non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri (29)
  5. 5. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento
  6. 6. WHIT GREAT POWER COME GREAT RESPONSABILITY
  7. 7. WHIT GREAT POWER COME GREAT RESPONSABILITY
  8. 8. Per dimostrare che si conforma al presente regolamento,il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità.Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l'autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per controllare detti trattamenti
  9. 9. L'obbligo della tenuta del registro e sancito dal regolamento solo per le imprese e organizzazioni con 250 dipendenti oltre, salvo che il trattamento non presenti rischio, anche non elevato, per i diritti e le libertà dell'interessato il trattamento non sia occasionale Il trattamento includa categorie particolari di dati (ex sensibili) o dati personali relativi a condanne penali per reati. Adriana Augenti
  10. 10. Sono tenute anche le associazioni, fondazioni e comitati esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.); liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale); associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d.“vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni contro le discriminazioni; associazioni sportive con riferimento ai dati sanitari; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso); il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali) Adriana Augenti
  11. 11. SIAMO ESONERATI?
  12. 12. SIAMO ESONERATI?
  13. 13. IL REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO (30) Attività di trattamento svolte sotto la responsabilità del titolare e del Responsabile del Trattamento. Deve contenere: ▪ il nome dei dati di contatto del titolare del rappresentante del titolare e del responsabile della protezione dei dati; ▪ le finalità del trattamento; ▪ una descrizione delle categorie di interessati e delle categorie di dati personali; ▪ le categorie dei destinatari a cui i dati sono stati e saranno comunicati, compresi i destinatari di paesi terzi o organizzazioni internazionali; ▪ qualora i dati vengano effettivamente trasferiti verso paesi terzi l'indicazione di tali paesi, nonché la documentazione delle garanzie adeguate; ▪ ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; ▪ ove possibile, una descrizione generale delle misure tecniche e organizzative per la sicurezza dei dati. Adriana Augenti
  14. 14. La “finalità del trattamento” va distinta per tipologia di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini). È opportuno indicare la base giuridica del trattamento Con riferimento al “legittimo interesse”, il registro potrebbe riportare la descrizione del legittimo interesse concretamente perseguito, le “garanzie adeguate” eventualmente approntate, nonché, ove effettuata, la preventiva valutazione d’impatto posta in essere dal titolare In caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2del RGPD; in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del RGPD Adriana Augenti
  15. 15. Nella “descrizione delle categorie di interessati e delle categorie di dati personali”andranno specificate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.); Adriana Augenti
  16. 16. Tra “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento– siano trasmessi i dati da parte del titolare (es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento). Adriana Augenti
  17. 17. TRASFERIMENTI EXTRA UE Nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.) Adriana Augenti
  18. 18. Come “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es.“in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es.“in caso di contenzioso, i dati saranno cancellati al termine dello stesso”). Adriana Augenti
  19. 19. MASSIMARIO DI SCARTO TEMPI PREVISTI DALLA NORMATIVA DI SETTORE ARCHIVIO CORRENTE (PER LE PA: NORMATIVA ACCESSO CIVICO) ARCHIVIO DI DEPOSITO ARCHIVIO STORICO
  20. 20. “Descrizione generale delle misure di sicurezza”: andranno indicate le misure tecnico- organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP. La lista andrà aggiornata di volta in volta tenuto conto degli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.). Adriana Augenti
  21. 21. Il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute. Il Registro può essere compilato sia in formato cartaceo sia elettronico È opportuno contenga la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. Adriana Augenti
  22. 22. …deve in ogni caso recare,in maniera verificabile,la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento…
  23. 23. IL REGISTRO DEL RESPONSABILE (30 PAR 2) Il responsabile del trattamento tiene un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare” Suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce Troppi Titolari → rinvio a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2 del RGPD Nella «descrizione delle categorie di trattamenti effettuati» è possibile far riferimento a quanto contenuto nel contratto di designazione Adriana Augenti
  24. 24. Informativa - disclaimer L' notiz' ind a stu m'ssagg e ind' all'allgat' potn' jes pr'vat' e avonn' a scì asslut a cudd' dà! C' t'azzard a disc' u fatt' a chiddaltr', c' u copiesc', c' u dà a cuddalt' angor', n'tir o nu stezzaridd, c' tu nn zì u c'mpagn' mì ti ha tagghjà l' man, e non n' stà p' nisciun'! (art. 616 c.p. e GDPR) C' non sì tu e sò sbagghjat' je ... meh e scus! Cancidd tutt'quand! Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non Commerciale – Condividi allo stesso modo 4.0 Internazionale. Se vuoi sapere cosa puoi fare/non fare clicca sulla la licenza.

×