F.A.Q. Registro dei Trattamenti

Il Garante per la Protezione dei Dati Personali ha pubblicato, in una apposita pagina, le faq sul Registro dei Trattamenti; ne avevo parlato pochi giorni orsono.

Relativamente alle aziende private, i soggetti obbligati ad averlo ed aggiornarlo sono così individuabili:

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Sono quindi individuati alcune tipologie di titolari del trattamento che debbono provvedere alla tenuta del Registro dei Trattamenti:

  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
  • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
  • il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Registro dei trattamenti – art. 30 GDPR

Come sappiamo, il Regolamento EU 679/2016 introduce, all’art. 30, l’obbligo per i Titolari di dotarsi del registro dei trattamenti.

L’obbligo non si applica alle organizzazioni con meno di 250 dipendenti, ma il Garante, gli Organi di Controllo ed i vari esperti ne consigliano la tenuta (e l’aggiornamento continuo, aggiungerei).

Come discriminante generale direi che i Titolari che trattano dati particolari di terzi, diversi da quelli dei dipendenti, debbono avere il Registro dei Trattamenti.

Il registro è tenuto in forma scritta o (meglio) anche in formato elettronico; non è strettamente necessario acquistare un software apposito in quanto, nelle “organizzazioni classiche”, si tratta di un documento abbastanza semplice da realizzare.

Ho predisposto un apposito documento di Excel con alcuni campi predeterminati ed alcune piccole automazioni, che supporta la produzione ed il mantenimento del  registro dei trattamenti per studi professionali e PMI non IT.

I clienti sono invitati a richiedere il documento (compreso nel servizio di consulenza GDPR).

Aggiornamento: sono state pubblicate le F.A.Q. sul Registro dei Trattamenti

GDPR e videosorveglianza

GDPR e videosorveglianza; cosa cambia?

Come tutti sappiamo, un sistema di videosorveglianza (anche quelli che non registrano immagini) determina un sistema di trattamento di dati personali (tra l’altro, particolarmente invasivo della privacy e potenzialmente lesivo dei diritti personali).

Dopo il 25 maggio, il Regolamento UE 679/2016 ha effetto anche sui sistemi di videosorveglianza, che debbono esservi “compliant”.

Quali sono i cambiamenti più rilevanti?

Intanto il GDPR concede diversi nuovi diritti ai soggetti interessati; come consequenza diretta, occorrerà rivedere le informative estese (non i cartelli esposti al limite delle aree sorvegliate).

Il Regolamento introduce anche il concetto di “accountability” (responsabilizzazione); ciò assegna al titolare del trattamento ogni decisione e responsabilità derivanti, in merito alla implementazione di un impianto di videosorveglianza.

Si riporta l’estratto dal provvedimento 8235119 – 22 febbraio 2018 del Garante per la Protezione dei Dati Personali:
Si tenga comunque presente che, a decorrere dal 25 maggio 2018, data di applicazione del Regolamento (UE) 2016/679, il titolare del trattamento in ossequio al principio di responsabilizzazione di cui all´art. 24 dovrà valutare autonomamente la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia nonché la necessità di effettuare, in particolare, una valutazione di impatto ex art. 35 del citato Regolamento ovvero attivare la consultazione preventiva ai sensi dell´art. 36 del Regolamento medesimo.

Quindi taluni “particolari” sistemi di videosorveglianza dovranno essere soggetti a DPIA preventiva, al posto della precedentemente prevista (e comoda) verifica preliminare a cura della Autorità Garante.

Inoltre, tutti i sistemi di videosorveglianza sono soggetti ai nuovi principi di Privacy by Design & Privacy by Default.

Dobbiamo anche da valutare se predisporre (e manutenere) il famigerato Registro dei Trattamenti;  a mio avviso, qualora il sistema realizzi un trattamento di dati personali che sottoponga ad un rischio elevato la privacy degli interessati, il Registro è necessario.

Da ultimo, occorre valutare se necessiti la nomina del D.P.O. (sistemi complessi e distribuiti, trasferimento di flussi video, riconoscimento volti, analisi comportamentale, dati biometrici e/o geolocalizzazione, ecc…) e tenere bene a mente che il Data-Breach potrà accadere anche sui sistemi di videosorveglianza (l’effetto potrebbe essere devastante).