Soggetti designati? Chi sono?

Domanda: nel recente D.Lvo 101/18 sono stati introdotti i “soggetti designati”; si tratta di responsabili interni del trattamento?

Tutti sono alla ricerca disperata di una figura similare a quella degli ex responsabili interni (attribuzione solo italiana) in modo talmente cervellotico che ogni nuova figura introdotta si spera possa adattarsi a tale ruolo.

Leggiamo la parte del testo del D. Lvo 101/18 che vi fà menzione:

Capo IV (Disposizioni relative al titolare del trattamento e al responsabile del trattamento)
Art. 2-quaterdecies (Attribuzione di funzioni e compiti a soggetti designati).
1.  Il titolare o il responsabile del trattamento possono prevedere, sotto  la  propria responsabilita' e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di   dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorita'.

Mi spiace quindi dover comunicare che i soggetti designati sono coloro che svolgono specifici compiti e funzioni connessi al trattamento di dati personali, quindi si tratta delle figure precedentemente indicate dal D.LGS. 196/03 come incaricati al trattamento.

Registro dei trattamenti – art. 30 GDPR

Come sappiamo, il Regolamento EU 679/2016 introduce, all’art. 30, l’obbligo per i Titolari di dotarsi del registro dei trattamenti.

L’obbligo non si applica alle organizzazioni con meno di 250 dipendenti, ma il Garante, gli Organi di Controllo ed i vari esperti ne consigliano la tenuta (e l’aggiornamento continuo, aggiungerei).

Come discriminante generale direi che i Titolari che trattano dati particolari di terzi, diversi da quelli dei dipendenti, debbono avere il Registro dei Trattamenti.

Il registro è tenuto in forma scritta o (meglio) anche in formato elettronico; non è strettamente necessario acquistare un software apposito in quanto, nelle “organizzazioni classiche”, si tratta di un documento abbastanza semplice da realizzare.

Ho predisposto un apposito documento di Excel con alcuni campi predeterminati ed alcune piccole automazioni, che supporta la produzione ed il mantenimento del  registro dei trattamenti per studi professionali e PMI non IT.

I clienti sono invitati a richiedere il documento (compreso nel servizio di consulenza GDPR).

Aggiornamento: sono state pubblicate le F.A.Q. sul Registro dei Trattamenti

Il registro delle attività di trattamento

Il nuovo regolamento sulla protezione dei dati personali prevede che ogni titolare di trattamento che abbia oltre 250 dipendenti, debba tenere un registro delle attività di trattamento.
Ritengo che tale strumento possa costituire un valido aiuto anche per quelle realtà che ne sarebbero esonerate.
Il registro delle attività di trattamento costituisce il riferimento primario per tutte le attività di valutazione, auditing, supervisione, valutazione del rischio del titolare del trattamento e non da ultimo le attività ispettive e di controllo delle autorità incaricate.
Le moderne organizzazioni trattano molti dati personali, in diversi luoghi e con molti stumenti; inoltre intrattengono dei flussi informativi con altri titolari di trattamento.
Un registro che indichi chiaramente dove sono i dati, quali sono le finalità, come vengono trattati, da chi, quali sono i flussi, per quanto tempo verranno conservati e le misure di sicurezza applicate è uno strumento fondamentale, specialmente in caso di eventuali problemi.

Che sia realizzato con strumenti self-made (es. foglio di calcolo) oppure aquistando un applicativo ad-hoc, rimane lo strumento principale nelle mani del titolare del trattamento per capire i processi di trattamento dei dati personali, in essere presso le proprie strutture.

UPDATE: il Garante ne consiglia caldamente la redazione a tutte le realtà, anche coloro che non ne hanno l’obbligo.