| dizionario | 2023-01-30 · NEW:  Appunta · Stampa · Cita: 'Doc 96282' · pdf |
Registro delle attività |
abstract:
E' facoltativo con meno di 250 dipendenti ma ci sono condizioni perchè sia necessario e comunque opportuno sempre.
Serve a documentare la compliance con il GDPR.
analisi:
index:
Indice
- Per capire quando sia dovuto tenerlo:
- Modifiche aziendali
- Convenienza
- La data certa
- Censimento statico o aggiornato ?
- Differenze
testo:
Il registro, chiamato anche "Records of processing activities" e' un registro dinamico.
Rispetto al precedente DPS, documento programmatico per la sicurezza, abrogato, questo e' finalizzato a documentare le attività, i processing, i trattamenti, non solo avere una fotografia delle risorse aziendali.
L'idea centrale e' che si debba poter consultare il registro per trovare subito le risorse in uso e le competenze, in quanto datato, annotando anche quando una risorsa o un Trattamento cessano.
L'art.30 descrive i due registri del Titolare e del fornitore.
Ovvio che il Responsabile del trattamento, il fornitore, debba averne uno come Titolare e uno come responsabile: non e' escluso che sia lo stesso, l'importante e' che possa mostrarlo al Titolare nei controlli annuali che il Titolare deve approntare.
Contenuti
L'elenco dei contenuti del registro e' puntuale. Merita leggerlo all'art.30 alla fonte.
Obbligatorio
Un esercizio tipico del #legaldesign è scomporre il testo su piu' righe, al comma 5, per capire quando sia dovuto tenerlo:
Gli obblighi di cui ai paragrafi 1 e 2
- non si applicano alle imprese o organizzazioni con
- meno di 250 dipendenti,
- a meno che
- il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato,
- il trattamento non sia occasionale o
- includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o
- i dati personali relativi a condanne penali e a reati di cui all'articolo 10.
Come vedete il salto logico e' espresso in modo complesso, ma si puo' capire se "sgranato" su piu' linee gerarchicamente strutturate.
Modifiche aziendali
Nel concreto il registro dei trattamenti (che non e' il fantomatico Registro dei consensi di cui parleremo altrove), e' lo strumento principe per difendersi in caso di controllo, e ricordarsi cosa si era fatto a distanza anche di anni, soprattutto dopo fusioni, cessioni, incorporazioni e altri fenomeni traslativi di aziende.
Convenienza
Vale la pena tenerlo. In che forma ? Anche elettronico, salvo poi avere interpretazioni ufficiali che, dovendo dimostrare la data (sarebbe necessaria la data pubblica), e' opportuno usare strumenti di firma digitale con crittografia asimmetrica, e persino documentazione sostitutiva, ma questo e' contro lo spirito letterale del testo e delle linee guida europee.
La data certa
Se, in caso di controllo, trovano (la GDF) il registro e le annotazioni datate, non vi e' motivo per metterne in dubbio le risultanze, dal punto di vista del Garante, salvo non vi siano contraddizioni, che il Garante cerca subito tramive la collaborazione dei praticanti, sin dal primissima fase di raccolta di indagini.
Censimento statico o aggiornato ?
Ovvio che avere una fotografia che descriva ad una certa data la situazione di tutti i trattamenti, e non solo quella storica, aiuta i controlli: ecco perche' il modello semplificato proposto dal Garante italiano e' utile. Ma insufficiente per documentare le variazioni periodiche se non si ha una rigidissima impostazione organizzativa dei documenti (cartacei o elettronici non importa).
Il modello della Cnil ha un approccio diverso: una fotografia attuale completissima di ogni aspetto, seguendo letteralmente le indicazioni del GDPR.
Differenze
Il registro dei trattamenti non ha nulla a che vedere con il registro dei consensi.
Testo del 2023-01-30
Dizionario Altre chiavi solo per gli iscritti