I provvedimenti spiegati alle aziende
con guide, checklist, modelli; AI assisted
Osservatorio a cura del dott. V. Spataro 



   dizionario 2023-01-30 ·  NEW:   Appunta · Stampa · Cita: 'Doc 96282' · pdf
  

Registro delle attività

abstract:


E' il registro che titolare, e fornitore, devono tenere ex art 30 gdpr.

E' facoltativo con meno di 250 dipendenti ma ci sono condizioni perchè sia necessario e comunque opportuno sempre.

Serve a documentare la compliance con il GDPR.

analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni


index:

Indice

  • Per capire quando sia dovuto tenerlo:
  • Modifiche aziendali
  • Convenienza
  • La data certa
  • Censimento statico o aggiornato ?
  • Differenze

testo:

I

Il registro, chiamato anche "Records of processing activities" e' un registro dinamico.

Rispetto al precedente DPS, documento programmatico per la sicurezza, abrogato, questo e' finalizzato a documentare le attività, i processing, i trattamenti, non solo avere una fotografia delle risorse aziendali.

L'idea centrale e' che si debba poter consultare il registro per trovare subito le risorse in uso e le competenze, in quanto datato, annotando anche quando una risorsa o un Trattamento cessano.

L'art.30 descrive i due registri del Titolare e del fornitore.

Ovvio che il Responsabile del trattamento, il fornitore, debba averne uno come Titolare e uno come responsabile: non e' escluso che sia lo stesso, l'importante e' che possa mostrarlo al Titolare nei controlli annuali che il Titolare deve approntare.

Contenuti

L'elenco dei contenuti del registro e' puntuale. Merita leggerlo all'art.30 alla fonte.

Obbligatorio

Un esercizio tipico del #legaldesign è scomporre il testo su piu' righe, al comma 5, per capire quando sia dovuto tenerlo:

Gli obblighi di cui ai paragrafi 1 e 2

  • non si applicano alle imprese o organizzazioni con
    • meno di 250 dipendenti,
      • a meno che
        • il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato,
        • il trattamento non sia occasionale o
        • includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o
        • i dati personali relativi a condanne penali e a reati di cui all'articolo 10.

Come vedete il salto logico e' espresso in modo complesso, ma si puo' capire se "sgranato" su piu' linee gerarchicamente strutturate.

Modifiche aziendali

Nel concreto il registro dei trattamenti (che non e' il fantomatico Registro dei consensi di cui parleremo altrove), e' lo strumento principe per difendersi in caso di controllo, e ricordarsi cosa si era fatto a distanza anche di anni, soprattutto dopo fusioni, cessioni, incorporazioni e altri fenomeni traslativi di aziende.

Convenienza

Vale la pena tenerlo. In che forma ? Anche elettronico, salvo poi avere interpretazioni ufficiali che, dovendo dimostrare la data (sarebbe necessaria la data pubblica), e' opportuno usare strumenti di firma digitale con crittografia asimmetrica, e persino documentazione sostitutiva, ma questo e' contro lo spirito letterale del testo e delle linee guida europee.

La data certa

Se, in caso di controllo, trovano (la GDF) il registro e le annotazioni datate, non vi e' motivo per metterne in dubbio le risultanze, dal punto di vista del Garante, salvo non vi siano contraddizioni, che il Garante cerca subito tramive la collaborazione dei praticanti, sin dal primissima fase di raccolta di indagini.

Censimento statico o aggiornato ?

Ovvio che avere una fotografia che descriva ad una certa data la situazione di tutti i trattamenti, e non solo quella storica, aiuta i controlli: ecco perche' il modello semplificato proposto dal Garante italiano e' utile. Ma insufficiente per documentare le variazioni periodiche se non si ha una rigidissima impostazione organizzativa dei documenti (cartacei o elettronici non importa).

Il modello della Cnil ha un approccio diverso: una fotografia attuale completissima di ogni aspetto, seguendo letteralmente le indicazioni del GDPR.

Differenze

Il registro dei trattamenti non ha nulla a che vedere con il registro dei consensi.

Testo del 2023-01-30




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


Ricevi gli aggiornamenti su Registro delle attività e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza