Il Registro dei trattamenti

Quando è necessario realizzare il registro dei trattamenti?

E’ Sempre opportuno predisporre il Registro dei trattamenti perché è un documento di analisi iniziale dei “processi interni” legati al trattamento dei dati personali.

Forma del registro?

Il Registro deve essere tenuto in forma scritta ma anche in formato elettronico (foglio excel).

Chi è tenuto ad adottare il registro dei trattamenti?

Pubblica Amministrazione; imprese o organizzazioni con almeno 250 dipendenti (art. 30, paragrafo 5).

Professionisti o imprese o organizzazioni che svolgono attività di trattamenti relativi a categorie particolari di dati, o relativi a condanne penali e reati.  Ad esempio Studi legali che operano nei settori del Diritto Penale, Diritto del Lavoro, Diritto Sanitario, Infortunistica stradale, ma anche Associazioni, Fondazioni; Associazioni Sindacali, Istituti Religiosi ecc.).

Il Garante per la protezione dei dati personali nelle FAQ riporta che il Registro deve essere redatto dai Titolari del trattamento con almeno un dipendente.

Principio di sicurezza

Tra i principali elementi da includere nel Registro dei trattamenti vi sono le misure di sicurezza. I nostri consulenti sono a disposizione per supportarvi nell’analisi delle misure implementate. Essi, sono inoltre, in grado di supportarvi nelle esecuzione di specifici attività di assessment sulla vostra infrastruttura informatica.

I dati personali devono essere “trattati” in maniera da garantire un’adeguata sicurezza degli stessi, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza») (art. 5, par. 1, lettera f)).
L’art. 32, fissa alcuni principi fondamentali. In particolare le misure di sicurezza devono essere approntate “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”. Non si tratta di un’obbligazione di risultato, bensì un’obbligazione di mezzi.
L’allegato B del D. Lgs 196/03 (abrogato dal D. Lgs 101/18) è una valida base di partenza per valutare le misure di sicurezza. Esse si dividono misure organizzative e misure tecniche.

Le misure di sicurezza devono garantire:

Riservatezza, ovvero i dati possano essere consultati, modificati, divulgati o cancellati solo dalle persone autorizzate a farlo.

Integrità, ovvero i dati trattati siano accurati e completi;

Disponibilità, ovvero i dati devono essere sempre accessibili e utilizzabili. In caso di perdita, modifica o distruzione accidentale, bisogna essere in grado di recuperarli e prevenire danni alle persone interessate.

Le misure di sicurezza sono sia fisiche che informatiche

Per predisporre le misure di sicurezza si deve tener conto dei seguenti fattori: qualità di porte e serrature; protezione dei locali con allarmi, illuminazione di sicurezza o telecamere; controllo dei visitatori; smaltimento dei rifiuti cartacei o elettronici; sicurezza apparecchiature informatiche; la sicurezza: online (sito web o applicazioni online); della rete e dei sistemi di informazione; dei dati conservati nel sistema; dei devices, in particolare quelli personali usati per motivi aziendali.
Per la predisposizione delle misure di sicurezza bisogna effettuare l’analisi del rischio. Un esempio classico riguarda la dismissione delle stampanti con memoria, senza aver provveduto a cancellare la memoria stessa. Questo comportamento porta all’astratta possibilità che un terzo possa acquisire le immagini ottiche degli ultimi documenti stampati o scansionati.