GDPR. Il registro trattamento dati, scopriamo insieme chi deve averlo.

Come ormai tutti sanno nel Maggio del 2018 è entrato in vigore il nuovo regolamento europeo in materia di trattamento dei dati personali.

La nuova privacy che ha come sigla GDPR (general data protection regulation)

Dopo l’estate il garante ha pubblicato alcune linee guida per definire al meglio questa normativa.

Le trovate a questo Link: registro trattamento

Oltre alle cose già note come il consenso firmato, la nuova privacy sui siti, la custodia dei dati dei clienti in ambienti protetti ed altre cose che ormai sono note ai più, è uscita una nota chiarificatrice sul

▶️▶️▶️▶️ ATTENZIONE: Questo non sostituisce le cose che avete fatto da Maggio ad oggi, le integra.

E una cosa in più da fare e non prendetevela con me che la devo fare anche io ?

? Registro trattamento dei dati personali.

Ora prima di entrare nel dettaglio vediamo chi è obbligato a tenerlo sempre e comunque

1️⃣ tutte le aziende pubbliche Di qualsiasi tipo

2️⃣ tutte le aziende private con più di 250 dipendenti

3️⃣ qualunque azienda utilizzi, in maniera continuativa dati che identificano in maniera inequivocabile un persona

Per esempio un condominio, una farmacia che inserisca i codici fiscali in un gestionale per poi stamparli su uno scontrino, un qualsiasi artigiano che raccolga dati sensibili tipo codice fiscale o iban per emettere fattura o ricevuta fiscale, chiunque (parrucchieri, estetiste, pedicure, dentisti ) usi dati sensibili come peso, altezza, età, misure del corpo in maniera continuativa per trattamenti personalizzati

❌Un parrucchiere che fa solo taglio e messa in piega non deve fare il registro trattamenti, un parrucchiere che effettua trattamenti lenitivi contro la perdita dei capelli e tiene una scheda tecnica di un cliente DEVE farlo.

4️⃣ Chi abbia dipendenti che a loro volta trattino i dati del cliente, solo se questi sono dati sensibili (codice fiscale, età, residenza etc..)

qui potete trovare un elenco di quello che il garante intende per dati personali Dati personali

qui invece un elenco di quello che si intende per dati sensibili dati sensibili

Fatta un po’ di storia veniamo al punto più problematico ovvero che non esiste un modello standard al quale adeguarsi, diversamente dall’haccp per le aziende alimentari.

Il garante nel suo sito non dice chiaramente come vada fatto e lo si legge molto bene in questo articolo

cos’e Il gdpr

Il mio avvocato mi sparerà quando leggerà questa frase ma in pratica: Ci dicono che va fatto ma non sanno bene nemmeno loro come vada fatto. In fondo siamo in Italia

Cerchero di fare un po’ di chiarezza

✅ Per prima cosa si deve identificare chiaramente chi può farlo e chi vi può avere accesso

Il titolare dell’attivita

Il responsabile trattamento dati

Eventuali co-responsabili

✅ Come deve essere fatto

Può essere un semplice quaderno scritto a mano o (consigliabile) un file elettronico Excel o altro che possa essere facilmente consultabile è modificabile. Qui sotto trovate alcuni modelli che potete scaricare

modello excel

modello cartaceo semplificato

modello cartaceo semplificato pag. 2

modello excel proposto dall’Unione europea

Quali informazioni deve contenere? 

In questo caso ho fatto copia-incolla direttamente dal sito del garante e potete leggerlo qui sotto

“Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del RGPD) e in quello del responsabile (art. 30, par. 2 del RGPD).

Con riferimento ai contenuti si rappresenta quanto segue:

(a) nel campo “finalità del trattamento” oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso (v. art. 6 del RGPD; in merito, con particolare riferimento al “legittimo interesse”, si rappresenta che il registro potrebbe riportare la descrizione del legittimo interesse concretamente perseguito, le “garanzie adeguate” eventualmente approntate, nonché, ove effettuata, la preventiva valutazione d’impatto posta in essere dal titolare (v. provv. del Garante del 22 febbraio 2018 – [doc web n. 8080493]). Sempre con riferimento alla base giuridica, sarebbe parimenti opportuno: in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2del RGPD; in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del RGPD;

(b) nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);

(c) nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Inoltre, si ritiene opportuno che siano indicati anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento– siano trasmessi i dati da parte del titolare (es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento). Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali;

(d) nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.);

(e) nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”);

(f) nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Tale lista ha di per sé un carattere dinamico (e non più statico come è stato per l’Allegato B del d. lgs. 196/2003) dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).

4. Può contenere informazioni ulteriori?

Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

5. Quali sono le modalità di conservazione e di aggiornamento?

Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

Il Registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:

“- scheda creata in data XY”

“- ultimo aggiornamento avvenuto in data XY”

6. Registro del responsabile

Il responsabile del trattamento tiene un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare” (art. 30, par. 2 del RGPD).

In merito alle modalità di compilazione dello stesso si rappresenta quanto segue:

a) nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti titolari (es. società di software house), le informazioni di cui all’art. 30, par. 2 del RGPD dovranno essere riportate nel registro con riferimento a ciascuno dei suddetti titolari. In questi casi il responsabile dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce; ove, a causa dell’ingente numero di titolari per cui si operi, l’attività di puntuale indicazione e di continuo aggiornamento dei nominativi degli stessi nonché di correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile potrebbe riportare il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2 del RGPD;

b) con riferimento alla “descrizione delle categorie di trattamenti effettuati” (art. 30, par. 2, lett. b) del RGPD) è possibile far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28 del RGPD, deve individuare, in particolare, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati oggetto del trattamento, nonché la durata di quest’ultimo;

c) in caso di sub-responsabile, parimenti, il registro delle attività di trattamento svolte da quest’ultimo potrà specificatamente far riferimento ai contenuti del contratto stipulato tra lo stesso e il responsabile ai sensi dell’art. 28, paragrafi 2 e 4 del RGPD.

⬆️⬆️⬆️ Il garante parla di due registri. Uno per il titolare ed uno per il responsabile, ma credo che per il 99% delle persone che leggono questo blog, la figura sia sempre la stessa

? CHE FARE ORA?

Tenete presente che farlo costa in ogni caso e non poco.

Come sempre usate prudenza e fatevi fare almeno due se non tre preventivi

  1. (1) Dal vostro commercialista
  2. (2) Da un’associazione di categoria e so che CNA Confartigianato fa queste cose
  3. (3) Dal sottoscritto che lo può far fare al suo avvocato.
  4. (4) Da chi vi ha fatto la privacy sia off line che on line

➡️ Cosa rischiate a non farlo?

Una multa fino al 4% del vostro fatturato e la possibile cancellazione di tutti i dati che avete raccolto fino ad oggi

E quando intendo tutti, dico tutti, fatti salvi i dati di fatturazione che per legge dovete tenere per 10 anni

Ma potrebbero costringervi a stracciare le vostre schede clienti se siete un’estetista o anche un meccanico che fa tagliandi.

Potrebbero costringervi a gettare tutte le tessere fedeltà che avete consegnato in questi anni

Oltre ovviamente a farvi cancellare tutti i dati del vostro Active Campaign o altro strumenti simile

Quindi riepilogando

1️⃣ Leggete e rileggete questo articolo

2️⃣ Scaricate i vari modelli

3️⃣ Informatevi e fatevi fare dei preventivi

Sul mio gruppo facebook che trovate qui e via email a Piero.garuti@delegami.com cercherò di rispondere ad eventuali dubbi, tenendo presente che NON SONO IO  che dissolvo i dubbi ma il mio avvocato.

Io faccio da portavoce perché lei è timida

Un saluto ed un abbraccio, sperando di non avervi fatto troppo arrabbiare.

Piero

 

Lascia un commento