Con il nuovo Regolamento Europeo, in vigore dal 25 maggio 2018, tutte le operazioni di trattamento dei dati che vengono effettuate all’interno di un’organizzazione, sia essa un’azienda, un ente o un’associazione, dovranno essere tracciate. E per farlo il titolare del trattamento e gli eventuali responsabili sono chiamati a utilizzare uno strumento: il registro dei trattamenti.

Cosa deve contenere il registro dei trattamenti?

Sul registro andranno indicate tutte le finalità del trattamento ma anche le informazioni di dettaglio, le modalità di conservazione dei dati, le misure di sicurezza applicate e tutte quelle tracce documentali necessarie per verificare che gli obblighi normativi previsti dal nuovo Regolamento Europeo siano costantemente rispettati.

Chi è obbligato a tenere il registro dei trattamenti?

L’articolo 30 comma 5 del General Data Protection Regulation non definisce obbligatoria la tenuta di questo registro ed esonera le imprese composte da meno di 250 dipendenti ad eccezione, però, di quelle che effettuano un trattamento che può rappresentare un rischio per i diritti e le libertà dell’interessato o che coinvolge in modo non occasionale dati particolari. Solo se i trattamenti a rischio non vengono effettuati allora il numero dei dipendenti diventa determinante per l’obbligatorietà della tenuta del registro. Va da sé che tutte le organizzazioni che hanno dei dipendenti di cui trattano, cosa certa, anche dati sanitari e quindi particolari, saranno obbligate a fare il registro dei trattamenti.

I diritti degli interessati

I diritti e le libertà degli interessati non riguardano solo la privacy ma anche il divieto di discriminazioni, la libertà di espressione e di pensiero, il diritto alla libertà di coscienza e di religione e la libertà di movimento. Si vanno quindi a toccare temi che riguardano la profilazione, come i dati pubblici raccolti durante la creazione di profili social, i sistemi di monitoraggio della rete sul comportamento degli utenti e quelli di geolocalizzazione.

In ottemperanza al GDPR 16/679 occorre valutare la “rischiosità” del trattamento e comprenderne il carattere occasionale o meno o se vengono inclusi dati di categorie particolari o relativi a condanne penali e a reati.