Il Regolamento Europeo Privacy EU/2016/679 ha introdotto un nuovo adempimento privacy, che rianima in una nuova veste, l’ormai esangue e per molti già defunto, Documento Programmatico sulla Sicurezza (DPS).
Il nuovo Regolamento Europeo Privacy, infatti, impone ad ogni Titolare del Trattamento e ad ogni Responsabile del Trattamento di istituire e tenere aggiornato in forma scritta (anche in formato elettronico) un Registro delle attività di trattamento (Registro Privacy).
Il Registro delle attività di trattamento (Registro Privacy), per molti versi, ricorda il Documento Programmatico sulla Sicurezza (DPS) in quanto il Regolamento Privacy prevede in esso debbano essere obbligatoriamente descritte almeno le seguenti informazioni:
- estremi identificativi e di contatto del titolare del trattamento e degli eventuali contitolari del trattamento
- estremi identificativi e di contatto del responsabile del trattamento e degli eventuali responsabili del trattamento di secondo livello
- estremi identificativi e di contatto del rappresentante del titolare del trattamento o del responsabile del trattamento (ove designato)
- estremi identificativi e di contatto del Privacy Officer (ove designato)
- finalità del trattamento
- descrizione delle categorie di interessati
- descrizione delle categorie di dati personali
- categorie di destinatari a cui i dati personali sono stati o saranno comunicati
- eventuali trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale con documentazione delle garanzie in materia di privacy
- termini ultimi previsti per la cancellazione delle diverse categorie di dati
- descrizione generale delle misure di sicurezza tecniche e organizzative adottate.
Il Registro delle attività di trattamento (Registro Privacy) è, quindi, un nuovo adempimento privacy obbligatorio per quasi tutti i Titolari del Trattamento e tutti Responsabili del Trattamento, in quanto il regolamento europeo privacy prevede che possano essere esentate dall’obbligo di tenuta del Registro Privacy solamente le imprese e alle organizzazioni con meno di 250 dipendenti, purché il trattamento da esse effettuato:
- non presenti alcun un rischio per i diritti e le libertà dell'interessato
- sia occasionale
- non includa il trattamento di sensibili, sanitari, genetici, biometrici o giudiziari
Considerata, quindi, l’imminente obbligatorietà del Registro Privacy, per poter adempiere in maniera corretta a questo nuovo adempimento privacy, ogni titolare del trattamento e ogni responsabile del trattamento è tenuto a pianificare e a svolgere quanto prima:
- un approfondito privacy assessment al fine di mappare i processi di trattamento e identificare le principali aree di rischio privacy.
- una dettagliata analisi dei rischi privacy al fine di determinare il livello di rischio e definire le idonee misure di sicurezza
- una revisione del sistema organizzativo privacy al fine di ridefinire ruoli, compiti e mansioni dei soggetti che a vario titolo trattano i dati personali
- un aggiornamento delle procedure e delle istruzioni operative privacy al fine di uniformarle alle disposizioni del nuovo regolamento europeo privacy
Solo dopo aver svolto tutte le suddette attività si potrà procedere all’istituzione e alla compilazione di un Registro delle attività di trattamento (Registro Privacy) a norma del Regolamento Privacy.
Da non dimenticare è che la violazione dell’obbligo di istituzione, di tenuta e di aggiornamento del Registro privacy è punita dal Regolamento Europeo Privacy in maniera molto severa con una sanzione amministrativa pecuniaria fino a € 10.000.000 o fino al 2 % del fatturato mondiale annuo dell'esercizio precedente se superiore.
Dr. Eric Falzone – Privacy Officer – Partner EUCS
Articoli Privacy EUCS – www.eucs.it