Privacy UE: obblighi ed esclusioni per PMI

Nuovo regolamento Privacy europeo (GDPR): nuovi obblighi per titolare e responsabile, come il Registro dei Trattamenti, e le esclusioni.

A maggio 2018 tutte le aziende e gli enti europei dovranno conformarsi al nuovo regolamento Privacy europeo, il cosiddetto GDPR, che introduce o aggiorna alcune prescrizioni non presenti nella passata normativa privacy o solo in parte richieste .Tra queste, la tenuta dei registri delle attività di trattamento effettuate, che l’articolo 30 del Regolamento assegna al Titolare del Trattamento (comma 1 ) e al Responsabile (comma 2).

=> Guida al nuovo Regolamento Privacy

Registri dei trattamenti

Si tratta, in sintesi, di un adempimento formale che fornisce una prima indicazione rispetto al fatto che il Titolare e il Responsabile operano in conformità al GDPR. In caso di controlli da parte del Garante per la Privacy, infatti, probabilmente il registro dei trattamenti rappresenta uno dei primi documenti richiesti.

Tra le indicazioni che il GDPR fornisce alle aziende troviamo le informazioni i registri dovranno obbligatoriamente contenere, ovvero:

      1.  nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
      2. le finalità del trattamento;
      3. una descrizione delle categorie di interessati e delle categorie di dati personali;
      4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
      5. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
      6. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
      7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

=> Garante della Privacy: news e approfondimenti

PMI escluse

Ci sono alcuni elementi importanti da considerare, tra cui le esclusioni previste per enti e altri organismi con meno di 250 dipendenti che:

  • non realizzano trattamenti che possono presentare un rischio per i diritti e le libertà degli interessati;
  • il trattamento risulta occasionale e non includa dati di cui all’art. 9.1 o all’articolo 10. (dati particolari e dati personali giudiziari).

In attesa di un chiarimento del Garante rispetto alla definizione di “occasionalità” e “rischio per i diritti e le libertà degli interessati”, una possibile chiave di lettura è l’applicazione del principio di “Accountability” promosso dal GDPR, ovvero la valutazione obiettiva e concreta dei rischi, per garantire l’adozione delle adeguate ed efficaci misure di sicurezza e privacy.

Per approfondimenti consultare il Sito UE.

X
Se vuoi aggiornamenti su Privacy UE: obblighi ed esclusioni per PMI

inserisci la tua e-mail nel box qui sotto:

Ho letto e acconsento l'informativa sulla privacy

Acconsento al trattamento di cui al punto 3 dell'informativa sulla privacy