Documentare registro, procedure e DPIA
I processi di protezione dei dati devono essere documentati in modo coerente con i trattamenti effettivamente svolti. Il GDPR richiede al titolare e al responsabile del trattamento di adottare misure adeguate e di poter dimostrare le scelte compiute: informative, basi giuridiche, ruoli interni, misure di sicurezza, fornitori, tempi di conservazione e procedure di risposta agli interessati devono quindi essere tracciabili e aggiornati.
La documentazione privacy va rivista quando cambiano strumenti digitali, servizi cloud, fornitori, finalità di trattamento, flussi di dati, canali di marketing, sistemi HR o misure di sicurezza. L’obiettivo è mantenere allineati documenti, prassi interne e trattamenti reali.
Registro delle attività di trattamento
Il registro delle attività di trattamento è uno dei documenti centrali per dimostrare la conformità al GDPR. Le imprese e le organizzazioni con almeno 250 dipendenti sono tenute a predisporlo; sotto questa soglia, l’obbligo riguarda titolari e responsabili che effettuano trattamenti non occasionali, trattamenti rischiosi per i diritti e le libertà degli interessati, trattamenti di categorie particolari di dati o dati relativi a condanne penali e reati.
Il registro deve essere tenuto in forma scritta, anche elettronica, e messo a disposizione del Garante se richiesto. Al suo interno vanno indicati finalità del trattamento, categorie di interessati e di dati personali, destinatari, eventuali trasferimenti verso Paesi terzi, termini di conservazione e misure tecniche e organizzative adottate.
Valutazione d’impatto sulla protezione dei dati
La DPIA, o valutazione d’impatto sulla protezione dei dati, è richiesta quando un trattamento presenta un rischio elevato per i diritti e le libertà delle persone fisiche. La valutazione descrive il trattamento, analizza necessità e proporzionalità, individua i rischi e indica le misure previste per ridurli.
Il Garante ha individuato specifiche tipologie di trattamento soggette a DPIA, tra cui trattamenti valutativi o di scoring su larga scala, profilazione, attività predittive, trattamenti sistematici su larga scala, uso di categorie particolari di dati e trattamenti che combinano più banche dati. La verifica va quindi effettuata prima di introdurre nuovi processi, tecnologie o strumenti digitali che modificano il rischio privacy.
Policy, procedure e verifiche periodiche
Le procedure interne traducono le regole privacy in istruzioni per chi lavora sui dati. Tra i documenti da mantenere aggiornati rientrano le policy sulla gestione dei consensi, le procedure per le richieste degli interessati, le istruzioni per il personale autorizzato, la procedura di data breach, le regole sui tempi di conservazione e la selezione dei fornitori.
Le policy devono essere accessibili alle persone coinvolte nei trattamenti e coerenti con gli strumenti realmente utilizzati dall’organizzazione, inclusi CRM, piattaforme email, software paghe, servizi cloud, sistemi di ticketing, strumenti analytics e archivi documentali.
Le verifiche periodiche servono a controllare se informative, registro, nomine, contratti con i responsabili del trattamento, misure di sicurezza e procedure interne sono ancora allineati all’attività dell’organizzazione. Ogni verifica dovrebbe lasciare traccia dei controlli svolti, delle criticità emerse e delle azioni correttive adottate.
Certificazioni e codici di condotta
Certificazioni e codici di condotta possono rafforzare la documentazione privacy, senza sostituire gli obblighi del titolare o del responsabile del trattamento. Anche in presenza di certificazioni, l’organizzazione è tenuta a verificare trattamenti, basi giuridiche, misure di sicurezza, fornitori, tempi di conservazione e diritti degli interessati.