Curare in modo corretto il registro dei trattamenti | GDPR Privacy
La valutazione del rischio privacy prevista dall’art.32, non servirebbe a nulla se si componesse solamente da una serie di rischi enunciati. Indicare che in azienda è presente il rischio di accesso non autorizzato ai dati non basta per una efficace valutazione dei rischi. Tale concetto è rafforzato dalla considerazione che le misure tecniche ed organizzative non vengono più espresse dal GDPR come delle misure minime e confezionate da applicare al rischio in sé. Il Regolamento infatti prevede che sia il titolare del trattamento a progettare misure tecniche ed organizzative capaci di tenere l’elemento di rischio sotto controllo. Ecco dunque l’esigenza di comprendere in quale parte di attività si annida il rischio di accesso non autorizzato; tale comprensione quindi non può prescindere dalla conoscenza dei processi e del flusso delle attività che si compiono sui dati personali.
Tornando all’esempio del registro dei trattamenti (denominato anche registro delle attività di trattamento) previsto all’art.30 dobbiamo comprendere due logiche. Quella del legislatore e quella del consulente. Al legislatore può bastare che il registro sia presente nelle aziende che occupano almeno 250 dipendenti ma, in tutta sincerità, dobbiamo chiederci come sarebbe possibile effettuare una valutazione del rischio privacy in azienda senza aver passato in rassegna tutte le attività che vengono compiute.
Una comprensione generale dell’azienda, del suo contesto e delle sue dinamiche è fondamentale per fare un lavoro accurato che punti alla sostanza e non esclusivamente alla forma. La privacy che si basa solo ed esclusivamente sulla forma rischia di rimanere ancorata in maniera sterile alla forma stessa. Quest’assenza di visione di insieme costringe i titolari del trattamento ma ancor più gli autorizzati a chiedersi di volta in volta se un determinato documento o un determinato comportamento sia legittimo o meno.
Kit documentale di supporto correlato
La privacy “pericolosa” si nasconde anche in quelle attività che, per le loro caratteristiche, non vengono proprio considerate come “attività aziendali” quali ad esempio la ricerca di informazioni personali su Facebook di un potenziale candidato ad un’attività in azienda.
Cosa ben diversa è un approccio per processi che, prima di passare ai singoli adempimenti, prevede una ricognizione ed un’analisi relativa ai processi esistenti all’interno dell’impresa.
La privacy che scotta viene solitamente ricercata nelle attività di marketing e di comunicazione con il cliente, oppure nella direzione di puntamento delle telecamere; il vero problema è che potrebbe invece essere ovunque.
La posizione è condivisibile da parte di chi ha un approccio “segmentato” al GDPR. Chi è abituato invece a ragionare per adempimenti singoli sicuramente ha buone probabilità di focalizzare l’attenzione su ciascuna singola istanza del Regolamento Europeo: guarda all’adempimento, ne predispone l’attuazione e contrassegna come “compito fatto” l’ulteriore passo operativo.
Molte risposte frettolose del tipo “non siamo tenuti a farlo poiché non impieghiamo almeno 250 dipendenti” hanno lasciato un vuoto incomprensibile all’interno delle configurazioni documentali realizzate per la conformità ai requisiti.
Da quando si è passati dalla privacy del Decreto Legislativo 196 del 2003 a quella del GDPR tutti i consulenti hanno tentato di costruire un elenco con tutti i requisiti cogenti ai quali bisognava dare una risposta non solamente in termini di azioni da compiere ma anche in termini di documentazione da produrre. Per il GDPR infatti, analogamente a quanto accade nei sistemi ISO, le informazioni documentate rendono evidenza oggettiva agli adempimenti. Il punto sul quale parecchi si sono soffermati è quello del Registro di trattamenti previsto dall’art.30.
Il registro delle attività di trattamento ancorché non richiesto dal GDPR al di fuori del caso dei 250 dipendenti è lo strumento base per la costruzione di un modello privacy che affronti il problema della “riservatezza” nella sua totalità.
Il registro dei trattamenti quindi ha lo scopo di mappare le attività di trattamento dei dati personali all’interno di tutti i processi aziendali. Grazie ad esso, i trattamenti acquisiscono una vera e propria denominazione distintiva che permette una valutazione analitica delle attività compiute ed un’analitica valutazione dei rischi presenti.
In ciascun trattamento possono essere presenti più rischi. Oltre all’accesso non autorizzato infatti, un’attività aziendale potrebbe nascondere altri rischi quali la diffusione non autorizzata dei dati, la distruzione o il trafugamento per fini impropri, etc.
Se il Regolamento parla di registro dei trattamenti e valutazione dei rischi privacy come due adempimenti distinti e separati questo non implica necessariamente che i due adempimenti richiedano la creazione di documenti separati. Per portarla in termini pratici, grazie al registro dei trattamenti, il consulente privacy potrebbe effettuare la valutazione dei rischi adottando lo stesso modulo documentale impiegato nell’individuazione dei trattamenti. È sufficiente che in corrispondenza di ciascun trattamento si associno i rischi correlati; la valutazione del rischio risulterebbe un’attività più agevole da compiersi e sarà più facile determinare pure, per ciascun rischio, il valore della probabilità e quello del danno
Con l’impiego del registro dei trattamenti, il lavoro privacy comincia con il creare una mappa di attività e processi nei quali vengono riconosciuti i rischi da affrontare. Senza l’impiego del registro dei trattamenti invece si partirebbe dai rischi e si tenterebbe di rispondere alla domanda “in quale area della nostra attività è presente questo rischio?”.
Il nuovo Kit GDPR Privacy
Kit documentale completo per l’adeguamento al GDPR PRIVACY 2018
Templates pronti con sezioni del regolamento, procedure, modulistica ed allegati completamente modificabili e personalizzabili.#default-btn-d262d5145c6be3fc0c2b3765248db763 * {
vertical-align: middle;
}
Maggiori informazioni sul prodotto
L’articolo Il registro delle attività di trattamento: questo sconosciuto proviene da WINPLE.it.
Source: WINPLE RSS