La privacy impone il Registro dei dati nelle aziende con più di 250 dipendenti

Grandi aziende chiamate a redigere il registro del trattamento dei dati. È uno degli adempimenti più importanti previsti dal regolamento europeo per la protezione dei dati personali, in vigore dal 25 maggio. Ma in che cosa consiste il registro e quale è il suo contenuto? Quali sono i soggetti aziendali obbligati a redigerlo e le modalità di aggiornamento?

Il contenuto del registro
Il registro è il documento che contiene le attività di trattamento dei dati, redatto preferibilmente in formato elettronico (ad esempio su un foglio Excel) per facilitarne l’aggiornamento periodico. L’obbligo di tenuta e di aggiornamento grava sulle organizzazioni medio-grandi, ossia quelle con 250 o più dipendenti (articolo 30 del regolamento 679/2016).
Per le più piccole, il Regolamento Ue prevede un’esenzione limitata, stabilendo che queste debbano documentare i trattamenti solo se:

  1. sono suscettibili di comportare un rischio per i diritti e le libertà delle persone;
  2. non sono occasionali;
  3. coinvolgono categorie di dati particolari o dati relativi a condanne penali o dati giudiziari.

Ci sono, infatti, realtà che, sebbene abbiano meno di 250 dipendenti, trattano dati relativi, ad esempio, a clienti o dati personali relativi alle risorse umane, in maniera non occasionale. In questi casi, la non occasionalità del trattamento impone la tenuta del registro.
Il “considerando” 75 del regolamento specifica che i rischi per i diritti e le libertà delle persone fisiche possono derivare da trattamenti di dati personali suscettibili di causare un danno fisico, materiale o immateriale (ad esempio, discriminazioni, furto o usurpazione d’identità). C’è poi un rischio se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza. Ancora, c’è un rischio se sono trattati dati personali di persone fisiche vulnerabili, in particolare di minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.

Le figure aziendali coinvolte
La responsabilità di redigere, aggiornare e tenere correttamente il registro è in capo al titolare del trattamento e al responsabile del trattamento.
Nelle aziende più strutturate e suddivise in dipartimenti, sarà possibile anche delegare uno o più soggetti interni che si occupino della registrazione e dell’aggiornamento di trattamenti specifici relativi alla propria area (ad esempio un modulo trattamenti dell’area marketing).
Le informazioni contenute nel singolo modulo di area potrebbero poi confluire nel registro delle attività di trattamento centralizzato, il cui accesso potrebbe essere consentito solo al titolare del trattamento e al responsabile della protezione dei dati (il Dpo), che, se presente, ha il compito di fornire assistenza nella redazione e di verificare la corretta tenuta dei registri.
Il titolare del trattamento, se la struttura organizzativa è particolarmente complessa, potrebbe anche incaricare con un atto scritto un responsabile della tenuta del registro delle attività di trattamento. Le informazioni contenute nel registro devono essere periodicamente aggiornate per “fotografare” la situazione aziendale relativamente al trattamento dei dati personali. L’aggiornamento, pertanto, è richiesto ogniqualvolta si verifichino rilevanti cambiamenti che incidono sui trattamenti dei dati personali. In altri termini, il registro non è un documento statico, ma dinamico, da aggiornare tutte le volte che ci sono variazioni o modifiche relativamente al trattamento di dati personali. In caso di mancato rispetto degli obblighi di tenuta e aggiornamento del registro, laddove obbligatorio, i titolari responsabili del trattamento potranno subire sanzioni amministrative molto pesanti, per importi fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo.

Articolo tratto da Il Sole 24Ore

La bussola per il registro

I registro deve essere tenuto dal titolare del trattamento dei dati e, se sono presenti, dal contitolare del trattamento o dal rappresentante del titolare del trattamento

Il registro deve contenere:

  1. Il nome e i dati di contatto del responsabile del trattamento dei dati
  2. Le finalità del trattamento, che varieranno a seconda della tipologia di dato, relativi a dipendenti, fornitori e clienti
  3. Le categorie di interessati al trattamento, ad esempio dipendenti, clienti e fornitori
  4. I destinatari della comunicazione dei dati
  5. L’eventuale trasferimento dei dati a Paesi terzi
  6. I termini di cancellazione dei dati
  7. Le misure di sicurezza tecniche e organizzative adottate con l’obiettivo di tutelare i dati

Il registro del trattamento dei dati deve essere tenuto in forma scritta, anche in formato elettronico (in un foglio Word, o Excel)

Il registro deve:

  1. dimostrare che la gestione dei dati è conforme ai principi del regolamento Ue 679/2016
  2. mettere a disposizione i dati necessari alle autorità di controllo

 

Coloro che redigeranno il registro del trattamento dei dati, dovranno fare riferimento per le informazioni necessarie a diversi reparti aziendali:

  1. reparto commerciale
  2. reparto vendite
  3. amministrazione controllo
  4. ufficio risorse umane
  5. reparto IT
  6. reparto sicurezza
  7. reparto marketing

Articoli correlati

Siti confinati, lavoro al sicuro
Non è ammesso il ricorso al subappalto, se non espressamente autorizzato dal datore di lavoro committente e debitamente certificato, in relazione alle attività lavorative che si svolgono in ambienti sospetti...
Scopri di più
La lettera di contestazione va letta
Il dipendente è tenuto ad accettare la consegna manuale di una contestazione disciplinare, se questa avviene sul luogo di lavoro; tuttavia la consegna non si perfeziona se un delegato dell’azienda...
Scopri di più
GDPR, poche le società pronte al test
Uno studio della società internazionale di consulenza Gartner rileva che solo quattro su dieci privacy manager ritengono le società di appartenenza preparate ad affrontare e governare il Regolamento Ue sulla...
Scopri di più
La sicurezza giustifica un no
Il rifiuto di rendere la prestazione lavorativa richiede una valutazione comparativa. Infatti, affinché il dipendente possa legittimamente sottrarsi dall’obbligazione contrattuale, in caso di inosservanza da parte del datore di lavoro...
Scopri di più
Privacy, 90 adempimenti inutili
Manicomio privacy: oltre 90 adempimenti, per la maggior parte non codificati, e nessuna possibilità di mettersi al riparo da pesantissime sanzioni, anche impegnando tutta la diligenza possibile. Lo scorso 19...
Scopri di più
Verifica difficile della recidiva per lavoro irregolare e sicurezza
Ai fini della individuazione della recidiva, che determina il raddoppio delle maggiorazioni da applicarsi alle sanzioni in caso di violazioni in materia di lavoro irregolare (20% che diventa 40%) e...
Scopri di più
Scaffalature 4.0, bonus nel 2019 con l’integrazione della perizia
Il giuramento della perizia (indipendentemente dalla data di consegna di tale documento all’impresa) consente (in presenza di tutti gli altri requisiti richiesti) di iniziare a stanziare l’iper ammortamento. Questo principio...
Scopri di più
Premi Inail più cari nel 2019
Premi Inail poco più cari quest’anno. La rivalutazione degli importi dei limiti di retribuzione è dell’1,1% in base alla variazione dell’Istat ed eleva il minimale giornaliero da 48,20 (anno 2018)...
Scopri di più
Bando Isi, corsa contro il tempo
Operativa la prima fase del bando Isi 2018. Infatti, dall’11 aprile scorso fino alle 18:00 del 30 maggio 2019, le aziende interessate possono compilare e salvare telematicamente la propria domanda...
Scopri di più
Videocontrolli, iter senza bis
In caso di cambio della titolarità dell’impresa, non bisogna ripetere la procedura di accordo/autorizzazione per l’installazione di impianti audiovisivi o di altri strumenti per il controllo a distanza dei lavoratori....
Scopri di più
Prima verifica periodica autogrù, ecco come procedere
Ai sensi del dlgs 81/2008 e s.m.i., le attrezzature di lavoro elencate nell’allegato VII devono essere sottoposte a verifiche periodiche al fine di verificare lo stato di conservazione e di...
Scopri di più
Agenti chimici pericolosi, opuscolo Inail, rischi, Testo Unico, Reach e Clp
Agenti chimici pericolosi. Questo il titolo di uno degli ultimi volumi pubblicati da Inail nella collana Salute e sicurezza. Un opuscolo con istruzioni per lavoratori e Rappresentati dei lavoratori per...
Scopri di più
Gli obblighi del primo soccorso: la classificazione delle aziende
Se il primo soccorso aziendale deve essere inteso come un processo integrato nel sistema di prevenzione e riduzione degli infortuni, “anche per il primo soccorso e per la redazione del...
Scopri di più
Rifiuti speciali pericolosi, cosa c’è da sapere
Il D.Lgs. n. 152/2006, cosiddetto "testo unico ambientale”, all'art. 184 distingue tra rifiuti urbani e rifiuti speciali. Questi ultimi, cioè i rifiuti prodotti da enti e imprese, si dividono a...
Scopri di più
Prevenzione incendi, nuova regola tecnica per impianti distribuzione idrogeno
Pubblicata in Gazzetta Ufficiale (n. 257 del 6 novembre 2018) il decreto 23 ottobre 2018 del Ministero dell’Interno, recante “Regola tecnica di prevenzione incendi per la progettazione, costruzione ed esercizio...
Scopri di più
Sorveglianza sanitaria: utilizzo dei dati collettivi e valutazione clinica
Per organizzare la sorveglianza sanitaria dei lavoratori esposti al rischio da sovraccarico biomeccanico, la Regione Lombardia con Decreto regionale 21 dicembre 2017, n. 16750 - recante “Indirizzi per la sorveglianza...
Scopri di più
Rifiuti: cosa separa l’abusività dall’illecito?
Il reato di attività organizzate per il traffico illecito di rifiuti, ora previsto e punito dall'art. 452-quaterdecies del codice penale (che ha sostituito senza modificazioni l'art. 260, D.Lgs. n. 152/2006)...
Scopri di più
Mud 2019, più dati alle CCIAA
Più tempo a enti e imprese per presentare alle Camere di commercio la dichiarazione ambientale Mud 2019, che potrà essere inoltrata fino al 22 giugno in luogo della più stretta...
Scopri di più
La conferma: abolito il Sistri…e ora Sistri 2.0 all’orizzonte?
Nelle prime settimane dello scorso dicembre è circolata una bozza di "decreto legge semplificazioni" che riporta una serie di novità in temi ambientali; due di queste si distinguevano, però, per...
Scopri di più
Rifiuti, torna l’onere per la tracciabilità
Il Governo incassa a Montecitorio la sua nona fiducia (sei alla Camera e tre al Senato) con 310 si, un astenuto e 245 no, su quello che a metà dicembre...
Scopri di più

Utilizziamo i cookie per personalizzare contenuti ed annunci, per fornire funzionalità dei social media e per analizzare il nostro traffico. Condividiamo inoltre informazioni sul modo in cui utilizza il nostro sito con i nostri partner che si occupano di analisi dei dati web, pubblicità e social media, i quali potrebbero combinarle con altre informazioni che ha fornito loro o che hanno raccolto dal suo utilizzo dei loro servizi. Acconsenta ai nostri cookie se continua ad utilizzare il nostro sito web.

cookie policy

Powered by WishList Member - Membership Software

X
X
X