La Responsabilizzazione del Titolare del Trattamento dei dati personali

La accountability (o responsabilità, responsabilizzazione) è un concetto importante su cui si basa il Reg. UE 679/2016, il cosiddetto GDPR, e a cui si sono dovute adeguare tutte le normative nazionali degli Stati Membri in materia di controllo e protezione dei dati personali riferiti alle persone fisiche.

Il regolamento pone con forza l’accento sulla “accountability”, intesa come una sorta di  “responsabilizzazione”, di più, sull’adozione di comportamenti proattivi e tali da poter dimostrare in qualunque momento la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.

trattamento dati privacyOgni titolare del trattamento dei dati personali (figura prevista dal GDPR), anche in relazione a questo principio, deve:

  1. eseguire una valutazione globale dei trattamenti effettuati e dei rischi che essi comportano;
  2. adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato ai rischi relativi al trattamento dei dati personali;
  3. essere in grado di dimostrare, in qualsiasi momento, che il trattamento è LECITO e CONFORME alla legge, e che egli stesso ha assunto ogni iniziativa necessaria per limitare i rischi relativi al trattamento dei dati personali.

Anche per questi motivi diventa importante prestare attenzione – nei casi previsti dal decreto – alla necessità di redigere due documenti in particolare: la Valutazione d’impatto sulla protezione dei dati (DPIA) e il Registro delle attività del trattamento.

Registro delle attività di trattamento – Art. 30 del GDPR

È un documento scritto, contenente tutte le attività di trattamento effettuate, che deve essere redatto e continuamente aggiornato da tutte le imprese o le organizzazioni con più di 250 dipendenti.

Le imprese o le organizzazioni con meno di 250 dipendenti non sono obbligate a tenere un Registro dei trattamenti, ad eccezione di quelle i cui trattamenti effettuati:

  • presentano dei rischi;
  • non sono di tipo occasionale;
  • riguardano i dati personali di categorie particolari di interessati.

Gli elementi fondamentali del registro delle attività del trattamento sono:

  1. tipologia di trattamenti effettuati;
  2. finalità del trattamento;
  3. categorie di dati personali trattati;
  4. misure di sicurezza adottate.

Valutazione di impatto (DPIA) – Art. 35 del GDPR

È una procedura che mira a descrivere un trattamento di dati per valutarne la necessità, la proporzionalità e i relativi rischi, allo scopo di approntare misure idonee ad affrontare questi ultimi.

Il provvedimento n. 467 del Garante della Privacy dell’11 ottobre 2018 chiarisce quali sono le tipologie di trattamenti da sottoporre a Valutazione d’impatto:

  1. trattamenti valutativi o di scoring, compresa la profilazione;
  2. trattamenti automatizzati finalizzati ad assumere decisioni che producono significativi “effetti giuridici”, o che potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto;
  3. trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, soprattutto mediante sistemi tecnologici (ad esempio: videosorveglianza);
  4. trattamenti di dati personali su larga scala;
  5. trattamenti di dati sensibili, giudiziari o di carattere estremamente personale;
  6. trattamenti non occasionali di dati relativi a soggetti vulnerabili (ad esempio: minori, anziani, disabili, infermi di mente, pazienti, richiedenti asilo);
  7. trattamenti effettuati attraverso l’uso di tecnologie innovative (ad esempio: riconoscimento facciale);
  8. trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
  9. trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni;
  10. trattamenti sistematici di dati biometrici e/o genetici.

[a cura di: Dott.ssa Elisa Uggeri]

Privacy: sei a norma?
Vuoi verificare la situazione?
Devi adeguare o predisporre la documentazione prevista dal GDPR, Reg. UE n. 679/2016?

Devi formare i tuoi addetti o ti serve assistenza?
 



Pagine a cura di:

Tutte le notizie