Registro dei trattamenti dati della Confindustria aggiornato con le indicazioni del Garante Privacy

Nei giorni scorsi la Confindustria ha diramato il modello di Registro delle attività di trattamento dei dati, ex. Art 29 del Regolamento UE 679/2016, frutto del Gruppo di lavoro, partecipato anche dall'Ance, e aggiornato alla luce degli spunti suggeriti dal Garante della Privacy, al quale il modello era stato sottoposto nei mesi scorsi.
 
A tal proposito si allega, oltre al modello di Registro della Confindustria, anche la risposta con la quale peraltro il Garante fornisce utili indicazioni per una corretta compliance al Regolamento.
 
Nella nota il Garante, dopo aver ribadito i contorni circa l'obbligatorietà o meno di dotarsi di un Registro delle attività di trattamento e dopo aver confermato la portata tendenzialmente obbligatoria di tale obbligo, che costituisce uno dei principali elementi in tema di accountability, consiglia l'accompagnamento del Registro anche ad una sorta di Glossario che riprenda i termini principali utilizzati nel Regolamento e che accompagni la corretta compilazione del Registro medesimo.
 
Il Garante concorda, poi, con l'indicazione in primis dei Soggetti, anche semplicemente per categoria di appartenenza.
 
L'indicazione dei soggetti rappresenta l'occasione per effettuare una rivisitazione dei rapporti con eventuali responsabili esterni (ex art. 28 del Regolamento), soprattutto al fine di integrare, modificare o rinnovare le nomine già in essere ed avere esatta contezza dei soggetti esterni cui sono affidate in tutto o in parte le attività di trattamento dati.

Il Garante ha poi specificato che nei casi di trattamento dei dati posto in essere per perseguire un legittimo interesse devono essere esplicitati, all'interno del Registro, sia il legittimo interesse in concreto perseguito, sia le garanzie ivi approntate e l'eventuale valutazione d'impatto posta in essere.
 
Con riferimento, poi, al diritto all'oblio, viene consigliato di indicare dei termini di cancellazione "tipizzabili" per tipologie di trattamento dei dati, soprattutto con riferimento ai trattamenti più frequenti nelle PMI.
 
Viene ribadito poi che le misure di sicurezza indicate nel Registro devono essere indicate esclusivamente a carattere esemplificativo, lasciando quindi aperta l'indicazione in base alle peculiari caratteristiche inerenti le singole fattispecie e che tali indicazioni sono comunque suscettibili di continue modifiche, avendo in sé, a differenza del passato, un carattere dinamico.
 
Si rimane comunque in attesa di ulteriori approfondimenti da parte del Garante alla luce dell'evoluzione normativa in materia e del quadro giuridico di riferimento non ancora completato al livello nazionale.
Letto 91 volte