Dopo che nei primi due interventi abbiamo affrontato le problematiche legate ai contenuti dell’informativa da fornire ai nostri soci e quelle relative alla nomina dei responsabili del trattamento dati, oggi affrontiamo in particolare quelle legate all’istituzione dei Registri delle attività di trattamento, con un cenno anche alle misure di sicurezza tecniche e organizzative da adottare. Per quanto riguarda quest’ultimo aspetto, è davvero difficile poter provvedere senza rivolgersi a soggetti specializzati. Sabato 26 maggio a Bologna, tutti questi argomenti saranno comunque trattati in Consiglio Nazionale, dove verrà presentata anche la Convenzione che la Direzione Nazionale ha stipulato per aiutare i nostri Comitati nei loro adempimenti.
Il GDPR prevede l’obbligo di istituire il Registro delle attività di trattamento (art. 30) per le imprese o organizzazioni con almeno 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, dati personali relativi a condanne penali e a reati.
Conseguentemente, è necessario che le nostre associazioni e i nostri comitati istituiscano tale registro, che deve essere in forma scritta e può essere tenuto in formato elettronico. Ogni titolare del trattamento e ogni responsabile del trattamento, e ove applicabile i loro rappresentanti, devono tenere dunque un Registro delle attività di trattamento svolte sotto la loro responsabilità.
Il registro tenuto dal titolare del trattamento e, ove applicabile, dal suo rappresentante, deve contenere le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati al trattamento e delle categorie di dati personali trattati;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi, se ci sono, i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale;
f ) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate;
Il registro tenuto dal responsabile del trattamento e, ove applicabile, dal suo rappresentante, deve contenere le seguenti informazioni:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate;
Per quanto riguarda infine le misure tecniche e organizzative da adottare, l’art. 32 del GDPR prevede che il titolare del trattamento e il responsabile del trattamento mettano in atto misure tecniche e organizzative tali da garantire un livello di sicurezza adeguato al rischio, “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.” Alcune misure sono richiamate nello stesso art. 32, ma è necessario che ogni associazione e ogni comitato facciano un’analisi approfondita della loro organizzazione attuale e si affidino, se del caso, a soggetti specializzati che possono aiutarli in merito.
Per concludere questo nostra analisi, possiamo in, estrema sintesi, consigliare alle nostre associazioni e ai nostri affiliati per il trattamento dei dati dei loro soci , affinché siano in regola con la normativa che entrerà in vigore il prossimo 25 maggio, quanto segue:
• fornire sempre l’informativa ai soci, fornirla per scritto e acquisire prova che essa è stata fornita (ad esempio, facendo firmare al socio la dichiarazione di aver ricevuto l’informativa). I contenuti dell’informativa sono quelli di cui agli articoli 13 e 14 del GDPR. Acquisire il loro consenso esplicito quando è necessario;
• nel caso che il titolare del trattamento (il legale rappresentante) non tratti direttamente i dati, nominare un responsabile del trattamento e stipulare con questi un contratto (che può essere, ad esempio, una lettera di incarico firmata per accettazione);
• il titolare del trattamento e il responsabile del trattamento, quando nominato, devono istituire il Registro delle attività di trattamento, avente i contenuti di cui all’articolo 30 del GDPR;
• mettere in atto le misure tecniche e organizzative necessarie a garantire la sicurezza del trattamento dei dati di cui all’articolo 32 del GDPR, avvalendosi anche per quanto necessario di soggetti specializzati in materia.
Si consiglia poi di consultare con regolarità il sito del Garante della Privacy, sempre aggiornato e con guide e software gratuiti da scaricare e utilizzare.