Il presente articolo analizzerà le principali caratteristiche del registro del trattamento dati, uno strumento indispensabile per la compliance delle aziende alle normative vigenti sulla protezione dati. Verrà introdotta una panoramica generale per poi focalizzarsi sulle figure che sono tenute a redigerlo e sulle informazioni che deve necessariamente contenere.
E nello specifico: LPD, il registro del trattamento dati, introduzione; Registro del trattamento, chi deve redigerlo? ; Registro del trattamento, di quali informazioni necessita?
La nuova LPD, predispone una serie di novità per le aziende in materia di protezione dati personali: a tale fine e per potersi adeguare correttamente sia al regolamento europeo (GDPR) sia alla legge sulla protezione dati in Svizzera, ogni titolare e/o responsabile del trattamento sarà tenuto ad implementare molteplici processi e predisporre una serie di documenti, al fine di dimostrare un adeguato livello di compliance aziendale.
Uno di questi è il registro delle attività di trattamento, del quale analizzeremo le principali caratteristiche.
LPD, il registro del trattamento dati, introduzione
L’art. 12 della LPD (ultima versione pubblicata sul foglio federale) prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento.
Questo documento contiene le principali informazioni relative a tutte le operazioni di trattamento che vengono svolte dal titolare e, qualora sia nominato, dal responsabile del trattamento.
Il registro è quindi un documento che raccoglie le principali informazioni sulle attività̀ di trattamento compiute dal titolare.
È altresì uno strumento fondamentale per tracciare l’esistente, verificare la conformità alle normative, divulgare informazioni, consapevolezza e condivisione interna, così come misure per la pianificazione e controllo della politica della sicurezza di dati e banche di dati.
Il registro del trattamento è uno dei principali elementi di c.d. accountability del titolare, poiché da la possibilità di fornire una mappatura chiara, precisa e aggiornata di tutti i trattamenti posti in essere all’interno della propria azienda, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.
Registro del trattamento, chi deve redigerlo?
Al capoverso 5 dell’art. 12 della LPD, si può analizzare un obbligo generalizzato di stesura del Registro delle attività di trattamento con esclusione per imprese con meno di 250 collaboratori e se i trattamenti di dati personali effettuati comportano un rischio esiguo di violazione della personalità delle persone interessate.
La norma richiede la presenza congiunta di questi due criteri. Quello su cui è necessario focalizzare la nostra attenzione è il concetto di “rischio esiguo di violazione” e, più in generale, sull’effettivo ambito applicativo di tale deroga.
Si ipotizza il Consiglio Federale svizzero interverrà al fine di chiarire a livello pratico il concetto sopra evidenziato.
Per aziende con almeno 250 dipendenti, in ogni caso è sicuramente suggerita la predisposizione del registro nell’attesa della pronuncia del consiglio.
Quali informazioni deve contenere?
La LPD, per quanto riguarda il registro del trattamento dati, richiede la presenza delle seguenti tipologie di informazioni:
- l’identità del titolare del trattamento;
- lo scopo del trattamento, ovvero la finalità per cui vengono trattati i dati personali;
- una descrizione delle categorie di persone interessate e delle categorie di dati personali trattati;
- le categorie di destinatari;
- se possibile, la durata di conservazione dei dati personali o i criteri per determinare tale durata;
- se possibile, una descrizione generale dei provvedimenti tesi a garantire la sicurezza dei dati personali secondo l’articolo 8;
- se i dati personali sono comunicati all’estero, le indicazioni relative allo Stato destinatario e le garanzie di cui all’articolo 16 capoverso 2.
Diacron Suisse SA in collaborazione con AB Innovation Consulting