REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO DEI DATI PERSONALI: COME CI SI ADEGUA?
La nuova legge sulla protezione dei dati (nLPD) entrerà in vigore il 1° settembre 2023. È accompagnata da una nuova ordinanza sulla protezione dei dati (OPdo).
Secondo ilArticolo 12Ai sensi della legge sulla protezione dei dati, le aziende che impiegano più di 250 persone devono redigere un registro. In esso sono elencati i diversi tipi di dati personali trattati.
Contenuto del registro.
Questo registro deve contenere in particolare le seguenti informazioni:
- identità del titolare del trattamento
- finalità del trattamento
- descrizione delle categorie di interessati e delle categorie di dati personali trattati
- categorie di destinatari
- il periodo di conservazione o i criteri per la determinazione del periodo di conservazione
- misure di sicurezza per la protezione dei dati
- i paesi in cui i dati sono conservati e le garanzie di sicurezza
Contenuto del registro.
Questo registro deve contenere in particolare le seguenti informazioni:
- identità del titolare del trattamento
- finalità del trattamento
- descrizione delle categorie di interessati e delle categorie di dati personali trattati
- categorie di destinatari
- il periodo di conservazione o i criteri per la determinazione del periodo di conservazione
- misure di sicurezza per la protezione dei dati
- i paesi in cui i dati sono conservati e le garanzie di sicurezza
In pratica, come si procede e da dove si comincia?
La stesura di questo registro richiede il coinvolgimento di tutti i reparti della vostra organizzazione. È probabile che ogni reparto della vostra organizzazione tratti dati personali. Si tratta quindi di un approccio trasversale all'azienda.
Questo registro non contiene i dati in sé. Contiene le categorie di dati. Per esempio, diremo che raccogliamo i nomi dei partecipanti a un corso di formazione, ma non indicheremo i nomi stessi nel registro. Il registro delle attività di trattamento dei dati personali può essere paragonato all'inventario delle sezioni tematiche di una biblioteca. Ma senza il contenuto dei libri!
Fasi e comunicazione
Il primo passo consiste nell'informare i capi reparto e/o i responsabili dei processi dei nuovi sviluppi. Per farlo, si possono utilizzare i documenti disponibili a livello federale, come ad esempio quelli presenti sul sito Commissario federale per la protezione dei dati.
Successivamente, ogni manager deve contribuire a questo registro. Deve registrare i dati elaborati nel proprio processo.
In pratica, la redazione del registro delle attività di trattamento comporta la creazione di collegamenti con altri elementi della vostra organizzazione. Ad esempio, i sistemi informativi utilizzati per archiviare i dati, l'elenco dei reparti, i processi coinvolti, l'elenco dei responsabili del trattamento, ecc. Senza uno strumento adeguato (ad esempio un semplice foglio Excel), la documentazione può diventare complessa.
Utilizzare lo strumento giusto
Per questo abbiamo sviluppato il modulo Gestione dati di SIRIS+. Questo modulo vi permette di creare facilmente il vostro registro. E di integrarlo con i processi e i reparti della vostra organizzazione.
Avete bisogno di un supporto breve, efficace e pragmatico per aiutarvi a raggiungere la conformità? Potete contattarci utilizzando il modulo sottostante.
