Il nuovo regolamento sulla protezione dei dati personali prevede che ogni titolare di trattamento che abbia oltre 250 dipendenti, debba tenere un registro delle attività di trattamento.
Ritengo che tale strumento possa costituire un valido aiuto anche per quelle realtà che ne sarebbero esonerate.
Il registro delle attività di trattamento costituisce il riferimento primario per tutte le attività di valutazione, auditing, supervisione, valutazione del rischio del titolare del trattamento e non da ultimo le attività ispettive e di controllo delle autorità incaricate.
Le moderne organizzazioni trattano molti dati personali, in diversi luoghi e con molti stumenti; inoltre intrattengono dei flussi informativi con altri titolari di trattamento.
Un registro che indichi chiaramente dove sono i dati, quali sono le finalità, come vengono trattati, da chi, quali sono i flussi, per quanto tempo verranno conservati e le misure di sicurezza applicate è uno strumento fondamentale, specialmente in caso di eventuali problemi.
Che sia realizzato con strumenti self-made (es. foglio di calcolo) oppure aquistando un applicativo ad-hoc, rimane lo strumento principale nelle mani del titolare del trattamento per capire i processi di trattamento dei dati personali, in essere presso le proprie strutture.
UPDATE: il Garante ne consiglia caldamente la redazione a tutte le realtà, anche coloro che non ne hanno l’obbligo.