DPO e Registro Trattamenti: perché sono importanti


Due sono i temi che si trattano all’interno della tappa di maggio della roadmap verso la nLPD: il ruolo del Data Protection Officer nella normativa svizzera e il relativo team e poi parleremo del registro dei trattamenti.


L’articolo 10 della nuova LPD parla di Consulente della Protezione dei Dati conosciuto a livello internazionale come Data Protection Officer. Il DPO è un ruolo di affiancamento al titolare del trattamento, è un soggetto che dovrà consigliare nell’applicazione della norma il titolare del trattamento, si occupa dell’organizzazione della formazione interna ed è un soggetto che deve essere indipendente rispetto a chi decide finalità ovvero scopo e modalità del trattamento stesso.

Il DPO e il registro dei trattamenti

Una delle attività che deve essere in grado di svolgere il Data Protection Officer è quella di interrogare un registro dei trattamenti. All’interno di questo registro è presente la mappatura di tutti gli scopi perseguiti dal titolare del trattamento, tutte le finalità, le tipologie di dati trattati, la categoria dei soggetti interessati fino ad avere una sezione dedicata alle misure di sicurezza di eventuali trasferimenti dati fuori dall’Unione Europea.

Anche la nuova LPD (prendendo spunto dal GDPR) richiede una mappatura di queste informazioni, fondamentale perché permette ovviamente al titolare del trattamento e al Data Protection Officer di analizzare il trattamento e andare a individuare specifici livelli di rischio.

Come si incomincia a costruire un registro dei trattamenti e la sua importanza

Una delle attività preliminari per costruire un registro dei trattamenti è quella di eseguire degli audit e quindi andare ad intervistare i referenti all’interno dell’azienda per avere poi la mappatura omogenea di tutti i trattamenti che si svolgono all’interno dell’azienda stessa.

Esistono due concezioni di implementazione del registro: un concetto del vecchio continente cioè interviste a dei soggetti apicali per raccogliere informazioni, oppure c’è la possibilità di partire da dagli asset quindi con strumenti impiegati dal titolare del trattamento per perseguire determinati finalità, la tipologia di dato che viene trattato per poi andare a costruire il perché viene trattato questo dato che rappresenta lo scopo perseguito dal titolare.

Strumenti di Data Governance e titolare del trattamento

Una delle criticità emerse nel mondo digitale nell’era digitale, che viviamo oggi, è l’evoluzione delle tecnologie, di conseguenza viene richiesto al titolare del trattamento un approccio dinamico e proattivo nella mappatura dei trattamenti, quindi avvalersi di tool automatizzati che permettono di fungere da cruscotto per avere un overview del livello di compliance societaria.

Spunti pratici

Il registro è obbligatorio per tutte le aziende sopra i 250 dipendenti che comunque è consigliato per tutti i titolari del trattamento perché come titolare del trattamento hanno l’obbligo di conoscere i trattamenti al loro interno. Stessa discorso vale per il DPO che non è obbligatorio, ma avere un DPO è importante come elemento di responsabilizzazione interna.

Se si decide di nominare un Dato Protection Officer tutte le informative dovranno riportare i dati di contatto dello stesso e dovrà notificato all’Autorità Garante Federale il nominativo del DPO individuato.

Condividi:

Articoli recenti

LPD ANNUAL MEETING 2023

Il 30 novembre 2023 all’Hotel Splendide Royal ha avuto luogo la seconda edizione de LPD annual meeting. Argomento chiave dell’evento è stato l’Intelligenza Artificiale insieme

Trova altre notizie