La nuova Legge federale sulla protezione dei dati propone importanti novità in merito alla gestione e protezione dei dati delle persone fisiche. Tra queste prendiamo in esame il richiamo all’Articolo 12 “Registro delle attività di trattamento”. Dunque per conformarsi al nuovo testo, occorre dotarsi di un elenco che raccoglie le attività oggetto di trattamento, da parte del Titolare e del Responsabile.
Articolo 12 LPD
Nello specifico l’articolo 12 (LPD) prevede quanto segue: “I titolari e i responsabili del trattamento tengono ognuno un registro delle rispettive attività di trattamento”, continua il secondo capoverso: “Il registro del titolare del trattamento contiene almeno:
- l’identità del titolare del trattamento;
- lo scopo del trattamento;
- una descrizione delle categorie di persone interessate e delle categorie di dati personali trattati;
- le categorie di destinatari;
- se possibile, la durata di conservazione dei dati personali o i criteri per determinare tale durata;
- se possibile, una descrizione generale dei provvedimenti tesi a garantire la sicurezza dei dati personali secondo l’articolo 8;
- se i dati personali sono comunicati all’estero, le indicazioni relative allo Stato destinatario e le garanzie di cui all’articolo 16 capoverso 2.
Ancora il terzo capoverso: “Inoltre Il registro del responsabile del trattamento contiene indicazioni in merito alla sua identità e a quella del titolare del trattamento, alle categorie dei trattamenti eseguiti su incarico del titolare del trattamento, come pure le indicazioni di cui al capoverso 2 lettere f e g.“
Anche se le norme escludono di fatto, imprese e organizzazioni di diritto privato che impiegano meno di 250 collaboratori e le persone fisiche, dall’obbligo di tenere un registro delle attività di trattamento (Articolo 24 Ordinanza sulla protezione dei dati – OPDa), ritengo che il registro dei trattamenti sia un documento essenziale da avere a disposizione, per almeno due ordini di motivi:
- permette un corretto censimento dei dati trattati effettuati dal Titolare o dal Responsabile (documento che pertanto dovrà essere costantemente aggiornato);
- è alla base del l’assolvimento dell’obbligo di accountability “rendere conto”, ovvero dimostrare di aver fatto il possibile per gestire al meglio nel rispetto della normativa e gestione sicura del dato. Onere della prova spetta al Titolare del trattamento.
LPD: principi generali
Ricordiamo in ultima analisi gli obblighi principali introdotti dalla nuova Legge federale sulla protezione dei dati, ai quali ai quali bisogna conformarsi. Possiamo riassumerli così:
- organizzare un insieme di trattamento dati e loro protezione in modo documentato;
- ogni dato deve essere protetto da minacce sia interne al titolare che esterne;
- utilizzare i dati in modo lecito (secondo gli scopi richiesti per l’acquisizione del dato);
- informare in caso di violazione e possibile danno, le autorità competenti e l’interessato al trattamento.
Gestire dati diventa sempre più complesso ed articolato, AFG & Partners è a vostra disposizione nell’accompagnarvi in questo percorso di aggiornamento.
Per informazioni, contattateci direttamente allo 091 840 92 50, oppure scrivete a info@afgpartners.ch