17 Mag Il significato di “essere in compliance”
Come già indicato il Regolamento lascia al titolari del trattamento una significativa attività decisionale in merito alle modalità effettive da adottare al fine di conformarsi alle disposizioni.
Il rovescio di tale libertà risiede nel maggiore onere della prova attribuito al titolare del trattamento il quale è chiamato a dimostrare le ragioni a fondamento delle decisioni prese attraverso le quali ritiene di aver raggiunto un livello di conformità al Regolamento.
In considerazione di quanto indicato dal Considerando n. 78 laddove si legge testualmente che «La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente Regolamento», al fine di poter dimostrare la conformità al Regolamento, il titolare del trattamento dovrà predisporre delle politiche interne e delle misure tecniche che consentano di dimostrare, nello specifico, il rispetto del predetto principio.
Appare evidente che ogni azienda dovrà dare vita a specifiche misure tenuto conto dell’esclusivo processo aziendale, tra le quali in via generale ed esemplificativa si possono indicare:
1. riduzione al minimo indispensabile del trattamento dei dati personali;
2. pseudonimizzazione dei dati personali da realizzare già nelle prime fasi del trattamento;
3. approccio trasparente in relazione alle funzioni e al trattamento dei dati;
4. controllo per l’interessato delle modalità di trattamento dei dati personali;
5. realizzare e migliorare le caratteristiche di sicurezza per il trattamento dei dati personali.
Sul piano operativo, un importante strumento di compliance è sicuramente la predisposizione di un registro dei trattamenti.
Come, infatti, indicato dal Considerando n. 82 il titolare ovvero il responsabile del trattamento dei dati dovrebbero tenere un apposito registro dei trattamenti posti in essere nel quale documentare ogni elemento connesso all’utilizzo di dati personali e ciò al fine di dimostrare la conformità al Regolamento.
Dunque, la tenuta di un registro redatto in forma scritta ovvero elettronica sul quale ogni titolare o responsabile del trattamento, se previsto, indicano le attività di trattamento svolte sotto la propria responsabilità.
Fra le informazioni da indicare il Regolamento stabilisce una serie di importanti informazioni, quali:
1. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
2. le finalità del trattamento;
3. una descrizione delle categorie di interessati e delle categorie di dati personali che vengono in rilievo;
4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari extraeuropei od organizzazioni internazionali;
5. i trasferimenti di dati personali verso un paese extraeuropeo o un’organizzazione internazionale, identificando con precisione di quale paese terzo od organizzazione internazionale si tratta;
6. i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
7. una descrizione generale delle misure tecniche e organizzative adottate per garantire la sicurezza dei dati.
Il corretto utilizzo del suddetto registro può configurare un mezzo di pianificazione e di controllo fondamentale al fine di garantire la correttezza del trattamento dei dati personali nel rispetto delle prescrizioni del Regolamento, ma anche per documentare tutte le relative attività e trovarsi pronti ad affrontare eventuali controlli dell’Autorità.
Oltre alla tenuta del registro, al fine di dimostrare la conformità al dettato normativo del Regolamento, potrebbe essere disposta l’adozione di appositi codici di condotta, la necessità di acquisire particolari certificazioni.