Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA PRATICA

GDPR e registro dei trattamenti: ecco come redigerlo correttamente

Il registro dei trattamenti è un documento fondamentale per la conformità al GDPR e permette di raggiungere piena consapevolezza degli ambiti operativi propri dell’attività professionale svolta. La guida e gli aspetti pratici per strutturarlo e mantenerlo a norma di legge

07 Dic 2018
M

Luca Morini

Giurista, Data Protection Officer, Responsabile Emilia Romagna di Casa del Consumatore


Una delle novità introdotte dal Regolamento UE/679/2016 (il cosiddetto GDPR), nonché uno dei suoi più importanti adempimenti, è il registro delle attività di trattamento (o più semplicemente registro dei trattamenti).

Si tratta di un documento fondamentale per la conformità alla normativa, vero punto di partenza dell’analisi e della revisione dei processi di trattamento posti in essere da titolari e responsabili.

In questo articolo cercheremo di analizzarne gli aspetti salienti, le funzioni e le connessioni, mantenendo un approccio quanto più possibile pratico, volto ad acquisire le reali nozioni necessarie a gestirne redazione ed aggiornamenti successivi.

Perché è importante il registro dei trattamenti

Uno dei principi cardine, forse la vera e più forte rivoluzione culturale portata dal GDPR, è il concetto di accountability, ovvero di responsabilizzazione del titolare di un trattamento dati.

Il titolare è sempre responsabile delle proprie scelte in merito a finalità e modalità del trattamento che pone in essere nel sistema normativo delineato dal GDPR. Ciò posto, per ottenere reale protezione dei trattamenti di dati e più in generale conformità al regolamento nel suo complesso, senza dimenticare le incombenze del novellato Codice Privacy nazionale, occorre partire da una corretta analisi del proprio contesto lavorativo finalizzata alla redazione e al mantenimento nel tempo del registro dei trattamenti.

Il GDPR impone un approccio fortemente organizzativo e responsabilizzato rispetto al trattamento di dati di persone fisiche. Non può quindi esistere una razionale e ragionata ricerca di conformità, tantomeno reale e sostanziale, se non si raggiunge piena consapevolezza degli ambiti operativi propri dell’attività professionale svolta.

Il registro, in questo contesto, costituisce la base, il punto di partenza, l’imprescindibile fase ricognitiva iniziale, anche se non cristallizzata, della compliance.

Non a caso il registro è anche il primo documento che viene sicuramente richiesto in caso di attività ispettiva da parte del Garante tramite nucleo speciale privacy della Guardia di Finanza.

Caratteristica ulteriore del registro, che ne rafforza l’importanza, è la sua biunivoca funzione:

  • da un lato permette a titolari e responsabili di mappare per linee generali ma in modo completo tutti i trattamenti posti in essere nel proprio ambito operativo;
  • dall’altro permette al Garante di valutare l’approccio metodologico concretamente posto in essere per garantire sicurezza dei trattamenti e diritti degli interessati.

Quando è necessario realizzare il registro dei trattamenti

Preliminare alla valutazione dei rischi, preliminare alla loro analisi, preliminare alla scelta delle misure di sicurezza, alle loro revisioni, alla possibilità stessa di dimostrare le attività poste in essere per la conformità al regolamento (cfr. Considerando 82), il registro è un documento indispensabile che viene redatto, con precisione ed attenzione, come documento di analisi iniziale dei processi interni, come genesi del ragionamento complessivo volto alla conformità al GDPR.

Si tratta quindi del primo obiettivo da porsi, del primo documento da realizzare in forma scritta, anche elettronica secondo il paragrafo 4, art. 30, GDPR. Non va dimenticato che l’obbligo di tenuta del registro delle attività di trattamento risale al 25 maggio 2018, giorno in cui il Regolamento è divenuto direttamente applicabile in tutti gli Stati membri.

Chi è tenuto ad adottare il registro dei trattamenti

Sempre obbligatorio per le PA, il registro è sempre consigliato anche per chiunque effettui trattamento di dati personali di persone fisiche per scopi non privati.

Importante non farsi trarre in inganno dalla soglia di 250 dipendenti indicata nel testo normativo all’art. 30, paragrafo 5, GDPR. La soglia è invero utile per discernere l’obbligo di tracciare ogni tipo di trattamento dal mero obbligo di censire esclusivamente i trattamenti collegati a possibili rischi, i trattamenti non occasionali ed i trattamenti relativi a categorie particolari di dati, o relativi a condanne penali e reati.

Possiamo in definitiva ritenere obbligatoria la tenuta del registro in presenza di:

  • rischio per i diritti e le libertà dell’interessato (a prescindere dal grado di rischio, quindi anche per rischi bassi);
  • trattamento non occasionale di dati personali di persone fisiche;
  • trattamento di specifiche categorie di dati, particolari ex art. 9, paragrafo 1 e relativi a condanne penali e reati ex art. 10 GDPR.

La sua tenuta è quindi sostanzialmente obbligatoria per tutti i professionisti e tutte le aziende. Con rarissime eccezioni.

Come si redige e cosa contiene il registro dei trattamenti

Previsto dall’art. 30, il registro può essere di due tipi:

  • registro delle attività di trattamento del titolare del trattamento (art. 30, p. 1, GDPR);
  • registro delle attività di trattamento del responsabile del trattamento (art. 30, p.2, GDPR).

In questo documento ci soffermeremo in modo particolare sul registro del titolare essendo estremamente più semplice la redazione del registro del responsabile.

Importante tener presente che, come accennato, il documento si compila in forma scritta, anche elettronica, tenendo presente il quadro complessivo di compliance e l’obbligo di cooperazione con l’Autorità Garante sancito dall’art. 31 GDPR.

Sicuramente possibile utilizzare precedenti documenti già realizzati in alcuni casi. Una buona base di partenza per la sua realizzazione, almeno per una pubblica amministrazione, è sicuramente rinvenibile nei regolamenti relativi al trattamento di dati sensibili e giudiziari collegati all’ora abrogato art. 20 Codice Privacy. Per le PMI torneranno invece senz’altro utili i modelli semplificati predisposti dal Garante. Altri documenti, per alcuni, potrebbero tornare utili per la prima mappatura: si pensi ad esempio al DPS già deposto dal 2012, ma che per diversi aspetti potrebbe mostrarsi ancora utile.

In merito al contenuto in senso stretto, alle informazioni da indicare nel registro del titolare, tenuto conto non soltanto degli obblighi imposti, ma anche degli elementi di cui è consigliata l’indicazione, procederemo opportunamente a compilare il registro sulla base di tre macroaree:

  1. informazioni preliminari: nelle premesse vanno indicati, l’eventuale codice di revisione del documento, i dati di contatto del titolare, dell’eventuale contitolare, (di responsabile e sub responsabili nel relativo registro), eventualmente del DPO. Per dati di contatto intendiamo indirizzo, e-mail, PEC, numero di telefono (gli stessi dati di contatto dell’informativa);
  2. schede: delle singole sezioni del registro diremo in dettaglio a breve;
  3. note finali: nelle note finali inseriremo i criteri e i tempi di revisione e aggiornamento del registro (ad esempio, aggiornamento continuo in caso di necessità, comunque verificato mensilmente e revisione semestrale). Nelle FAQ rilasciate dal Garante sul registro trattamenti è stato anche suggerito e dato come obbligatorio un adempimento invero non rinvenibile nel GDPR e non portato dal decreto delegato di armonizzazione (D.lgs. 101/18): quello di fornire data certa al registro. Per chi preferisca cautamente assolvere a questo adempimento occorrerà trovare idonea modalità in tal senso. Un metodo senz’altro efficace può essere l’invio a sé stessi di copia del documento ad ogni revisione, possibilmente a mezzo PEC, ovvero con altre modalità idonee a rendere verificabile il contenuto del registro nel tempo.

Venendo alle singole schede, si consiglia un approccio progressivo: informazioni basilari inizialmente ed aumento del livello di dettaglio nel tempo.

Può essere una buona base di partenza l’adozione almeno delle seguenti schede (non tutte obbligatorie):

  • Codice univoco per ciascun trattamento. Si tratta di un adempimento utile per richiamare e organizzare gli obblighi informativi successivi nei confronti degli interessati. Se adeguatamente utilizzati anche nelle comunicazioni a terzi, i codici riferiti a trattamenti ad alto rischio per l’interessato possono assolvere alla funzione di protezione del trattamento meglio di moltissime altre misure di sicurezza e risultare utili strumenti anche in ossequio al centrale precetto normativo di cui all’art. 25 GDPR.
  • Tipologia di trattamento: indicare in questo campo, in relazione a ciascuna finalità, se siano effettuatati e quali almeno le seguenti operazioni di trattamento:
  1. raccolta;
  2. registrazione;
  3. organizzazione;
  4. strutturazione;
  5. conservazione;
  6. modifica;
  7. estrazione;
  8. consultazione;
  9. uso;
  10. comunicazione;
  11. diffusione;
  12. raffronto;
  13. interconnessione;
  14. limitazione;
  15. cancellazione;
  16. archiviazione;
  17. distruzione.
  • Finalità (indicarle in modo puntuale e completo es. gestione degli ordini, sorveglianza per sicurezza impianti, verifica obblighi vaccinali) e base giuridica (ex art. 6 GDPR). Nell’individuazione della base giuridica opportuno tener in debita considerazione le FAQ del Garante relative al registro dei trattamenti dov’è espressamente consigliato di specificare anche dettagli ad esse collegati, quali ad esempio l’indicazione del legittimo interesse concretamente perseguito, magari corredato da indicazione sul bilanciamento di interessi effettuato, le misure adeguate di garanzia, i riferimenti normativi concreti in caso di trattamento fondato su un obbligo di legge e così via.
  • Categorie di interessati (anche solo identificabili): indicare in questo campo, ad esempio, trattamenti di dati dei visitatori del sito Web aziendale, minori, dipendenti cessati dal servizio, disabili ecc.).
  • Categorie di dati trattati: indicare in questo campo se vengono trattati, ad esempio, dati anagrafici, ovvero dati relativi allo stato di salute, ovvero dati relativi alle convinzioni politiche, all’adesione ad associazioni, dati idonei a rivelare origini razziali o etniche (molto importante in questo campo riferire di trattamenti ex artt. 9 e 10 GDPR).
  • Categorie di destinatari dei dati: (Considerando 31, non sono considerati destinatari le autorità pubbliche che possono ricevere comunicazioni di dati personali in ambiti di indagine. Tutti gli altri sono da considerare destinatari) indicare in questo campo se vi sia trasferimento di dati verso enti pubblici, gestori di servizi esterni quali commercialisti, fornitori di servizi di hosting e via dicendo. Il Garante suggerisce di indicare anche trasferimenti verso responsabili e sub-responsabili.
  • Trasferimenti verso Paesi terzi e misure di garanzia adottate: indicare in questo campo se i dati vengano ad esempio inviati per l’archiviazione su server collocati fuori in Paesi esteri, se esistano protocolli di intesa e così via.
  • Termini di conservazione (vanno indicati anche nell’informativa) questo adempimento attua il principio di limitazione nella conservazione quando c’è identificabilità; possibile in alcuni casi indicare solamente i criteri (ad esempio, “fino al termine del contenzioso in corso”). In determinati contesti il termine massimo di conservazione è inoltre già noto (ad esempio, videosorveglianza comunale conservazione massima a 7 giorni). Il titolare, in ogni caso, consapevole delle proprie responsabilità, potrà indicare tempi di conservazione specifici che non risultino in contrasto con le norme di settore.
  • Misure di Sicurezza: indicarle e aggiornare costantemente questo campo “ove possibile” secondo il regolamento. Descrivere le misure attuate in via generale. Nel registro occorre indicarle, non spiegarne nel dettaglio il funzionamento. Questo campo costituisce occasione per dimostrare le proprie scelte.

Considerazioni finali

Il registro può essere ampliato dal titolare con informazioni, ad esempio, sul luogo di conservazione (non dettagliate, descrittive), sugli autorizzati, sull’adesione a codici di condotta, sull’eventuale DPIA effettuata, sul verificarsi di un data breach e via dicendo.

In merito a questo ultimo aspetto una considerazione finale è d’obbligo. Il trattamento di dati è fisiologicamente collegato a violazioni ed altri incidenti di percorso. Il GDPR non richiede che non si verifichino problemi relativi ai trattamenti, non lo richiede neppure la nostra Autorità Garante, forse per prima consapevole dei pericoli cui ogni trattamento è naturalmente esposto.

Quello che è realmente imposto, è che il titolare istituisca un ambiente lavorativo che offra idonee garanzie, che tenga conto del contesto, dei continui pericoli collegati ai trattamenti (non si pensi solamente al classico attacco informatico: è una violazione anche la perdita di un supporto USB) e predisponga una serie di misure collegate sia alla minimizzazione (ad esempio, raccolta dei soli dati realmente necessari, cosiddetto need-to-know only) dei rischi (anche tramite puntuale definizione di compiti e ruoli interni, come quello del soggetto designato di cui all’art 2-quaterdecies del D.lgs. 101/18, ed esterni tra responsabili che prestino idonee garanzie di conformità), che alla reale garanzia dei diritti esercitabili dagli interessati.

Diritti che occorre preservare e garantire tramite procedure idonee, anche in assenza di loro esercizio.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5