Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

ADEMPIMENTI PRIVACY

Granularità del registro dei trattamenti: regole pratiche per redigerlo correttamente

La granularità del registro dei trattamenti dipende dalla complessità dell’organizzazione, dovendo fornire una visione d’insieme della circolazione dei dati al suo interno. Ecco alcune regole pratiche per definire innanzitutto i trattamenti effettuati e poi aggregare le operazioni effettuare sui dati per definire le attività di trattamento

27 Gen 2020
S
Luca Scarabosio

Partner presso OmniConsulting IT


L’art. 30 del Regolamento europeo GDPR prevede che ogni titolare del trattamento tenga un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro deve contenere tutte le seguenti informazioni:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale ed eventualmente la documentazione delle garanzie adeguate;
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative

Sulla base di queste indicazioni, sono disponibili in Rete diversi modelli di registro, da semplici fogli Excel a software più sofisticati.

Ma indipendentemente dallo strumento utilizzato, il problema che si trova ad affrontare il titolare o il consulente chiamato a definire il registro è principalmente nella definizione dei trattamenti effettuati.

Granularità del registro dei trattamenti: esempi

L’art. 4 del GDPR definisce Trattamento “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Nasce quindi immediatamente la questione di come aggregare le operazioni che vengono effettuate sui dati personali per definire una “attività di trattamento” da elencare nel registro e come raggruppare le attività stesse.

Immaginiamo un semplice esempio di trattamento come quello relativo all’invio di una newsletter. È un’attività fatta da una serie di operazioni (ad esempio: accesso al database dei clienti, estrazione della lista, invio della mail ecc.), ma può essere vista anche come una delle diverse operazioni di trattamento fatte all’interno delle attività di marketing e un’altra potrebbe essere, ad esempio, quella di invio cartaceo di materiale informativo e via dicendo.

Nel registro, quindi, potremo avere una granularità differente: ipotizzare un trattamento per ogni singola attività di marketing, o raggruppare tutto in un insieme di attività di marketing svolte dalla Società?

In pratica, inserire ogni singola azione o campagna di marketing come singolo trattamento o considerare un unico macro trattamento “Marketing”?

Situazione analoga può essere considerata per i trattamenti relativi al personale. Anche qui si pone la questione se considerare un unico trattamento di “Gestione del personale”, inserendo nella descrizione i vari sotto-trattamenti (ad esempio: elaborazione paghe, invio certificati, pagamento stipendi ecc.) o fare “n” trattamenti separati?

Ovviamente non esiste una risposta univoca perché la granularità del registro dipende dalla complessità dell’organizzazione, ma in linea generale il suggerimento è quello di favorire sempre la leggibilità del registro, tenendo presente che la sua funzione principale è quella di dare una visione di insieme della circolazione dei dati all’interno dell’azienda, una specie di cruscotto di controllo operativo che permette di identificare il quadro generale.

Granularità del registro dei trattamenti: approcci

La granularità delle informazioni riportate nel registro non è prescritta nel testo di legge, e sono possibili senz’altro aggregazioni nel modellare le attività di trattamento documentate, purché la schematizzazione adottata consenta una verifica dei trattamenti efficace nella propria realtà operativa.

L’organizzazione del registro può quindi essere fatta in base a due tipi di raggruppamenti diversi:

  1. per processi o funzioni aziendali;
  2. per interessati.

Nel primo caso, per ogni funzione o processo aziendale viene preso e analizzato l’insieme dei trattamenti effettuati. Ad esempio, l’ufficio amministrativo tratterà i dati dei dipendenti, clienti e fornitori per effettuare i pagamenti e/o fare le fatture e via dicendo.

Nel secondo caso, vengono presi in considerazione tutti i trattamenti che hanno come soggetto un certo interessato con e varie finalità. Ad esempio, i dati dei dipendenti sono trattati per la gestione delle pratiche di assunzione, per le comunicazioni obbligatorie, per il calcolo delle paghe ecc. da più uffici o funzioni aziendali.

Entrambi gli approcci sono validi, si tratta di una matrice che può essere letta in orizzontale o verticale, ma alla fine deve contenere per ogni trattamento una finalità, una base giuridica, un insieme di interessati e di persone autorizzate al trattamento.

CandidatiDipendentiFornitoriClienti
Uff. Personale
  • Selezione e valutazione CV
  • Conservazione dei CV all’interno di una cartella di rete della rete aziendale
  • Pianificazione ed esecuzione dei colloqui con i candidati
  • Finalizzazione delle selezioni, con inserimento in organico delle figure professionali ritenute idonee
  • Rilevamento presenze
  • Registrazione ferie, permessi, malattia
  • Elaborazione delle paghe
  • Sorveglianza medica
Uff. Amministrativo
  • Pagamento stipendi
  • Gestione della fatturazione
  • Gestione della contabilità
  • Gestione fornitori e clienti
  • Gestione Banche pagamenti ed incassi
  • Gestione contenzioso
  • Dipendenti pagamento stipendio e prestiti
Ufficio IT
  • Gestione delle credenziali per la gestione dei sistemi di autenticazione e di autorizzazione aziendali
  • Gestione delle credenziali delle mail aziendali
  • Analisi dati di traffico
Ufficio Commerciale
  • Raccolta dati personali di prospect e clienti per attività commerciale
  • Gestione rapporti contrattuali con Clienti
  • Customer Care

Non importa quindi se si organizza il registro per tipologia di dati, per struttura aziendale, per servizi/prodotti o con altri criteri, ma comunque è buona prassi aumentare il dettaglio dei trattamenti in base alla analisi di rischio per gli interessati, con una granularità non necessariamente uniforme per tutti i trattamenti.

Se all’interno dell’organizzazione è presente un trattamento relativo ai visitatori dell’azienda, tale trattamento può sicuramente essere descritto sommariamente, in quanto l’impatto per gli interessati è generalmente limitato.

Nel caso di prenotazioni in un hotel, invece, in cui spesso è richiesta anche la carta di credito, è evidente che il registro dovrà dettagliare meglio ogni singola operazione effettuata sui dati personali, con particolare attenzione alle misure di sicurezza, anche nei casi in cui non è specificatamente richiesta la valutazione di impatto sulla protezione dei dati (DPIA) in base all’art. 35 del GDPR.

Il registro dei trattamenti dovrà avere necessariamente una buona granularità nei casi in cui è prevista la valutazione di impatto, che ricordiamo essere:

  • trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive;
  • trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato;
  • trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati;
  • trattamenti su larga scala di dati aventi carattere estremamente personale (vita familiare o privata);
  • trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;
  • trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
  • trattamenti effettuati attraverso l’uso di tecnologie innovative (IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line);
  • trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
  • trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni;
  • trattamenti di categorie particolari di dati oppure di dati relativi a condanne penali e a reati interconnessi con altri dati personali raccolti per finalità diverse;
  • trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;
  • trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

In questi casi, il registro dovrà specificare in modo puntuale le finalità, le categorie di interessati e le categorie di dati personali, con particolare attenzione anche alle categorie di destinatari a cui i dati personali possono essere comunicati, e se possibile, anche in dettaglio le misure di sicurezza applicate e i termini della cancellazione, evitando espressioni generiche come ad esempio “i dati sono conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

Conclusione

Possiamo dire che il registro non ha una forma standard, in cui fare un semplice “copia e incolla” di un foglio Excel, ma deve essere una reale fotografia della circolazione dei dati all’interno dell’azienda, in grado di effettuare uno zoom dove è più alto il rischio per gli interessati, ed è per questo che è fondamentale effettuare sempre una revisione periodica, almeno su base trimestrale, di quello che è il documento principale per dimostrare il rispetto del principio di accountability del titolare.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4