Il registro dei trattamenti semplificato consente a titolari e responsabili del trattamento dati di piccole e medie imprese di rendere meno oneroso l’adeguamento al Regolamento europeo per la protezione dei dati personali (il cosiddetto GDPR).
Ricordiamo, infatti, che il registro dei trattamenti fa parte di quelle misure “tecniche e organizzative” citate nell’Art. 5 del GDPR ed è descritto nei termini e nelle modalità nell’Articolo 30 dello stesso Regolamento.
Molti pensano che il registro dei trattamenti sia da tenere solo per le grandi organizzazioni (superiori ai 250 dipendenti): in realtà, così come sottolineato anche nelle Linee Guida del Garante, è un documento “essenziale” per dimostrare la propria “accountability” anche in merito a quanto viene scritto nel Considerando 82 del GDPR che citiamo testualmente:
“Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti”.
Da cui si evince che è vero che l’obbligo non sussiste per tutti (vedi Art.30 GDPR), ma è altresì vero che non esistono altri modi altrettanto efficaci a documentare quello che si sta facendo.
Detto questo e, per convincere ulteriormente gli irriducibili del “… tanto io non sono obbligato!”, riportiamo anche quello che dice il Garante della Privacy nelle FAQ relative al registro dei trattamenti:
“Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”.
Indice degli argomenti
Registro dei trattamenti semplificato: chi è obbligato
Si precisa che, come da Art.30 del GDPR, tutti i titolari e i responsabili del trattamento sono tenuti a redigere il registro delle attività di trattamento.
Premesso che, per le Pubbliche Amministrazioni l’obbligo è senza distinzioni, oltre quello di nominare un Responsabile Protezione Dati (RPD o DPO che dir si voglia), per quanto riguarda invece le aziende o le organizzazioni, i soggetti in particolare individuabili come obbligati sono:
- imprese o organizzazioni con almeno 250 dipendenti;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio, anche non elevato, per i diritti e le libertà dell’interessato;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’art. 9, par. 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’art. 10 GDPR;
dove per “organizzazioni” s’intendono le associazioni, le fondazioni e i comitati (vedi Art.30 par.5 GDPR).
In merito al punto c., dove si parla di “trattamenti non occasionali”, è da considerare il parere riportato nel sito del EDPB European Data Protection Board (Ex WP Art.29 gruppo di lavoro dei Garanti Europei) che può fare maggiore chiarezza.
Per rientrare nei trattamenti non occasionali è sufficiente eseguire un trattamento con una certa regolarità e in modo stabile come ad esempio una piccola azienda che tratta regolarmente i dati dei dipendenti (sensibili e non).
Altri casi di “trattamento non occasionale”, potrebbero essere quelli di un professionista che tratta i dati dei clienti o un sito web che raccolga i dati attraverso una normalissima form di richiesta informazioni.
Il parere del WP Art.29 chiarisce anche che, in caso un’azienda privata sia meno di 250 dipendenti, è sufficiente tenere il registro dei trattamenti semplificato anche solo per quei trattamenti soggetti all’obbligo, peraltro anche confermato dal Garante stesso.
Categorie di attività obbligate alla tenuta del registro
Sempre nelle Linee Guida del Garante, ci sono ulteriori indicazioni con tanto di esempi specifici di categorie di attività per i quali è previsto l’obbligo di tenuta del registro dei trattamenti semplificato:
- esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione ecc.) e/o che trattino dati sanitari dei clienti (ad esempio: parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
- liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (ad esempio: commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
- associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti cosiddetti “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
- il condominio ove tratti “categorie particolari di dati” (ad esempio, delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
Registro semplificato del trattamento: cosa deve contenere
È doveroso precisare che esistono due tipi di registro di trattamento semplificato :
- il registro a cura del titolare del trattamento
- il registro a cura del responsabile o sub-responsabile
Ricordando che, per chi non avesse ancora chiara questa distinzione, per titolare del trattamento s’intende la persona fisica o giuridica che determina i mezzi e le finalità del trattamento mentre per responsabile del trattamento s’intende la persona fisica o giuridica che tratta i dati in nome e per conto del titolare.
Il registro semplificato per il titolare
- denominazione e dati di contatto del titolare, co-titolare o rappresentante se all’estero;
- nome e cognome o ragione sociale del Responsabile della Protezione Dati o DPO se nominato. Se non nominato, è consigliabile scrivere in questo campo le motivazioni della mancata nomina;
- tipologie di trattamento: indicare sommariamente il tipo di trattamento a cui ci si riferisce (ad esempio: retribuzione dipendenti, raccolta dati dal sito ecc.);
- finalità e basi legali: in questo spazio è necessario indicare la finalità e le sottofinalità per cui si trattano i dati (ad esempio: elaborazione busta paga, contattare l’utente in seguito a richiesta informazioni) e i criteri di liceità su cui si basa il trattamento (ad esempio: obblighi contrattuali e pre-contrattuali, obblighi di legge, legittimo interesse, consenso dell’interessato ecc.). Buona regola è inserire una sola finalità per ogni trattamento;
- categorie di interessati: qui bisogna indicare le categorie a cui si riferiscono i dati (ad esempio: dipendenti, utenti sito, clienti e fornitori, candidati, stagisti ecc.);
- categorie di dati personali: questo campo è importante in quanto si va ad indicare se si trattano dati personali comuni o particolari (ex sensibili) e giudiziari. Se si trattano dati particolari è necessario indicare se si tratta di: dati sanitari, dati genetici, dati biometrici, dati giudiziari, dati di orientamento politico, religioso o sessuale, dati di origine razziale o etnica, appartenenza sindacale. Senza entrare troppo nel dettaglio si possono anche indicare a titolo esemplificativo i principali dati trattati a fianco della categoria (ad esempio: dati anagrafici, cartelle mediche, certificati di salute, curriculum vitale, dati di contatto ecc.);
- categorie di destinatari: qui vanno indicati gli estremi dei responsabili che trattano i dati per conto del titolare (ad esempio: medico del lavoro, centro elaborazione paghe, Web Provider ecc.) e/o eventuali altre categorie di titolari a cui possono essere comunicati i dati (ad es. enti pubblici, banche, enti previdenziali…);
- trasferimento dati verso paesi terzi: nel caso i dati possano essere trasferiti in paesi extra UE bisogna indicare quali e, se esistono o meno le condizioni di adeguatezza per questi paesi (ad esempio: Privacy Shield per USA e/o paesi espressamente indicati fra quelli per cui è stata presa una “decisione di adeguatezza” dalla Commissione UE o in base a delle Binding Corporate Rules);
- termini ultimi di cancellazione previsti: qui il compito si fa un po’ arduo in quanto va indicato per quanto tempo vengono trattati i dati prima di cancellarli. Non essendoci regole e linee guida precise, a parte i dati per cui esistono dei tempi minimi di conservazione di legge (ad esempio: dati amministrativi), i criteri di valutazione vanno stabiliti in base a diversi fattori come basi giuridiche e finalità sempre però legati al principio fondamentale di “minimizzazione”, fra i più importanti del GDPR;
- misure di sicurezza tecniche ed organizzative: in questo spazio si vanno ad elencare le principali misure che si sono adottate per assicurare una protezione “adeguata” dei dati (ad esempio: pseudonimizzazione, cifratura dei dati, backup, formazione ecc.).
Il registro semplificato per il responsabile
Il responsabile del trattamento deve però necessariamente redigere un registro separato per ogni titolare per cui tratta i dati.
Facciamo l’esempio di una Web Agency che gestisce le attività di marketing per conto di diversi clienti: essa dovrà compilare un registro del responsabile per ogni azienda (titolare del/i trattamento/i) per cui lavora.
Ecco, in dettaglio, cosa deve contenere il registro dei trattamenti semplificato per il titolare al fine di compilarlo correttamente:
- denominazione e dati di contatto del responsabile;
- denominazione e dati di contatto del titolare/contitolare/i per cui si trattano i dati;
- nome e cognome o ragione sociale del Responsabile della Protezione Dati o DPO direttamente nominato dal responsabile. Se non nominato, è consigliabile scrivere in questo campo le motivazioni della mancata nomina;
- categoria di trattamento: la categoria di trattamento dovrebbe corrispondere, in linea di massima, a quella che ha indicato il titolare nel suo registro dei trattamenti;
- trasferimento dati verso paesi terzi: nel caso i dati possano essere trasferiti in paesi extra UE bisogna indicare quali e, se esistono o meno le condizioni di adeguatezza per questi paesi (ad esempio: Privacy Shield per USA e/o paesi espressamente indicati fra quelli per cui è stata presa una “decisione di adeguatezza” dalla Commissione UE o in base a delle Binding Corporate Rules);
- misure di sicurezza tecniche ed organizzative: in questo spazio si vanno ad elencare le principali misure che si sono adottate per assicurare una protezione “adeguata” dei dati (ad esempio: pseudonimizzazione, cifratura dei dati, backup, formazione ecc.);
Modalità di aggiornamento e conservazione
Poiché i processi che riguardano il trattamento dei dati di un’organizzazione sono sempre in evoluzione, anche Il registro dei trattamenti semplificato deve essere mantenuto costantemente aggiornato in quanto il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere.
Ogni variazione in ordine a modalità, finalità, misure di protezione, categorie di dati, categorie di interessati, deve essere inserita nel Registro, tenendo traccia delle modifiche.
Il registro può essere redatto ed esibito sia in formato cartaceo che digitale e deve indicare la data della prima redazione e quella dell’ultimo aggiornamento come ad esempio:
“Registro creato il: DD.MM.YYYY”
“Data ultimo aggiornamento: DD.MM.YYYY”
Informazioni aggiuntive
Siccome il registro dei trattamenti non è un modello unificato nulla vieta, allo scopo di renderlo più utile e completo, di inserire ulteriori informazioni aggiuntive a quelle già elencate come ad esempio:
- informazioni sul referente e/o sugli autorizzati interni preposti al trattamento;
- modalità di richiesta del consenso;
- se vengono eseguite attività di profilazione;
- se vengono trattati dati di minori;
- modalità di trattamento (ad esempio: cartaceo o elettronico);
- luogo di custodia del cartaceo e/o del server
Conclusioni
Probabilmente, dopo aver letto questo articolo, chi auspicava di poter svicolare da questo adempimento pensando erroneamente che il registro dei trattamenti è per le grosse aziende o per chi tratta dati “sensibili” si sbaglia di grosso.
Inoltre non si deve neanche incorrere nell’errore che, una volta redatto il registro dei trattamenti, ci si possa ritenere “adeguati” in quanto le procedure e i processi necessari a raggiungere la sospirata “compliance” sono molti e tutti allo stesso modo importanti come, ad esempio; la gap analysys, la risk assessment, le Informative corrette e le procedure di consenso (fondamentali!), le nomine e la formazione ad autorizzati e responsabili, le varie procedure come, ad esempio, data breach e diritti degli interessati fino ad arrivare ai regolamenti aziendali.
Insomma, la protezione dei dati personali non va banalizzata e incentrata sulla mera compilazione di un registro, comunque fondamentale, bensì andrebbe inserita strategicamente all’interno di un vero e proprio modello operativo della privacy.
Solo così l’applicazione del GDPR, da semplice adempimento, può trasformarsi in opportunità per ottimizzare i propri processi interni e proteggere i dati aziendali.
