Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

NORMATIVA PRIVACY

Il registro delle attività di trattamento dei dati personali: casi particolari

Il registro delle attività di trattamento previsto dal GDPR è uno strumento utile per favorire la trasparenza nella gestione dei dati personali, perché permette di monitorare le attività svolte al riguardo. La normativa definisce chi debba occuparsi del registro e dei suoi contenuti. Analizziamola in dettaglio

13 Mar 2019
G

Renato Goretta

Imprenditore nel settore della consulenza e formazione aziendale


Il registro delle attività di trattamento previsto nel GDPR rappresenta un vero mutamento del paradigma culturale nel trattamento dei dati personali. L’obbligo di tenere il registro si traduce nel dovere di realizzare e implementare un effettivo strumento di definizione e monitoraggio delle attività svolte e di corretta e trasparente gestione del trattamento dei dati personali.

Chi deve compilare il registro delle attività di trattamento

Ma prima di tutto una domanda: chi deve redigere, ai sensi dell’Art. 30 GDPR, i registri delle attività di trattamento – per usare la definizione corretta – oltre alla pubblica amministrazione? La risposta: tutte le imprese e organizzazioni private. Perché una risposta così netta? Per due ordini di motivi: il primo di natura esclusivamente normativa (Art. 30 par. 5 GDPR); il secondo di natura più “filosofica” (Considerando n. 82 GDPR).

Relativamente al primo motivo, i titolari e i responsabili del trattamento sono tenuti a redigere il registro delle attività di trattamento ai sensi dell’Art. 30 apparentemente con l’esclusione delle imprese o organizzazioni con meno di 250 dipendenti “a meno che…”. Proprio questo inciso obbliga – come puntualmente viene indicato nelle FAQ sull’argomento dell’Autorità Garante per il trattamento dei dati personali – praticamente tutte le imprese e le organizzazioni a redigere il registro delle attività di trattamento. In particolare, i soggetti obbligati sono così individuabili:

  • imprese e organizzazioni con almeno 250 dipendenti (e questo è il principale precetto dell’Art. 30 del GDPR);
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’Art. 9, par. 1 GDPR (Trattamento di categorie particolari di dati personali), o di dati personali relativi a condanne penali e a reati di cui all’Art. 10 GDPR (Trattamento dei dati personali relativi a condanne penali).

Quindi prende forma e sostegno la provocatoria risposta al quesito iniziale alla luce della quale, per quanto disposto dall’Art. 30 par. 5 del GDPR, rientrano negli obbligati:

  • come forma giuridica anche: associazioni, fondazioni, comitati;
  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (ad esempio: bar, ristoranti, officine, negozi, piccola distribuzione ecc.) e/o che trattino dati sanitari dei clienti (ad esempio: parrucchieri, estetisti, ottici, odontotecnici, tatuatori, medici, fisioterapisti, assicurazioni ecc.);
  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (ad esempio: commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
  • associazioni, fondazioni e comitati che trattino categorie particolari di dati e/o dati relativi a condanne penali o reati ex Art. 9 par. 1 e Art. 10 GDPR (ad esempio: organizzazioni di tendenza; associazioni a tutela di soggetti cosiddetti “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
  • il condominio che tratti categorie particolari di dati (ad esempio: delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989 “Disposizioni per favorire il superamento e l’eliminazione delle barriere architettoniche negli edifici privati”; richieste di risarcimento danni comprensive di spese mediche relative a sinistri avvenuti all’interno dei locali condominiali).

Concessioni per le PMI

A tutte queste imprese o organizzazioni con meno di 250 dipendenti ricadenti nell’obbligo di redazione del registro delle attività di trattamento viene fatta una concessione: esse potranno beneficiare di misure di semplificazione potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (per esempio, dove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti a una sola fattispecie, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento). Quindi, in sostanza un registro formato light.

Su questo punto, in particolare sì è espresso anche il Working Party Article 29 (ora European Data Protection Board – EDPB) che ha pubblicato un parere sul registro dei trattamenti, nel quale precisa che le tre ipotesi indicate dall’Art. 30, par. 5, che fanno scattare comunque l’obbligo di tenuta del registro anche per le imprese con meno di 250 dipendenti, non sono alternative: è sufficiente che occorra una sola delle condizioni per far scattare l’obbligo di tenuta del registro.

Ad esempio, basta trattare dati personali in modo non occasionale per essere tenuti alla registrazione dei trattamenti. In tale ottica anche una PMI tratta regolarmente i dati dei propri dipendenti compresi dati particolari, attua un trattamento sicuramente stabile che, quindi, non può essere definito occasionale. Anche i liberi professionisti trattano dati personali altrui in maniera non occasionale così come un sito web con un form per i contatti. Il parere conferma che è sufficiente registrare i soli trattamenti che attivano l’obbligo di tenuta.

Il Considerando 82 del GDPR

Per quanto riguarda il secondo motivo, quello filosofico, e quindi al di fuori dei casi di tenuta obbligatoria del registro – a questo punto possiamo dire pochi davvero –, alla luce del Considerando 82 del GDPR, il Garante comunque raccomanda la redazione a tutti i titolari del trattamento dei dati personali e ai responsabili del trattamento, in quanto il registro è uno strumento che, fornendo piena consapevolezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio cardine del GDPR di accountability (trasparenza, responsività, compliance) e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso (Art. 30 par. 4 GDPR) mettendo a disposizione dietro esplicita sua richiesta il registro medesimo ferma la possibilità del Garante di chiedere al titolare del trattamento tutti gli altri documenti e/o informazioni diverse.

Il contenuto del registro delle attività di trattamento

In merito al contenuto in senso stretto, alle informazioni da indicare nel registro del titolare, tenuto conto non soltanto degli obblighi imposti, ma anche degli elementi di cui è consigliata l’indicazione, procederemo opportunamente a compilare il registro sulla base di tre macroaree:

  • informazioni preliminari: nelle premesse vanno indicati il codice di revisione, la data del documento e il nomefile del documento in versione digitale;
  • schede delle informazioni;
  • note finali: nelle note finali inseriremo i criteri e i tempi di revisione e aggiornamento del registro.

Dal Garante è stato anche suggerito e dato come obbligatorio un adempimento per la verità non rinvenibile né nel GDPR né nel Decreto delegato di armonizzazione (D.lgs. 101/2018): quello di fornire data certa al registro. Tale adempimento potrà essere cautelativamente assolto inviandosi il registro a ogni revisione tramite posta elettronica, meglio se certificata.

Il GDPR individua poi dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (Art. 30, par. 1 GDPR) e in quello del responsabile (Art. 30, par. 2 del GDPR). Entrando nello specifico di quanto previsto all’Art. 30 GDPR illustriamo il contenuto puntuale delle informazioni da introdurre nel registro del trattamento dei dati:

  • nel campo “dati di contatto” inseriremo i dati del titolare del trattamento dei dati, degli eventuali contitolari, rappresentanti del titolare del trattamento dei dati e Data Protection Officer;
  • nel campo “finalità del trattamento” oltre all’essenziale indicazione delle stesse, distinte per tipologie di trattamento bisogna indicare anche la base giuridica dello stesso (Art. 6 GDPR); e inoltre, ove effettuata, la valutazione d’impatto posta in essere dal titolare (provvedimento Garante del 22 febbraio 2018). Sempre con riferimento alla base giuridica, si deve, in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’Art. 9, par. 2 GDPR; in caso di trattamenti di dati relativi a condanne penali e reati, bisogna poi riportare la specifica normativa (nazionale o dell’UE) che ne autorizza il trattamento ai sensi dell’Art. 10 GDPR;
  • nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati, sia quelle di dati personali oggetto di trattamento;
  • nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati. Inoltre, è opportuno che siano indicati anche gli eventuali altri soggetti (responsabili del trattamento dei dati personali) ai quali siano trasmessi i dati da parte del titolare del trattamento dei dati personali. Ciò al fine di consentire al titolare medesimo di avere effettiva conoscenza delle modalità di trattamento dei dati personali e di tutte le registrazioni connesse;
  • nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del Capo V GDPR (Trasferimenti di dati personali verso Paesi terzi o Organizzazioni internazionali);
  • nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento. Tali tempi potranno essere determinati su base normativa (conservazione legale, fiscale o sostitutiva) o sulla base di prassi settoriali o per altre motivazioni (contenzioso, rendicontazioni ecc.). Importante è annotare le motivazioni che hanno portato a definire la durata del trattamento dei dati personali;
  • nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecniche-organizzative adottate dal titolare ai sensi dell’Art. 32 GDPR (Sicurezza del trattamento) tenendo presente che è rimessa al titolare del trattamento dei dati personali la valutazione finale relativa al livello di adeguatezza delle misure adottate e implementate. Tali misure avranno la caratteristica della dinamicità dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi.

Potrà essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare come ad esempio gli accadimenti (data breach, esposti) e nel caso di data breach le segnalazioni all’Autorità Garante per il trattamento dei dati personali e, eventualmente, in caso di ipotesi di danni, all’interessato.

Il registro potrà poi essere ampliato dal titolare con informazioni, ad esempio, sul luogo di conservazione, sui soggetti autorizzati, sull’adesione a codici di condotta e sull’eventuale valutazione d’impatto (DPIA – Data Protection Impact Assessment) effettuata.

Il registro dei trattamenti è, come abbiamo visto, un documento di censimento e analisi dei trattamenti effettuati dal titolare o dal responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato – è un documento dinamico – poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel registro, dando conto delle modifiche sopravvenute.

Il registro deve poi essere reso accessibile a tutti i soggetti che effettuano il trattamento in quanto strumento essenziale per una corretta gestione dei dati personali compresi gli interessati nei limiti previsti dalle disposizioni normative relative alla pubblicità degli atti proprie di ciascun ordinamento giuridico nazionale.

Il registro può essere compilato sia in formato cartaceo che elettronico ma deve recare, in maniera verificabile, la data della sua prima emissione unitamente a quella dell’ultimo aggiornamento: evidenza che possiamo ottenere, come abbiamo già visto, tramite la posta elettronica.

Gli obblighi del responsabile del trattamento dei dati

Vi è poi un altro obbligo coerente con quello trattato: il responsabile del trattamento e, dove individuato, un suo Rappresentante, tiene un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare” (Art. 30, par. 2 GDPR). In merito alle modalità di compilazione dello stesso è bene considerare le seguenti particolarità:

  • nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più Clienti quali autonomi e distinti titolari), le informazioni di cui all’Art. 30, par. 2 GDPR dovranno essere riportate nel registro con riferimento a ciascuno dei suddetti titolari/clienti. In caso di un elevato numero di titolari/clienti e nel caso l’attività di puntuale indicazione e di continuo aggiornamento dei nominativi degli stessi nonché di correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile potrebbe riportare il rinvio, ad esempio, a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’Art. 30, par. 2 GDPR [nome e dati di contatto del o dei responsabili del trattamento, di ogni titolare del trattamento per cui si agisce del Rappresentante del titolare del trattamento e, se nominato, del Data Protection Officer (DPO); le categorie dei trattamenti effettuati; gli eventuali trasferimenti di dati verso un Paese terzo o Organizzazione internazionale o per i trasferimenti di cui all’Art. 49 par. 2 GDPR (divieto di trasferimento della totalità dei dati personali o di intere categorie di dati personali; consultazione del registro solo da parte di persone aventi legittimo interesse; trasferimento dati solo su richiesta); descrizione delle misure tecniche-organizzative (Art. 32 par.1 GDPR);
  • con riferimento alla “descrizione delle categorie di trattamenti effettuati” (Art. 30, par. 2, lett. b) GDPR) è possibile far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’Art. 28 GDPR (responsabile del trattamento), deve individuare, in particolare, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati oggetto del trattamento, nonché la durata di quest’ultimo;
  • in caso poi di presenza di un sub-responsabile del trattamento dei dati personali il registro delle attività di trattamento svolte da quest’ultimo dovrà specificatamente far riferimento ai contenuti del contratto stipulato tra lo stesso e il responsabile ai sensi dell’Art. 28, par. 2 e 4 GDPR.

Il regime sanzionatorio

La tenuta del registro delle attività di trattamento si colloca nella I Sezione del Capo IV GDPR (Obblighi generali). Si tratta quindi di un obbligo vincolante la cui mancata attuazione rappresenta una violazione dei principi generali di accountability.

Ciò significa che l’inadempimento di tale obbligo potrà essere considerato dall’Autorità Garante per il trattamento dei dati personali come elemento valutativo nell’ambito dell’esercizio dei propri poteri di intervento e controllo e assoggettato all’irrogazione di una sanzione fino a 10.000.000 di euro o, se superiore, fino al 2% del fatturato globale dell’esercizio precedente (Art. 83, par. 4 lett. a) – Condizioni generali per infliggere sanzioni amministrative pecuniarie).

Conclusioni

Un’ultima considerazione è d’obbligo: il trattamento dei dati è collegato nei fatti a violazioni e ad altri incidenti di percorso – non solo informatici – che sono sempre possibili ed è quindi necessario che il titolare del trattamento dei dati personali crei un ambiente lavorativo che offra adeguate presidi – giuridici-informatici-organizzativi – che tenga conto del contesto e delle sue evoluzioni, dei continui pericoli collegati ai trattamenti e predisponga una serie di misure collegate sia alla minimizzazione dei rischi che alla reale garanzia per i diritti esercitabili dagli interessati.

Il registro delle attività di trattamento è senz’altro uno degli strumenti più idonei per mettere a sistema, coordinare e tenere aggiornati tali presidi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5