La redazione e il conseguente aggiornamento del registro dei trattamenti rappresentano uno degli elementi per la definizione della conformità al GDPR da parte del titolare o del responsabile del trattamento.
Indice degli argomenti
Redazione e aggiornamento del registro dei trattamenti: cosa dice il GDPR
Il Considerando 82 del Reg. UE 679/2016 (GDPR) recita, infatti: “per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità”.
Come sempre avviene nel GDPR, da un considerando derivano direttamente uno o più articoli (non a caso i considerando sono quasi il doppio degli articoli) e, pertanto, dal considerando 82 deriva direttamente l’art. 30, il quale quasi semplicemente sostituisce il “dovrebbe”, tipico dei considerando, con una forma verbale più adatta ad un Regolamento sancendo quindi che: “ogni titolare del trattamento e, ove applicabile, il suo rappresentante, tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”; tali registri “sono tenuti in forma scritta, anche in formato elettronico”.
La ratio di questo adempimento è anch’essa indicata all’interno del considerando 82, ovvero dimostrare la conformità al presente Regolamento e quindi l’accountability del titolare.
L’obbligo di “tenere” un registro delle attività di trattamento, però, non si applica alle imprese o organizzazioni con meno di 250 dipendenti salvo che “il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.
L’esenzione per le imprese con meno di 250 dipendenti, che non effettuino il trattamento sistematico di categorie particolari di dati, ci fornisce un ulteriore elemento per comprendere meglio un altro obiettivo del registro: la sua funzionalità al servizio delle grandi realtà, dove i trattamenti sono così diversi e numerosi, da necessitare che il titolare in primis ne prenda coscienza, tracciandoli puntualmente.
Ma come posso dimostrare l’accountability della mia impresa se non ho piena coscienza dei trattamenti di dati personali che avvengono all’interno di essa? Come posso essere compliance se non ho il “controllo” sui trattamenti che vengono eseguiti nell’esercizio della mia attività?
Le problematiche
Sulle modalità di compilazione del registro, il Regolamento non lascia quasi spazio all’inventiva, sancendo in dettaglio tutti i dati che vi devono essere inseriti: il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati, le finalità del trattamento, una descrizione delle categorie di interessati e delle categorie di dati personali, le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali, gli eventuali trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale (con allegata documentazione delle garanzie adeguate), i termini ultimi previsti per la cancellazione delle diverse categorie di dati e, da ultimo, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 e 2.
Stando alla lettera dell’art.30, dunque, stilare un registro della attività di trattamento potrebbe sembrare un mero lavoro di “data entry”, nella misura in cui chiunque sarebbe capace di creare, ad esempio, un file Excel dove incolonnare punto per punto, seguendo l’ordine alfabetico già indicato nell’articolo, tutti i dati previsti aggiungendo semplicemente una colonna con il “nome” del trattamento.
Questa operazione sembra facile ed in effetti potrebbe esserlo per tutte le imprese che, pur essendo obbligate a tenere il registro dei trattamenti (ad es. per il trattamento sistematico di dati sanitari), svolgano un’attività singola di piccole dimensioni e con pochi dipendenti (es. laboratorio di analisi cliniche).
Purtroppo, però, questa casistica è davvero rara in quanto, all’interno di imprese anche piccole, ci sono molti più trattamenti di quanti pensi il titolare stesso, motivo per cui è sempre preferibile affidarsi a personale competente per la redazione del registro o comunque prestare la massima attenzione a questa attività.
Per esempio, è molto diffusa la tendenza ad inserire all’interno del registro dei trattamenti l’attività di “gestione del personale” (HR) come trattamento unico.
Il registro, oltre a servire per l’accountability del titolare, è la prima cosa che viene richiesta durante una visita ispettiva del Garante per la protezione dei dati personali, in quanto l’analisi comparativa del registro con le effettive attività del trattamento, ricopre gran parte dell’attività ispettiva.
Pertanto, la prima cosa che salterà all’occhio del Garante sarà la “sinteticità” del registro dei trattamenti visto che, un singolo ufficio può (senza esserne a volte cosciente) effettuare una miriade di trattamenti diversi seppure strettamente correlati.
Ora, tornando all’esempio dell’HR, se questo trattamento viene inserito nel registro come “riga unica”, il verificatore vi chiederà per esempio se: recruiting, onboarding, formazione, visite mediche obbligatorie ecc., corrispondano tutte ad un unico trattamento.
Magari in alcune realtà potrà anche essere così, ma normalmente è difficile che tutte queste operazioni siano eseguite da un solo soggetto trattando esattamente gli stessi dati con lo stesso periodo di conservazione e gli stessi strumenti di trattamento: in fase di selezione del personale avrò necessità di trattare il C.V. del candidato (sempre che per queste operazioni io non mi avvalga di un soggetto esterno) fornendo apposita informativa sul trattamento dei dati ivi contenuti e necessari alla valutazione (con relativo periodo di conservazione); in fase di assunzione (onboarding), invece, non avrò nessuna necessità di trattare il C.V., ma bensì altri dati (es. iban per l’accredito dello stipendio, stato di famiglia, casellario giudiziario, ecc.) che invece non ho trattato nella precedente fase; quindi anche qui un’informativa diversa, dati diversi, conservazione diversa, e via dicendo.
Al fine di “tenere” un registro dei trattamenti compliance al GDPR, dunque, il settore HR non potrà avere un solo trattamento, così come, per fare un altro esempio, il settore “commerciale”, considerata la mole di trattamenti che normalmente vengono effettuati nel rapporto con la clientela, non ultimo il marketing diretto/indiretto.
Alla luce di quanto descritto, si evince l’importanza che riveste una corretta e dettagliata “tenuta” del registro dei trattamenti e, di conseguenza, l’importanza di un costante aggiornamento dello stesso.
Il ruolo del designato nella tenuta del registro dei trattamenti
Come anticipato in precedenza, parte principale dei una verifica ispettiva da parte del Garante sarà proprio l’aderenza dei trattamenti descritti nel registro alla realtà dell’impresa. Dunque, per redigere correttamente il registro sarà necessario coinvolgere il personale, o meglio i responsabili, del settore che materialmente esegue le operazioni nelle quali vengono coinvolti dati personali.
Nelle imprese a struttura complessa, dove il titolare non potrebbe materialmente adempiere direttamente a quanto prescritto dal GDPR, nemmeno con l’ausilio del DPO, si ricorre spesso alla figura del designato alla protezione dei dati personali, figura introdotta con il D.lgs. 101/2018 che ha totalmente rivoluzionato il D.lgs. 196/2003 (art. 2-quaterdecies) adeguandolo al GDPR.
Il designato, sul quale mi sono già soffermato in un precedente articolo, può svolgere anche in tema di registro dei trattamenti un ruolo fondamentale.
Egli, infatti, in qualità di soggetto al quale il titolare può attribuire sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, “specifici compiti e funzioni connessi al trattamento di dati personali”, si candida ad essere partner ideale nella redazione e nell’aggiornamento del registro dei trattamenti, data la sua conoscenza specifica sia del settore nel quale opera all’interno dell’impresa, sia dei trattamenti dei dati personali che vi hanno luogo.
Il registro, infatti, non rappresenta una mera descrizione dell’attività svolta, ma dei trattamenti eseguiti nello svolgimento dell’attività, pertanto per compilarlo correttamente serve il supporto di chi possa descrivere non tanto il “processo” in sé per sé, ma il processo di trattamento dei dati personali interno all’attività.
Coinvolgere il comparto IT e l’amministratore di sistema
Per redigere correttamente un registro dei trattamenti sarà necessario in primo luogo raccogliere e analizzare tutte le procedure di qualità aziendali dove, appunto, vengono descritti i processi e la relativa documentazione tecnica comprensiva di eventuale modulistica allegata; in secondo luogo andranno individuati, all’interno di questi processi, i punti in cui avviene un trattamento di dati personali e, con l’ausilio del designato o del responsabile del procedimento, compilare tutti dati richiesti dall’art.30 GDPR.
Questa operazione, chiaramente, dovrebbe coinvolgere anche il comparto Information Technology o l’amministratore di sistema, qualora sia stato nominato (e converrebbe sempre nominarlo).
Il coinvolgimento del comparto IT è di fondamentale importanza per l’analisi del rischio relativo al singolo trattamento e la valutazione preliminare della necessità di eseguire una DPIA (Data Protection Impact Assessment) ai sensi dell’art. 35 GDPR.
L’importanza di aggiornare il registro dei trattamenti
Ora, a quasi due anni dall’entrata in vigore del GDPR, sarebbe lecito pensare che qualunque impresa abbia subito qualche, seppur minima, evoluzione. Che sia cambiato il responsabile di un ufficio o che si sia deciso di affidarsi ad una società esterna per la contabilità o ancora che sia iniziata una nuova attività che due anni fa era in fase di progettazione, il registro dei trattamenti necessita sicuramente di un aggiornamento.
Anche dando per scontato che non sia cambiato assolutamente nulla dalla redazione del registro ad oggi, la sola verifica sulla necessità o meno di aggiornare il registro è di per sé una dimostrazione di accountability.
Il GDPR, infatti, ha introdotto un approccio proattivo, dinamico, incentrato sulla capacità di autoanalisi e autodisciplina (appunto, accountability), pertanto effettuare un checkup periodico non può che essere considerato positivo dal Garante.
Ovviamente l’aggiornamento del registro non vuol dire riscrittura totale o azzeramento del lavoro svolto; normalmente sarà sufficiente eseguire una serie di interviste con gli “owner” dei diversi processi aziendali durante le quali si ricostruiranno le modalità e i mezzi di trattamento dei dati inseriti in sede di redazione del registro e si andranno a modificare quelle parti del processo che (eventualmente) nel frattempo siano cambiate.
Alla fine di questo lavoro di ricostruzione/riepilogo, durante il quale si potrebbero anche stilare dei verbali delle sessioni (dei colloqui) con evidenza delle difformità o dei semplici cambiamenti sopravvenuti, si disporrà di una versione aggiornata del registro dei trattamenti oppure dello stesso registro però con indicazione della revisione eseguita.
Dall’entrata in vigore del GDPR è ormai assodato che uno dei peggiori nemici dell’accountability sia l’immobilità, la standardizzazione delle impostazioni e delle misure poste in atto dal titolare o dal responsabile: qualunque adempimento prescritto dal GDPR, che sia la sicurezza, le informative, la tenuta e l’aggiornamento del registro dei trattamenti, le diverse nomine o la formazione, perde tutta la sua efficacia e la sua conformità al dettato normativo europeo se non viene costantemente aggiornato e modellato sulla base della singola situazione e del momento storico in cui viene attuato.
