Ritorniamo sul tema dei registri delle attività di trattamento perché dopo questo primo periodo di piena efficacia del GDPR è possibile fare qualche considerazione di natura pratica.
Vediamo innanzitutto quelle che sono le buone pratiche disponibili, ovvero i modelli di registro che le varie Autorità hanno reso disponibili tra cui quello realizzato dall’autorità Garante italiana ha reso disponibile sia in formato PDF sia in formato Excel.
Sempre sul sito dell’Autorità Garante italiana è disponibile il Manuale RPD che, in merito al registro, suggerisce la compilazione dei seguenti campi:
- Denominazione dell’attività di trattamento
- Responsabile dell’unità (“referente”)
- Finalità dell’attività di trattamento
- Categorie di interessati
- Categorie di dati
- Sono previsti i dati sensibili?
- Base legale per il trattamento
- I dati sono trasferiti verso un Paese terzo o un’organizzazione internazionale?
- In caso di trasferimenti previsti dal secondo capoverso dell’art. 49, paragrafo 1, del RGPD: quali sono le garanzie adeguate previste?
- Limiti temporali per la cancellazione
- Dettagli delle applicazioni dei sistemi e dei trattamenti (file elettronici/su carta; software locale/centralizzato/servizi cloud /rete locale; trasmissione dei dati; etc.) e le relative misure (di sicurezza) tecniche e organizzative
- Il trattamento comporta l’utilizzo di uno o più responsabili del trattamento? In caso affermativo inserire tutte le informazioni pertinenti e copia dei relativi contratti
Indice degli argomenti
Registri delle attività di trattamento: il modello del CNIL
È tuttavia l’autorità garante francese, il CNIL, che fornisce il contributo maggiore, non solo perché ha pubblicato da moltissimo tempo un modello di registro e degli esempi di compilazione, ma perché ha reso pubblico il proprio registro delle attività di trattamento.
In realtà, più che un semplice registro il CNIL ha pubblicato il repository contenente tutte le informazioni che sono utili per la gestione del proprio modello privacy, con una serie di campi aggiuntivi rispetto ai requisiti dell’art. 30 che ben evidenziano come in realtà il registro e le informazioni in esso contenute, così come previste dalla normativa, non sono sufficienti a gestire tutti i vari adempimenti.
Al riguardo è possibile effettuare numerose considerazioni.
La prima riguarda appunto la necessità di un repository di informazioni per la gestione del modello privacy, raccolte in qualche documento/database[1].
Serve, ad esempio, avere un elenco analitico di tutti i destinatari, serve avere una mappatura precisa di quelle che sono le fonti dati, le basi giuridiche del trattamento, la collocazione dei dati in database/documenti/archivi strutturati e non strutturati.
Tali informazioni sono indispensabili, anche se non richieste espressamente come obbligatorie dalla normativa e possono essere riportate nel registro ovvero possono essere inserite in documenti a parte.
Il CNIL ha scelto di inserire molte di tali informazioni nel proprio registro.
La scelta e l’impostazione che il CNIL ha dato al proprio registro non è esente da criticità.
Da un lato vi è la perdita di informazioni che deriva dalla impostazione data alle schede che documentano ogni Activitè (anche la terminologia utilizzata dal CNIL suscita qualche perplessità).
Per ogni attività sono documentate le finalità, le basi giuridiche, i soggetti interessati, i dati trattati e via dicendo.
Tali dati sono però fra loro raggruppati e non in relazione uno a uno; non si evince, quindi, quali siano le finalità relative a determinati interessati o quali dati tali finalità trattano, informazioni queste che ovviamente originariamente sono note a chi ha redatto il registro e che sono andate perse vista la modalità di compilazione.
Il secondo aspetto riguarda la numerosità delle finalità, della tipologia di interessati, della tipologia di dati…; ottimo lavoro in un registro di oltre 120 pagine.
Tuttavia, occorre ricordare che la privacy è una materia complessa ed auto ricorsiva; tutti gli adempimenti sono fra loro connessi.
Non può esistere un interessato senza che al medesimo sia stata rilasciata una informativa; non può esistere una finalità senza che la stessa sia stata citata in una informativa.
Se ho centinaia di tipi diversi di interessati devo avere altrettante informative, pur potendo al limite raggrupparne qualcuna.
È per questo motivo che potrebbe non essere una buona idea arrivare al livello di analiticità proposto dal CNIL, quantomeno in un documento denominato Registro delle attività di trattamento.
Più opportuno limitare il numero con cui si descrivono le proprie finalità di trattamento, utilizzando poi, nella documentazione di dettaglio, terminologie che non diano adito a errate interpretazioni.
Quindi, visto che le finalità hanno un ruolo ben definito all’interno della normativa privacy e sono legate ad una serie di adempimenti, è opportuno che i dettagli con cui si svolgono le attività siano definiti con una terminologia diversa, che non usi impropriamente termini che nella normativa hanno un significato specifico.
Purtroppo, questa cattiva abitudine nell’uso dei termini riguarda anche il legislatore e le Autorità di controllo, con la conseguenza di creare confusione sul reale significato che si intende attribuire ad un termine.
Al di là di questi aspetti, il registro del CNIL offre molti spunti interessanti, in quanto costituisce un catalogo di possibili soggetti interessati, di dati personali trattati, di modalità con cui rappresentare i tempi di conservazione dei dati all’interno dei registri e delle informative.
Può quindi essere agevolmente utilizzato come un database al quale attingere per trarre spunto per la compilazione dei propri documenti.
Inoltre, molte delle Activitè presenti nel registro sono comuni a molti se non a tutti i titolari, come quelle relative alla gestione del personale.
Offrono quindi più di uno spunto per la compilazione del proprio registro.
Altri spunti per la compilazione dei registri delle attività di trattamento
L’esempio del CNIL non è tuttavia unico.
Anche se non soggette al GDPR, le istituzioni europee hanno, nel loro Regolamento (UE) 2018/1725, l’articolo31 Registri delle attività di trattamento che è assolutamente una fotocopia dell’articolo 30 del GDPR, come si evince dal confronto qui sotto, dove il testo del GDPR è rappresentato in corsivo:
1. Ogni titolare del trattamento tiene un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento, del responsabile della protezione dei dati e, ove applicabile, del responsabile del trattamento e del contitolare del trattamento;
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di Stati membri, paesi terzi od organizzazioni internazionali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 33. 2.
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Particolarità delle istituzioni europee (che rispondono al Garante europeo) è che il loro registro è obbligatoriamente pubblico.
Su tali registri il Garante europeo ha condotto una verifica ispettiva[2]su 67 enti.
Al di là dello sconfortante (o consolante, a seconda dei punti di vista) esito della verifica che qui riportiamo:
- 15 totally compliant (register)
- 23 largely compliant (centralised list of DP statements or incomplete register)
- 4 somewhat compliant (limited, but clearly incomplete list of DP statements)
- 7 largely non-compliant (one-size-fits-all DP statements or mere search functionality, which implies that one needs to know what to look for…)
- 18 non-compliant (neither register nor centralised list of DP statements or invitation to contact DPO to know more).
L’aspetto più interessante riguarda il fatto che l’EDPS ha reso pubblico l’elenco degli enti che, a suo dire, sono da considerare come buone pratiche per l’esecuzione di tale adempimento:
Anche in questo caso, al di là dei pregi e difetti che si possono riscontrare fra le varie soluzioni adottate, gli aspetti più interessanti riguardano da un lato il ricco esempio di categorie di interessati, finalità, dati personali che si possono desumere da tali registri, dall’altro le schede relative alle finalità che sicuramente possono trovare un risconto nelle singole organizzazioni, come si evince ad esempio dal registro dello stesso EDPS:
- Selection of trainees and staff
- Recruitment of staff and trainees
- Selection of seconded national experts (SNEs)
- Recruitment of seconded national experts (SNEs)
- Selection and management of interim staff
- Anti-harassment procedure
- Whistleblowing procedure
- Underperformance procedure
- Administrative enquiries and disciplinary procedure
- Lodging appeals by the EDPS Appointing Authority
- Missions
- Procurement procedures
- Financial management/transactions
- Staff appraisal, promotion and certification procedures
- Management of flexitime requests from staff
- Enrolment to the Early Childhood Centre
- Leaves
- Sick leaves
- Telework requests
- Billing of telephone consumptions
- Exceptional leaves, absences and permanencies
- Transfer of data to Eurostat
- Transfer of data to permanent representations
- Management of user accounts of the IT administrative infrastructure
- Mobile device management
- Training of staff
- Staff satisfaction survey
- Financial contribution to cost of subscriptions to public transport
- Complaints to the EDPS
- Access to documents requests
- EDPS audits (inspections)
- Personal Data Breach Notifications by the EU Institutions
- Business Continuity Plan
- Access to building and parking policy for staff
- EDPS website
- ICDPPC18 website and mobile app
- GDPR mobile app
- Access to building and parking policy for visitors
- Requests for info or advice
- Subscriptions to EDPS newsletters
- Journalists’ mailing list
- Template record for events and conferences organised by the EDPS
- Staff Committee – general
- Personal data breaches at the EDPS
- Case Management System (CMS)
Conclusioni
Considerando che difficilmente qualche ispettore esterno potrà contestare un modello o dei contenuti analoghi a quelli proposti da un’Autorità di controllo o valutati come buone pratiche dall’EDPS, chi ha dubbi in merito alla compilazione dei propri registri può trarre agevolmente suggerimenti da tale materiale.
Ovviamente sarebbe stato anche molto utile capire cosa l’EDPS non considera conforme o poco conforme, per evitare di incorrere nei medesimi errori, ma tale informazione non mi risulta essere disponibile.
NOTE
- Un elenco dei documenti che è necessario predisporre è riportato nelle Appendici del libro e di G.Butti e M.R. Perugini: GDPR-La privacy nella pratica quotidiana. Tutte le domande a cui un DPO deve sapere rispondere, FrancoAngeli 2020. ↑
- Report on remote inspection of publicly accessible registers under Article 31(5) of the Regulation (case 2020-0209). ↑