E’ oramai noto a molti che il 25 maggio 2018 entrerà in vigore il nuovo Regolamento Europeo sulla protezione dei dati personali (Reg. UE n. 679/2016) o GDPR.
L’art. 30 del GDPR prescrive ai Titolari e ai Responsabili del trattamento la tenuta di un registro delle attività di trattamento svolte sotto la propria responsabilità.
Tale previsione è una delle varie esplicitazioni del principio di responsabilizzazione (in inglese accountability) di titolari e responsabili che è una delle grandi novità introdotte con il GDPR. Infatti, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali. Saranno poi i titolari stessi a dover dimostrare, anche attraverso comportamenti proattivi, di aver concretamente adottato le misure finalizzate ad assicurare l’applicazione del Regolamento.
Il registro dei trattamenti, quindi, è uno strumento fondamentale non soltanto per disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, ma è anche indispensabile per ogni valutazione e analisi del rischio (ulteriori adempimenti previsti dal GDPR in ottica accountability).
Com’è possibile pensare di poter dimostrare di aver adottato tutte le misure necessarie a garantire il rispetto della normativa privacy se non siamo nemmeno in grado di sapere con esattezza quali trattamenti sono svolti in azienda, con quali modalità e misure di sicurezza?
Per questo motivo il Garante per la protezione dei dati personali, nella sua Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali (http://www.garanteprivacy.it/guida-all-applicazione-del-regolamento-europeo-in-materia-di-protezione-dei-dati-personali) ritiene che: “il registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”, invitando tutti i titolari del trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro.
Il Garante si rivolge, quindi, a tutti i soggetti, prescindendo dalle dimensioni dell’organizzazione!
Sì, perché l’art. 30 del GDPR esclude da tale obbligo tutti gli organismi con meno di 250 dipendenti ma solo se non effettuano trattamenti che possano presentare “un rischio per i diritti e le libertà dell’interessato, o il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1 o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.
Come già indicato in precedenza, nel rispetto delle raccomandazioni del Garante, è opinione di chi scrive che il registro delle operazioni di trattamento sia il punto di partenza fondamentale per un’azienda o organismo pubblico per attuare qualsivoglia strategia per la conformità in materia di protezione dei dati personali.
L’art. 30 del GDPR, oltre a prevedere che il registro debba essere tenuto in forma scritta, anche in formato elettronico e che debba essere esibito su richiesta al Garante, fornisce anche una lista di contenuti obbligatori:
- il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Si tratta ovviamente dei contenuti minimi che devono essere indicati all’interno del registro. Dal momento, però, che questo documento non dev’essere visto come un mero adempimento formale, anzi, deve essere inteso come uno strumento operativo, nulla vieta di integrare tali contenuti con qualunque informazione utile al titolare per poter correttamente governare gli aspetti privacy dei trattamenti.
Per redigere un registro dei trattamenti, pertanto, sarà opportuno creare un template in forma tabellare dove, per ogni trattamento, andranno inserite tutte le informazioni richieste.
Ad esempio:
All’interno di una tabella simile potranno trovare spazio tutte le informazioni importanti relative ai nostri trattamenti.
Ad esempio nella cella:
- Trattamento: il nome del trattamento (es. gestione paghe);
- Ufficio: l’ufficio (o gli uffici) coinvolto da quel trattamento (es. Ufficio Personale);
- Finalità: le finalità per le quali sono trattati tali dati (es. anagrafiche, iscrizioni sindacali, certificati di malattia, maternità ecc.);
- Tipi di dati personali: quali tipologie di dati personali sono coinvolti nel trattamento (es. dipendenti, liberi professionisti, collaboratori, tirocinanti, ecc.);
… e così via.
Come detto poc’anzi, il registro dei trattamenti è uno strumento fondamentale per mappare i flussi di dati all’interno dell’organizzazione. Infatti, potremmo aggiungere al nostro registro una colonna in cui indicare quali database contengono le informazioni trattate, quali software le processano, quali server sono coinvolti in tali trattamenti, arrivando persino a indicare quali profili sono autorizzati al loro trattamento.
Ancora, potremmo aggiungere l’indicazione sulla necessità o meno, per un determinato trattamento, di essere sottoposto a una Valutazione d’impatto sulla protezione dei dati, se questa è stata fatta e se è prevista una nuova valutazione.
Oppure, come nell’esempio sopra riportato, se il trattamento richiede un consenso, se l’informativa viene correttamente consegnata, o qualunque altra informazione si possa ritenere utile.
È importante capire sin da subito, però, che il registro dei trattamenti non è un documento che una volta redatto può rimanere fermo e immutabile per sempre, dev’essere inteso come un vero e proprio strumento di lavoro, e come tale deve essere modificato e deve essere mantenuto aggiornato, e sempre attuale.
Per raggiungere questo scopo è fondamentale innanzitutto individuare, all’interno dell’organizzazione, i soggetti che hanno la più ampia visione delle attività di trattamento e coinvolgerli nella redazione e aggiornamento del registro dei trattamenti, responsabilizzandoli sull’importanza di tale attività. È necessario renderli edotti dei vantaggi e del valore aggiunto che una gestione trasparente dei flussi di dati personali rappresenta per l’azienda.
Il registro dei trattamenti dovrebbe essere gestito in maniera centralizzata, garantendo l’accesso a tutte le persone coinvolte nel suo mantenimento onde evitare la proliferazione di copie che renderebbero difficile identificare la versione più aggiornata.
Naturalmente, una gestione di questo tipo presenta evidenti complessità legate anche allo strumento utilizzato: un foglio excel, per quanto valido, non potrà mai offrire -per evidenti limiti strutturali- la necessaria elasticità e profondità di strumenti disegnati appositamente a questo scopo. Sarebbe meglio utilizzare un software nato specificamente per gestire questo tipo di adempimenti, come ad esempio UTOPIA, prodotto alla cui realizzazione anche Orlandi&Partners Studio Legale sta direttamente collaborando.
Di sicuro una corretta gestione del registro dei trattamenti richiede un grande impegno ed è probabile che molti titolari o lo affronteranno solo per paura di incorrere nelle sanzioni amministrative pecuniarie (fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente) previste dal Regolamento, o non lo affronteranno affatto assumendosi il rischio.
Ma coloro i quali decideranno di impegnare risorse ed energie in un tale progetto si troveranno ad avere una mappatura ordinata e organizzata che, da un lato in caso di visita ispettiva da parte del Garante dimostrerà una profonda attenzione alle tematiche di protezione dei dati personali; dall’altro consentirà all’organizzazione di tenere sotto controllo quali tipi di dati sono in fase di trattamento, da chi (quali servizi o unità aziendali) e per quali finalità. Una tale conoscenza consentirà ai titolari di ottimizzare le operazioni di trattamento limitando gli sprechi in termini di tempo, risorse e duplicazione delle informazioni, abbattendo anche i rischi di eventuali trattamenti illeciti o contestazioni.
Per domande, consigli, approfondimenti o richieste di chiarimenti non esitate a contattarmi (menicanti@studiolegaleprivacy.com).
A presto!
