Come prepararsi al registro delle attività di trattamento?


Oltre ai vari adembimenti imposti dal nuovo GDPR, il regolamento prevede anche l’introduzione di un nuovo obbligo documentale in capo al titolare ed al responsabile del trattamento

Il nuovo Regolamento Europeo, che entrerà in vigore in Italia il 25 maggio 2018, è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri, con la conseguenza di rendere automaticamente obsolete le normative interne ad essa incompatibili.

Pertanto ciascuno Stato Membro ha dovuto adeguare la propria normativa nazionale alle nuove regole comunitarie.

Tra le novità introdotte dal regolamento si ritrova l’introduzione di un nuovo obbligo documentale in capo al titolare ed al responsabile del trattamento, avente ad oggetto la redazione e tenuta del c.d. “Registro generale delle attività di trattamento”.

Registro generale delle attività di trattamento

Registro generale delle attività di trattamento

È bene sottolineare, in via principale, come la predisposizione del medesimo non debba essere considerata alla stregua di un nuovo adempimento burocratico, ma come strumento che consente una gestione più efficace della data protection all’interno dell’organizzazione.

Rappresenta inoltre un elemento imprescindibile per l’individuazione e la realizzazione di un numero significativo di azioni inserite nell’Action Plan per l’adeguamento al GDPR.

Difatti, tale nuovo adempimento consente alle singole organizzazioni di rispondere a una pluralità di finalità, tra cui:

  • tenere traccia delle operazioni di trattamento effettuate all’interno della singola organizzazione.
  • costituire uno strumento operativo di lavoro mediante il quale censire in maniera ordinata le banche dati e gli altri elementi rilevanti per assicurare un efficace ciclo di gestione dei dati personali.
  • dimostrare di aver adempiuto alle prescrizioni del Regolamento nell’ottica del principio di accountability.

LEGGI ANCHE: GDPR: il diritto all'oblio

Documento Programmatico sulla sicurezza prima del GDPR

Prima di affrontare le caratteristiche di questo nuovo strumento, è doveroso qualche accenno a quello che potremmo considerare, nel nostro Paese, il suo antecedente: il Documento Programmatico sulla Sicurezza (DPS).

L'adozione di un documento programmatico sulla sicurezza (DPS) era un obbligo previsto dal D. Lgs. 196/2003 (normativa sulla protezione dei dati personali, che sostituisce e abroga la legge 676/95). l'obbligo esisteva per tutte le imprese, lavoratori autonomi, enti o associazioni che trattano i dati personali (anche sensibili, giudiziari o con strumenti elettronici, ed è venuto meno a seguito del Decreto Legge n. 5 del 9 febbraio 2012 (convertito dalla legge n. 35 del 4 aprile 2012).

Il Documento Programmatico sulla Sicurezza ha rappresentato per circa otto anni un punto di riferimento in materia di protezione dei dati personali nel nostro Paese, tanto da arrivare quasi ad identificarlo come sinonimo di “fare la privacy” a livello aziendale.

Il documento andava predisposto ed aggiornato entro il 31 marzo di ogni anno, per attestare la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali e soddisfare anche determinati obblighi di legge, se previsti, per le società.

Entro quella data, il titolare di un trattamento di dati sensibili o di dati giudiziari doveva redigere, anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

  • l'elenco dei trattamenti di dati personali.
  • la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati.
  • l'analisi dei rischi che incombono sui dati.
  • le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità.
  • a descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23.
  • la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali.
  • la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare.
  • per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
  • il DPS permetteva all’azienda di tenere sotto controllo il trattamento dei dati e la loro sicurezza, garantendo una maggiore tranquillità e consapevolezza, prevenendo ogni possibile perdita di dati e, di conseguenza, ogni possibile sanzione da parte dell’Autorità Garante.

Il Decreto Legge 5/2012, “Disposizioni urgenti in materia di semplificazione e di sviluppo”, ha modificato alcune disposizioni in materia di misure minime di sicurezza e ha eliminato tale documento, in un’ottica di un alleggerimento normativo e documentale che, però, ha portato con sé più complicazioni che semplificazioni.

L'abolizione dell'obbligo di redazione del DPS, nei casi consentiti dalla normativa aggiornata, non solleva tuttavia dall'attuazione di tutti gli altri adempimenti privacy previsti dalla legislazione: tant’è che l’obbligo documentale veniva meno, mentre quello sostanziale inerente le misure di sicurezza da adottare permaneva.

GDPR: registri delle attività di trattamento art. 30

Il GDPR (ovvero, il nuovo Regolamento Europeo), disciplina il Registro delle Attività di Trattamento sia nel considerando numero 82, che nell’art. 30.

Il considerando numero 82 afferma che: “per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità.

Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l'autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti”.

Il considerando in questione (che non deve essere considerata come una disposizione, bensì come una motivazione dell’articolato), tende a chiarire come l’Unione ritenga necessaria la presenza, presso ogni titolare del trattamento, di un documento ove rendicontare tutte le attività in materia di protezione e circolazione dei dati personali che lo riguardano.

La ratio è quella di dimostrare la conformità del titolare o del responsabile del trattamento alle disposizioni del Regolamento. Difatti, il considerando indica anche la necessità di obbligare i titolari e i responsabili del trattamento ad una collaborazione attiva con l’autorità di controllo (che in Italia è l’Autorità Garante della privacy), affinché sia data dimostrazione formale e sostanziale di aver implementato tutte le misure disposte dal Regolamento 2016/679.

L’art. 30 del Regolamento Europeo dispone che: “ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”.

Tale previsione è una delle varie esplicitazioni del principio di responsabilizzazione (accountability) di titolari e responsabili, che è una delle grandi novità introdotte con il GDPR. Infatti, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali.

Saranno poi i titolari stessi a dover dimostrare di aver concretamente adottato le misure finalizzate ad assicurare l’applicazione del Regolamento.

LEGGI ANCHE: Tutto quello che devi sapere sulla figura del Data Protection Officer

Registro dei trattamenti: strumento fondamentale

Registro dei trattamenti: strumento fondamentale

Il registro dei trattamenti, quindi, è uno strumento fondamentale, per questo motivo il Garante per la protezione dei dati personali, nella sua Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, ha ritenuto che: “il registro dei trattamenti non costituisce un adempimento formale, bensì parte integrante di un sistema di corretta gestione dei dati personali”, invitando tutti i titolari del trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro.

Infatti, l’obbligo di redazione e adozione del registro non è generale: il par. 5 dell’art. 30 specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”

Per quanto attiene, invece, ai soggetti obbligati alla tenuta del registro dei trattamenti, si prevedono due diverse tipologie di registro:

  • il co. I dell’art. 30, disciplina il registro dei trattamenti del titolare, stabilendo che ogni titolare del trattamento e, ove applicabile, il suo rappresentante, tengono un registro delle attività di trattamento svolte sotto la propria responsabilità.
  • il co. II dell’art. 30, disciplina il registro dei trattamenti del responsabile, stabilendo che ogni responsabile del trattamento e, ove applicabile, il suo rappresentante, tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un Titolare del trattamento.

I due registri presentano delle differenze dal punto di vista contenutistico, avendo il primo una portata più ampia che si estende all’indicazione delle finalità del trattamento, delle categorie di interessati e delle categorie di dati personali, delle categorie di destinatari a cui i dati personali sono stati o saranno comunicati (compresi i destinatari di paesi terzi od organizzazioni internazionali), dei termini ultimi previsti per la cancellazione delle diverse categorie di dati (ove possibile).

Registro dei trattamenti: cosa contiene?

L’art. 30 del GDPR, oltre a prevedere che il registro debba essere tenuto in forma scritta, anche in formato elettronico e che debba essere esibito su richiesta al Garante, fornisce anche una lista di contenuti obbligatori:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati.
  • le finalità del trattamento.
  • una descrizione delle categorie di interessati e delle categorie di dati personali.
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali.
  • ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate.
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati.
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Si tratta ovviamente dei contenuti minimi che devono essere indicati all’interno del registro. Dal momento, però, che questo documento non dev’essere visto come un mero adempimento formale, anzi, deve essere inteso come uno strumento operativo, nulla vieta di integrare tali contenuti con qualunque informazione utile al titolare per poter correttamente governare gli aspetti privacy dei trattamenti.

Si noti come il Registro ex. art. 30 del Regolamento non disponga né una data né un obbligo di aggiornamento, ma è chiaro che il registro dei trattamenti non è un documento che una volta redatto può rimanere fermo e immutabile per sempre, dev’essere inteso come un vero e proprio strumento di lavoro, e come tale deve essere modificato e deve essere mantenuto aggiornato, e sempre attuale.

Sarà fondamentale innanzitutto individuare, all’interno dell’organizzazione, i soggetti che hanno la più ampia visione delle attività di trattamento e coinvolgerli nella redazione e aggiornamento del registro dei trattamenti.

Inoltre, il registro dovrebbe essere gestito in maniera centralizzata, garantendo l’accesso a tutte le persone coinvolte nel suo mantenimento onde evitare la proliferazione di copie che renderebbero difficile identificare la versione più aggiornata.

Matteo Migliore - Fondatore di LEGALDESK

Mettiti in contatto su LinkedIn

Clicca su Mi piace!


Categoria

Privacy


ARTICOLI CONSIGLIATI