Il consenso è solo una fra le basi giuridiche che il GDPR prevede come condizione di liceità del trattamento. Esso non è, tuttavia, né la principale né, tantomeno, è indispensabile per legittimare ogni trattamento operato dall’organizzazione aziendale.

Se è vero che il vecchio Codice della privacy dava al consenso una particolare importanza al consenso, nel nuovo impianto normativo il consenso è solo una delle basi giuridiche e, a ben vedere, anche la più difficile da gestire.

In primo luogo, il consenso deve esprimersi una libera manifestazione di volontà, specifica informata e inequivocabile e presuppone che venga fornita all’interessato un’informativa resa con modalità idonee.

Un consenso non può essere generico, ma è un’operazione delicata che presuppone un’analisi specifica dei trattamenti realizzati. Raccogliere consenso è, pertanto, un’operazione ben più gravosa che non limitarsi a rendere idonea informativa all’interessato.

Il consenso, infatti, non è un atto del titolare, ma un atto di volontà dell’interessato che deve essere raccolto e adeguatamente documentato dal Titolare tenuto conto del contesto in cui si articola del trattamento.

La raccolta del consenso non è, pertanto, in alcun modo sostitutivo dell’obbligo di trasparenza e di informativa, ma è un obbligo ulteriore che deve essere adeguatamente gestito da parte del titolare del trattamento e che non può prescindere da una corretta informativa.

Fondare un trattamento sul consenso fa, inoltre, sorgere l’obbligo in capo al titolare di mettere l’interessato nelle condizioni di poterlo liberamente revocare in ogni momento.

Basare un trattamento sul consenso espone, pertanto, il titolare al rischio che l’interessato, liberamente e in qualsiasi momento, possa revocarlo facendo venire meno la base di legittimità del trattamento.

Particolarmente rischioso è, quindi, basare il trattamento sul consenso se questo è necessario per eseguire una misura contrattuale oppure risponde a esigenze di legittimo interesse del titolare come, ad esempio, la conservazione dei dati nei propri archivi.

In queste ipotesi, nel caso in cui l’interessato revocasse il proprio consenso al trattamento, l’organizzazione avrebbe il non trascurabile problema di individuare una nuova base giuridica per continuare a trattare i dati dell’interessato con la conseguenza che ogni dato trattato rischierebbe, in ogni caso, di essere inutilizzabile.

Emerge, pertanto, come il consenso più che panacea per risolvere ogni mal di GDPR, dovrebbe essere, al contrario, richiesto solamente dopo un’analisi approfondita della base giuridica del trattamento ed essere utilizzato in via residuale dove il trattamento non sia giustificato dall’esecuzione di misure contrattuali o precontrattuali o non si fondi su un legittimo interesse del titolare.

 

di Giacomo Conti

L’art. 32 del GDPR impone al titolare di mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che riguardano non solo gli asset tecnologici, ma anche le risorse umane.

Le misure organizzative non devono, quindi, limitarsi alla semplice modifica dell’organigramma con l’inserimento delle divisione privacy.

Il dipendente è, molto spesso, “l’anello debole della catena” nella protezione dei dati in azienda.

L’errore umano, infatti, può essere dovuto ad una mancanza di idonea cultura e formazione o mancanza di chiare istruzioni da parte del titolare (carenze organizzative), altre per disonestà o per spirito di ritorsione nei confronti dell’organizzazione aziendale.

Quest’ultima affermazione merita indubbiamente una considerazione a sé stante in quanto, secondo il Verizon Insider Threat Report, i dipendenti sono spesso gli autori di data breach rendendosi colpevoli consapevolmente o meno, di azioni illecite quali: accessi abusivi; violazione e diffusione di dati comuni e particolari mettendo a repentaglio le misure di sicurezza adottate dall’azienda.

Il report di Verizon ha messo in evidenza che, tra altre cause (negligenza, distrazione, competenze non idonee, scopi di lucro), l’insider che abusa dei privilegi di accesso per compire azioni illecite è spesso un dipendente insoddisfatto, che si ritiene in qualche modo leso nei suoi diritti, o non sufficientemente considerato e, di conseguenza, desideroso di arrecare danno all’organizzazione.

Il contratto di assunzione non è solo una formalità burocratica e una definizione di qualifica, job description, retribuzione che regola solo aspetti economici, ma ha forti ripercussioni psicologiche sul soggetto assunto che si forma aspettative di carriera in sede di assunzione piuttosto che durante l’esecuzione del rapporto o durante gli avanzamenti di carriera.

Pertanto, una promessa disattesa, la mancanza di prospettive di carriera, di avanzamenti o incrementi salariali, o, nel peggiore dei casi, oggetto di mobbing/bossing generano insoddisfazione e, per l’effetto, un potenziale inside hacker.

L’utilizzo di molestie psicologiche per indurre un dipendente alle dimissioni è espressione di una carenza culturale e organizzativa ed opera in base a modelli che enfatizzano valori estremamente accentrati ai vertici in modalità top-down suscettibile, peraltro, di conseguenze significative per il datore di lavoro e per l’ente sul piano civile e penale.

In casi come questi, ci troviamo di fronte, quasi sempre, a modello organizzativi obsoleti, spesso funzionali con enfatizzazione di ruoli di comando e di potere, molto gerarchici, con numerosi ruoli di staff privi di ogni iniziativa decisionale e compiti di ausilio operativo, mansioni ripetitive e alienanti. Il modello organizzativo funzionale è il più “datato” ma anche il più conosciuto ed adottato specie dalle PMI, tuttavia, è destinato ad entrare in crisi con il GDPR.

Per avere una catena solida a livello di sicurezza e di valore occorre rafforzare gli “anelli deboli”.

Questi vengono sfruttati, infatti, dai pirati informatici come vulnerabilità e le azioni intraprese da questi criminali possono riguardare, anche, la corruzione dei dipendenti scontenti.

È necessario, pertanto, riprogrammare l’organizzazione, cominciando  dall’analisi di clima condotta attraverso l’ausilio di consulenti esterni che abbiano un approccio “olistico” e competenze che  spaziano dall’organizzazione aziendale, alla gestione risorse umane fino ad una approfondita conoscenza del  GDPR.

 

di Nadia Zabbeo

 

Oggi Bill ha installato una nuova app sul suo smartphone: dicono possa prendere il suo volto e renderlo più vecchio, una sorta di predizione del futuro.

La installa senza indugio e si diletta con essa per giorni; usa le sue foto da bambino, quelle di lui alle medie e, perché no, anche quelle odierne; vuole vedersi da vecchio e pensare che sarà un uomo tutto sommato bello, ancora affascinante.

Il giorno dopo essersi sbizzarrito, però, Bill viene a scoprire dei retroscena spaventosi, a dir poco allarmanti: l’app, con sede in San Pietroburgo, utilizza le sue foto in modo “perpetuo, planetario, irrevocabile, senza obbligo di pagare alcuna royalty”.

Bill si collega dunque su Facebook e legge molti stati colmi di terrore e di rabbia scritti da utenti che, nel proprio profilo, specificano orientamento sessuale, data di nascita, indirizzo, dove studiano, cosa studiano, i locali e le persone che frequentano, i film che guardano, i partiti che votano.

Bill nota che c’è una grande attenzione da parte del pubblico inerente la questione, tanto da fargli credere che gli internauti abbiano preso più coscienza circa la rilevanza della propria privacy.

Ecco quindi che scorre la home di Facebook alla ricerca di qualche post che tratti dell’inquietante scoperta effettuata da alcuni ricercatori della Microsoft, i quali hanno dimostrato come i siti pornografici raccolgono i dati di navigazione degli utenti per poi venderli a Google e Facebook, o della sconcertante scoperta che Youtube (leggi Google, ndr) effettua un’indebita profilazione dei minori al fine di renderli oggetto di marketing diretto, ma, con grande rammarico, non ne trova nessuno.

La sorella di Bill appare preoccupata: “Chissà che fine orribile faranno le foto mie e delle mie amiche, una volta nelle mani dei russi!”. Bill prova dunque a spiegarle che le sue foto sono già in giro per il Pianeta da quando partecipò alla “Ten Years Challenge” qualche tempo fa, ma non riesce: la sorella è troppo impegnata a chiedere ad Alexa la posizione della farmacia più vicina che venda farmaci per combattere la candida.

Bill allora manda un messaggio a un suo amico che ha appena pubblicato uno stato carico di odio contro i russi e FaceApp; cerca di spiegargli che non è sensato imbracciare la vecchia carabina del nonno per ottenere giustizia per questo indecente attentato alla propria riservatezza, se prima non smette di sbloccare il suo smartphone tramite il riconoscimento facciale.

Bill sa che i suoi dati più sensibili sono già stati abbondantemente carpiti in malafede dalle multinazionali della Silicon Valley, le quali si autoproclamano gli araldi della tutela della privacy del mondo intero e che impongono termini di utilizzo del tutto simili a quelli di FaceApp .

Bill sa che quando si utilizza un servizio gratuito la moneta di scambio sono i suoi dati personali, pertanto usa questi strumenti con molta attenzione, ma non chiude il cancello ora che il bue è scappato.

Sii come Bill.

 

di Giordano Serra

Editore: Maggioli Editore

Collana: Privacy

Pubblicato: Marzo 2019

ISBN / EAN 8891625342 / 9788891625342

Con la presente pubblicazione, l’Autore mira a spiegare in maniera semplice ma efficace gli istituti, le novità introdotte ed i nuovi adempimenti che il GDPR “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/96/CE (regolamento generale sulla protezione dei dati)” impone a titolari e responsabili che trattano dati personali.
Troppo spesso accade che chi tratta dati professionali sia confuso in relazione a quali adempimenti sia tenuto ad operare ed a come realizzarli.
Se, da un lato, corre il rischio di non comprendere sul serio l’anima della norma e non ottemperare a quanto richiesto, dall’altro si rischia di realizzare adempimenti inutili ed onerosi come, ad esempio, la nomina di un DPO in casi dove la stessa né è imposta dalla legge né ha alcuna importanza strategica.
L’approccio richiesto dal GDPR è, infatti, non formalistico bensì sostanzialistico ed il principio di substance over form permea l’intero tessuto normativo.
Esso è alla base del principio di responsabilizzazione e indispensabile per assicurare un quadro di adeguate tutele per i diritti delle persone fisiche.
In questo senso, non si chiede di produrre carte, ma di implementare procedure per garantire il rispetto della normativa, non si deve scaricare responsabilità su terzi interni od esterni all’organizzazione aziendale, ma responsabilizzare e formare i soggetti che trattano dati personali in azienda e per conto del titolare e contrattualizzare gli obblighi all’interno di un apposito accordo fra le parti dove vengono regolati gli aspetti relativi al trattamento di dati personali nell’ottica di garantire sempre un’adeguata tutela agli interessati.
Da ultimo, non si deve ottemperare in una mera ottica di paura delle sanzioni, ma adempiere alla normativa anche nell’ottica di perseguire gli obiettivi di business aziendali attraverso l’implementazione di processi efficienti di trattamento dei dati personali che richiedono consapevolezza e responsabilizzazione in capo a chi tratta dati personali.
Il Regolamento Europeo è una norma estremamente complessa ed articolata che richiede, per essere adeguatamente affrontata, il necessario coordinamento di diverse figure professionali ed una sinergia di aspetti legali, gestionali e informatici.
I diversi professionisti coinvolti nella protezione dei dati personali, pur avendo competenze e pur parlando linguaggi diversi, si trovano, infatti, ad affrontare problematiche comuni.
Se, da un lato, sono presenti prassi di settore molto valide (come le Linee guida ENISA che vengono ampiamente illustrate nel volume) che forniscono Linee guida per operatori ed interpreti, dall’altro lato la giurisprudenza in materia non si è ancora consolidata.
Inoltre, il quadro complessivo della materia è molto stratificato ed in continuo fermento ed evoluzione; seppure si stia iniziando a delineare nelle sue linee essenziali.
L’opera affronta, quindi, organicamente il Regolamento Europeo con il principale fine di illustrare tanto a titolari e responsabili di trattamento quanto a consulenti ed operatori del diritto i concetti essenziali, i principi generali, i principali adempimenti richiesti dal Regolamento Europeo ed ogni altro elemento utile a comprendere il GDPR.
Ora più che mai, a fronte del cambiamento epocale introdotto dal nuovo Regolamento Europeo, occorre promuovere la conoscenza e la comprensione della protezione dei dati personali e comprendere a fondo i principi generali alla base della protezione dei dati personali.
Un ringraziamento particolare va alla dottoressa Federica Sanvenero, professionista abilitata all’esercizio della professione forense e studiosa del diritto penale di impresa, che ha curato l’ultimo capitolo dell’opera relativo al quadro sanzionatorio penale ed amministrativo, approfondendo questi fondamentali aspetti a completamento dell’opera.

Per maggiori informazioni sull’opera vedi qui.

 

LA TENUTA DEI REGISTRI: CONSAPEVOLEZZA, ACCOUNTABILITY, SUBSTANCE OVER FORM E DOCUMENTAZIONE DELLE SCELTE.

SINTESI DELLA RELAZIONE DELL’AVV. GIACOMO CONTI ALL’EVENTO SUMMER MEETING GDPR ITALIA – OPERATORI E CONSULENTI. MILANO IN DATA 29 GIUGNO 2018 – AGGIORNATA IN DATA 9 OTTOBRE 2018 ALL’ESITO DEI CHIARIMENTI FORNITI DALL’AUTORITA’ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI)

di Giacomo Conti edito: Il Foro Padano – Rivista di giurisprudenza e di dottrina – Fabrizio Serra Editore, Pisa – Roma – N. Rivista 1/2019

In che cosa consiste il registro delle attività di trattamento?

L’art. 30 del Regolamento (EU) n. 679/2016 di seguito “GDPR” prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento.

Si intende per registro delle attività di trattamento un documento contenente le principali informazioni specificatamente individuate dall’art. 30 del GDPR relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.

Sin da subito emerge, pertanto, come il registro costituisca uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.

Il registro delle attività di trattamento è, per l’effetto, un importante strumento di consapevolezza e documentazione finalizzato a realizzare il censimento e l’analisi dei trattamenti effettuati dal titolare o responsabile.

In altri termini, il titolare o il responsabile del trattamento documentano, attraverso, il registro le attività di trattamento che effettuano sotto la propria autorità mappandole e tenendole sotto controllo.

Chi è obbligato alla tenuta del registro delle attività di trattamento?

Se, da un lato, l’art. 30 GDPR stabilisce che ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità; dall’altro, il suo comma 5 esenta dall’obbligo di tenuta dei registri le sole imprese o organizzazioni con meno di 250 dipendenti.

Peraltro, giova osservare come la suddetta esenzione già non valga nel caso in cui le attività di trattamento effettuate da titolari e responsabili, pur con un numero di dipendenti inferiore a 250, possano presentare un rischio per i diritti e le libertà dell’interessato, ove il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati personali o i dati personali relativi a condanne penali e a reati.

La portata dell’esenzione dall’obbligo di tenuta del registro è stata, inoltre, ridimensionata significativamente nelle line guida dell’ex WP29 (ora EDPB) ed anche dall’Autorità Garante Italiana valorizzando l’importanza strategica di questo adempimento, con la conseguenza che, interpretando letteralmente le indicazioni fornite, quasi tutti i titolari e i responsabili del trattamento dovrebbero essere tenuti a redigere il Registro delle attività di trattamento, con qualche rara eccezione.

Sul punto, il Garante ha specificato espressamente come, in ambito privato, i soggetti obbligati alla tenuta del registro sono tutte le imprese o organizzazioni con almeno 250 dipendenti, oltre che qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettuino trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato, qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettuino trattamenti non occasionali, oppure titolari e responsabili che trattino categorie particolari di dati ai sensi dell’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati ai sensi dell’articolo 10 GDPR.

È stato, peraltro, specificato come nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 rientrino anche le associazioni, fondazioni e i comitati, come tali tenute alla tenuta del registro al ricorrere dei presupposti di Legge.

Alla luce di quanto detto sopra, dovrebbero essere tenuti all’obbligo di redazione del registro, ad esempio:

a. gli esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente come bar, ristoranti, officine, negozi, piccola distribuzione oppure che trattino dati sanitari dei clienti quali, ad esempio, parrucchieri, estetisti, ottici, odontotecnici, tatuatori;
b. i liberi professionisti con almeno un dipendente, che trattino dati sanitari oppure dati relativi a condanne penali o reati quali commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti e medici;
c. le associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati come le organizzazioni di tendenza, le associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità e detenuti; le associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso;
d. il condominio ove tratti “categorie particolari di dati”. Si pensi, ad esempio a delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989, piuttosto che alle richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali.

Al riguardo è bene precisare come l’adozione del registro possa essere considerata, in ogni caso, un’importante scelta strategica oltre che realizzabile ed a basso costo: anche laddove l’adozione del registro delle attività di trattamento non è obbligatoria, esso potrebbe comunque essere utilizzato al fine di realizzare adempimenti pure sempre obbligatori, come quello di monitorare i flussi di dati personali e di valutare il rischio dei trattamenti.

La differenza fra ciò che è obbligatorio, ciò che è opportuno o “consigliato” oppure semplicemente strategico è spesso molto sfumata ed il diavolo si annida nei dettagli.

Quindi, in buona sostanza, tutti i titolari e responsabili di trattamento hanno l’obbligo di munirsi di registro delle attività di trattamento?

A prescindere dall’obbligo o meno di adottare il registro delle attività di trattamento, è stata valorizzata la natura di strumento di consapevolezza e documentazione che il registro – se correttamente implementato e gestito – può arrivare a svolgere.

Il Garante si è infatti espresso nel senso che, in ogni caso, anche al di fuori dei casi di tenuta obbligatoria del Registro, sia raccomandabile per tutti i titolari e responsabili del trattamento, munirsi del registro delle attività di trattamento.

Al riguardo, giova osservare come anche il Comitato Europeo per la protezione dei dati personali ha precisato come, ad esempio, è probabile che una PMI tratti regolarmente i dati relativi ai propri dipendenti in una maniera che non può essere considerata come non occasionale e come, di conseguenza, anche titolari di questo tipo di titolari e responsabili dovrebbero munirsi di registro ai sensi dell’art. 30 GDPR ed includere suddetta attività di trattamento all’interno del proprio registro[1].

Tanto il Garante quanto il Comitato Europeo per la protezione dei dati personali hanno, quindi, valorizzato l’importanza strategica del suddetto adempimento in quanto finalizzato a garantire a Titolari e Responsabili di effettuare attività di trattamento con piena contezza del tipo di trattamenti svolti, dei soggetti coinvolti e della natura dei dati trattati.

Seppure il Working Party 29 e l’Autorità Garante nazionale abbiano consigliato a gran parte di titolari e responsabili di trattamento di munirsi di registro non si può tout court inferire che tutti i titolari e responsabili di trattamento (o almeno la quasi totalità di questi) abbiano l’obbligo di munirsi di registro, posto che questa interpretazione risulterebbe, infatti, contra legem.

Peraltro, giova osservare come né le posizioni prese dal Gruppo di lavoro 29 né, tantomeno, quelle prese dal Garante siano disposizioni normative né, a maggior ragione, di interpretazione autentica, potendo le stesse, al più, fornire meri criteri indicativi ed interpretativi utili a titolari e responsabili di trattamento senza vincolarli ulteriormente rispetto a quanto stabilito in sede normativa.

Ne consegue che, da un lato, vi sono soggetti obbligati alla tenuta dal registro per legge e, dall’altro, soggetti che pur ricadendo nelle ipotesi di esenzione dall’obbligo di adottare l’adempimento, potrebbero valutare di adottarlo in un’ottica strategica.

Attraverso il registro è, infatti, possibile implementare i propri processi di documentazione in merito alle politiche di trattamento di dati personali operate al fine di dimostrare il rispetto della normativa.

Quale è la funzione del registro delle attività di trattamento e perché l’adozione dell’adempimento può essere un’opportunità per titolari e responsabili di trattamento? Il registro come strumento prodromico alla realizzazione di certi adempimenti e come strumento di cooperazione con l’Autorità di Controllo.

Attraverso l’adozione di un modello efficiente di registro, è possibile realizzare un sufficiente grado di consapevolezza e permettere di documentare le scelte in merito alle attività di trattamento di dati personali compiute da titolari e da responsabili.

Di conseguenza, il registro delle attività di trattamento è da considerarsi come un importante adempimento strategico in quanto contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability.

Infatti, un registro correttamente compilato e costantemente aggiornato permette al Titolare di tenere sotto controllo e monitorare i flussi di dati personali, le categorie di interessati coinvolte nelle operazioni di trattamento ed il numero indicativo degli stessi, i rischi ed i trattamenti che effettua in azienda e, se del caso, di agire proattivamente nell’ottica della prevenzione del rischio ed anche di documentare le data retention policy aziendali.

Non va, inoltre, sottovalutata la funzione del registro di agevolare il dialogo e la cooperazione con l’Autorità Garante in sede di esercizio dell’attività di controllo, nell’ottica di implementazione del principio di leale cooperazione, essendo il documento un importante strumento di trasparenza e di cooperazione con l’Autorità di controllo in caso di ispezione[2].

Sul punto, è doveroso osservare come ai sensi del Considerando 82 al GDRP: “Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti.”, ribadendo un concetto cardine già stabilito nell’art 30 GDPR.

Quale è la natura e quale forma deve (o dovrebbe avere) avere il registro delle attività di trattamento?

Il GDPR stabilisce, inoltre, che il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante: ai sensi dell’art. 30 comma 3: “I registri di cui ai paragrafi devono essere tenuti in forma scritta, anche in formato elettronico.”

La disposizione normativa – all’apparenza di portata trascurabile – solleva in realtà importanti problematiche applicative in quanto il concetto di forma scritta mal si concilia con la natura dinamica che dovrebbe avere il registro delle attività di trattamento.

Al riguardo, alcuni ritengono che il registro debba avere data certa e debba essere datato, firmato e sottoscritto anche digitalmente, mentre altri ritengono che possa bastare tenerlo in forma libera, come un semplice file word o Excel privilegiando l’aspetto fluido e dinamico dell’adempimento incompatibile con le rigidità e l’ingessatura che impone la forma scritta.

La prima tesi si basa su un’interpretazione letterale della norma con la conseguenza che, ai sensi dell’art. 20 comma 1bis CAD[3], il registro dovrebbe essere sottoscritto e marcato digitalmente dal titolare, con la conseguenza che, in difetto dei predetti requisiti formali, il registro non dovrebbe considerarsi realizzato e l’adempimento non realizzato.

La seconda tesi opera, per contro, un’estensione analogica del concetto di forma scritta trasformando il dato letterale della norma nel senso di forma documentabile. Questa specifica interpretazione, pure se non strettamente letterale sembra essere comunque compatibile con lo spirito del GDPR e, per certi aspetti, anche preferibile.

Del resto, chi argomenta a favore della seconda tesi ritiene che un’interpretazione letterale del combinato disposto dell’art. 30 GDPR e dell’art. 20 CAD sia difficilmente conciliabile con la natura dinamica del registro delle attività di trattamento caldeggiata da diverse Autorità Garanti Europee.

Ne consegue che l’interpretazione data dal nostro Codice dell’Amministrazione Digitale potrebbe essere troppo restrittiva e troppo poco dinamica e che non dovrebbe riguardare il registro delle attività di trattamento.

Molti operatori ed interpreti hanno, infatti, rilevato come si potrebbe fare a meno della marca temporale e della firma digitale a favore di forme più flessibili e dinamiche di gestione dell’adempimento.

In particolare, a favore della seconda tesi milita la circostanza che il registro sia considerato come un adempimento non statico e formale, bensì dinamico e sostanziale in quanto strumento di consapevolezza e responsabilizzazione da aggiornarsi ed integrarsi costantemente.

Secondo questa interpretazione, pertanto, parrebbe più opportuno che il registro assuma una forma documentabile più che scritta secondo quanto esige il dato letterale della norma in quanto la fluidità intrinseca del registro appare difficilmente compatibile con il requisito di immodificabilità richiesto dal CAD.

Il Garante – pur non sbilanciandosi eccessivamente a favore della seconda tesi – è di recente intervenuto stabilendo che il registro può essere compilato sia in formato cartaceo che elettronico a discrezione del Titolare.

Sotto il profilo formale occorre solamente che il registro sia compilato in modo tale da recare, in maniera verificabile, la data della sua prima istituzione o la data della prima creazione di ogni singola scheda per tipologia di trattamento unitamente a quella dell’ultimo aggiornamento.

Pertanto, sulla base dei suggerimenti forniti dal Garante, si potrebbe ritenere anche bastevole una mera annotazione sul documento indicante la data di creazione e l’ultimo aggiornamento dello stesso[4].

Emerge, quindi, come sia stato privilegiata la natura dinamica del registro e come il Garante non abbia richiesto a titolari e responsabili di marcare temporalmente il registro né di sottoscriverlo digitalmente, ma solo che la data ivi annotata rispetti il requisito della verificabilità.

Al contrario, il Garante ha ribadito che il registro ha natura fluida e che, come tale, deve essere mantenuto costantemente aggiornato ed integrato in quanto il contenuto di questo deve sempre corrispondere all’effettività dei trattamenti posti in essere.

Occorre, in particolare, che ogni cambiamento in ordine alle modalità, finalità, categorie di dati, categorie di interessati, sia immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute in modo da tenere sotto controllo le attività di trattamento che vengono operate sotto l’autorità del titolare.

Si deve, infatti, ritenere che il registro non sia un atto giuridico in senso stretto, da intendersi come espressione di una volontà negoziale del titolare, ma piuttosto un adempimento strategico finalizzato semplicemente a documentare le scelte di titolari e responsabili in tema di protezione dei dati personali.

Pertanto, il registro non è idoneo ad esprimere alcuna volontà negoziale, se non quella di adempiere agli obblighi normativi e, come, tale, dovrebbe assumere la forma più idonea a consentirne unicamente il pronto aggiornamento e la possibilità di metterlo a disposizione dell’Autorità Garante in caso di ispezione nella sua versione più aggiornata.

Vi sono, in ogni caso, molti gestionali che sono in grado di aiutare titolari e responsabili a tenere i registri che fanno uso di tecnologie innovative quali, ad esempio, la blockchain e che sono in grado di sviluppare e potenziare adeguati modelli di registro.

Quale è il contenuto del registro e cosa si deve indicare?

Il contenuto minimo del registro è definito dall’art 30 GDPR al primo ed al secondo comma, a seconda che il registro sia tenuto dal titolare o dal responsabile del trattamento.

La legge detta, quindi, dei requisiti generali e di contenuto minimo per il registro che altro non sono che i requisiti minimi per sviluppare un grado di consapevolezza minima delle attività di trattamento effettuate in azienda che seppur necessario può essere, talvolta, insufficiente.

L’Autorità Garante ha fornito ulteriori specificazioni in merito ai contenuti del registro, stabilendo che esso dovrebbe contenere:

(a) nel campo “finalità del trattamento” oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento come, ad esempio, il trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso. In particolare, deve essere documentato nel registro la presenza di un “legittimo interesse” ove questo costituisca la base giuridica del trattamento piuttosto che la presenza di una preventiva valutazione d’impatto posta in essere dal titolare,

(b) nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati, quali clienti, fornitori, dipendenti, sia quelle di dati personali oggetto di trattamento,

(c) nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati, come enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi), oltre che altri soggetti che operano in qualità di responsabili e sub-responsabili del trattamento, quali il consulente del lavoro o l’ufficio che elabora le buste paga dei dipendenti piuttosto che altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento. Questo processo di mappatura consente, infatti, al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali,

(d) nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” deve essere riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese terzo verso il quale i dati sono trasferiti e alle “garanzie” adottate a tutela degli interessati i cui dati sono trasferiti come decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo od altre misure di garanzia atipica,

(e) nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento, come nel caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione. Ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri come norme di legge o prassi settoriali indicativi degli stessi,

(f) nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di rinviare anche a a documenti esterni di carattere generale quali procedure organizzative interne; security policy da aggiornarsi continuamente per stare al passo con gli sviluppi della tecnologia e prevenire l’insorgere di nuovi rischi.

In realtà, come spesso accade, il rispetto delle disposizioni normative è uno step necessario ma non sufficiente ed il registro, per realizzare la sua funzione (ossia quella di strumento di documentazione ed accountability) deve essere articolato e sviluppato secondo le concrete esigenze aziendali.

Ne consegue che il Titolare od il Responsabile di trattamento ben potrebbero, e forse addirittura dovrebbero, inserire ulteriori elementi od altri livelli di dettaglio nell’ambito del registro delle attività di trattamento.

Peraltro, anche molti ordini professionali ed associazioni di categoria hanno sviluppato dei modelli di registri modulati per le esigenze specifiche delle categorie che rappresentano che possono rappresentare una base di partenza che titolari di trattamento potrebbero ulteriormente arricchire e sviluppare sulla base delle proprie specifiche esigenze.

Del resto, pure nell’ambito della stessa categoria professionale di riferimento le esigenze dei singoli titolari possono mutare e, conseguentemente, ogni titolare ha il dovere di modulare le misure tecniche ed organizzative in maniera tale da garantire che queste offrano adeguati livelli di protezione dei dati personali trattati.

Si pensi, ad esempio, a un avvocato specializzato in materia di diritto penale e di violenze sessuali il quale avrà esigenze di protezione dei dati personali dei propri clienti maggiori rispetto a quelli di Colleghi specializzati nella corporate law, in fusioni ed acquisizioni che hanno come clienti, più che altro, persone giuridiche e che, potranno trattare dati di persone fisiche in maniera vieppiù occasionale.

La posizione presa dalle Autorità di Controllo europee in tema di contenuto e forma del registro.

Che cosa ha detto il Garante per la Protezione dei Dati Personali?

Il Garante della privacy ha sviluppato, di recente, una serie di corpose F.A.Q. dove ha dato alcuni chiarimenti, direttive e risposte alle principali problematiche applicative riscontrate nella prassi[5].

Pur non avendo valore di legge, queste risposte sono utili a guidare operatori e consulenti nell’ambito dello svolgimento della propria autorità.

Peraltro, anche altre Autorità Garanti straniere hanno preso posizioni significative simile a quelle della nostra Autorità Garante ed in linea con le posizioni espresse dal WP29 relativamente al registro che meritano di ricevere adeguato approfondimento.

Giova, peraltro, osservare come anche le altre Autorità di Controllo europee abbiano preso posizioni in linea con quanto osservato dal Working Party 29 e dal Garante italiano di cui è bene dare conto almeno per sommi capi.

Cosa ha detto l’Autorità garante belga?

Secondo l’Autorità Garante belga i registri interni devono essere resi disponibili per iscritto, anche in forma elettronica, chiari e facilmente comprensibili per l’Autorità Garante, creati in formato può essere flessibile al fine di soddisfare le esigenze di ogni tipo di trattamento e, da ultimo, i registri interni devono essere costantemente aggiornati.

Per l’Autorità Garante belga, quindi, il registro deve essere integrato sulla base delle esigenze del titolare e resi disponibili all’autorità.

Sotto il profilo formale emerge come il concetto di forma documentabile e consultabile elaborato dall’Autorità belga non sembri coincidere necessariamente con quanto prevede il nostro CAD sotto il profilo della forma scritta.

Quelle est la position prise par la CNIL?

Anche il CNIL (l’Autorità Garante francese) raccomanda, per quanto possibile, di arricchire il registro arricchire il registro di ulteriori informazioni al fine di renderlo uno strumento più globale per la gestione della conformità.

Emerge, quindi, come anche l’Autorità di Controllo francese ritiene, nell’ottica di valorizzare l’importanza strategica dell’adempimento in esame, che il registro delle attività di trattamento debba mappare in maniera completa e responsabile l’insieme dei trattamenti posti in essere dall’organizzazione di titolari e responsabili[6].

Quali sono i rapporti tra il registro delle attività di trattamento ed il vecchio documento programmatico per la sicurezza?

Il Garante ha specificato come l’elenco delle misure di sicurezza riportato all’interno del Registro delle attività costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente realizzate.

In particolare, è stato specificato come l’indicazione delle misure di sicurezza abbia un carattere, di per sé, dinamico e non più statico come è stato per il vecchio documento programmatico per la sicurezza previsto dall’Allegato B del d. lgs. 196/2003.

Il registro deve, infatti, essere sempre e costantemente aggiornato e modificato (quasi in tempo reale non essendo sufficiente un aggiornamento periodico) alla luce degli sviluppi della tecnologia che determina il continuo insorgere di nuovi rischi per la sicurezza dei dati personali oltre che la scoperta di nuove misure di sicurezza.

Il registro delle attività di trattamento, lungi dall’essere una carta inutile che rappresenta il punto di arrivo per titolari e responsabili finalizzato ad esaurire in una maniera cartolare e formale gli adempimenti richiesti dal Regolamento Europeo, dovrebbe essere, per contro, un punto di partenza.

Partendo da quanto annotato nel registro, titolari e responsabili di trattamento potrebbero cogliere l’occasione per mappare i flussi di dati personali e regolare i rapporti con i fornitori, per definire le proprie data retention policy in relazione ai dati personali trattati in azienda e per rendersi conto delle misure di sicurezza adottate e, non da ultimo, per valutare i rischi dei trattamenti e anche la probabilità di occorrenza delle minacce.

La realizzazione degli adempimenti previsti dal GDPR richiede un’acquisizione di consapevolezza da parte di titolari e responsabili di trattamento che può essere acquisita in sede di redazione ed aggiornamento del registro che forma, come sopra accennato, il punto di partenza per porsi interrogativi fondamentali in tema di politiche di protezione dei dati personali.

Pertanto, eppure il registro ricalchi in buona parte l’aspetto contenutistico del DPS, la logica che anima i due adempimenti è profondamente diversa, al punto che il registro nemmeno può ritenersi, in alcun modo, il successore o comparabile al documento programmatico per la sicurezza che era animato, più che altro, da un sistema formalistico oramai superato basato su autorizzazioni preventive e su una gestione, il più delle volte, cartolare degli adempimenti.

Emerge, quindi, come sia profondamente diversa la logica alla base del D.P.S. rispetto a quella del registro.

I registri: uno, nessuno o centomila?

Da ultimo, è bene evidenziare come potrebbe anche essere insufficiente munirsi del solo registro delle attività, posto che – al fine di essere fully compliant – titolari e responsabili dovrebbero valutare di adottare altri modelli di registri per dimostrare il rispetto degli ulteriori obblighi imposti dal GDPR che non si esauriscono con la mera adozione del registro delle attività di trattamento.

In primo luogo, pare opportuno adottare il registro delle violazioni che risponde all’esigenza di documentare le violazioni subite al fine di procedere alla loro valutazione secondo quanto esige l’art. 33 comma 5 GDPR. La documentazione della violazione subita è, infatti, cruciale posto che senza una completa annotazione degli elementi descrittivi della violazione subita, non si può determinarne né la gravità né le conseguenze per gli interessati.

In secondo luogo, è bene che titolari e responsabili di trattamento si muniscano anche del registro della formazione di collaboratori e dipendenti posto che l’art. 29 richiede che i soggetti che effettuano attività di trattamento sotto l’autorità di titolari e responsabili non siano solo autorizzati, ma anche debitamente istruiti.

Con l’avvento del GDPR deve, infatti, ritenersi superata la logica di nomina formale dei soggetti incaricati.

Lo spirito sostanziale della normativa europea – in distonia con la previgente disciplina – esige che chi opera attività di trattamento sia debitamente autorizzato ed istruito dal titolare, anche in ragione delle funzioni aziendali e delle mansioni svolte nell’ambito delle attività di trattamento che il titolare od il responsabile effettuano. Il registro della formazione risponde, quindi, all’esigenza di documentare la formazione dei soggetti che operano sotto l’autorità del titolare o del responsabile ai sensi dell’art. 29 GDPR.

Da ultimo, le migliori prassi[7] richiedono, altresì, di operare un censimento della strumentazione elettronica attraverso la quale titolari e responsabili effettuano le attività di trattamento. In particolare, occorre programmare, dirigere, attuare e valutare quanto deve essere messo in atto per la protezione dei dati personali in ambito di ICT affinché un’organizzazione sia nelle condizioni di essere conforme a quanto previsto dal quadro normativo europeo e nazionale.

Pertanto, occorre che un titolare o responsabile affronti la protezione dei dati personali in ambito ICT in modo sistematico e organizzato attuando, periodicamente o a seguito di cambiamenti significativi, quali ad esempio modifiche della normativa o dell’organizzazione aziendale, un cambiamento strutturale dell’ambito ICT o delle sue caratteristiche. Occorre, quindi, identificare i flussi di dati personali in ambito ICT relativi a ogni trattamento e mantenerli aggiornati in un inventario dei trattamenti di dati personali in ambito ICT in linea con quanto prescritto dall’art. 30 del GDPR.

In particolare, il titolare o responsabile che effettua attività di trattamento con strumenti ICT deve, tenuto conto della complessità dell’organizzazione per cui opera ed in proporzione alla complessità delle attività di trattamento, stabilire e mantenere un inventario dei trattamenti dei dati personali in ambito ICT che includa l’identificazione dei processi che utilizzano dati personali in ambito ICT, delle origini dei dati personali trattati, delle categorie di dati personali trattati con particolare attenzione ai soggetti vulnerabili, delle finalità per le quali i dati personali possono essere utilizzati, dei potenziali destinatari di dati personali, incluse terze parti, del ruolo (titolare, responsabile o contitolare del trattamento) dell’organizzazione, dei sistemi informativi coinvolti e degli archivi di dati personali, degli eventuali trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali, del periodo di conservazione dei dati personali oppure dei criteri utilizzati per determinare tale periodo e le misure previste al termine di tale periodo e delle sedi dove è svolto il trattamento.

Occorre, infine, garantire che i ripetuti inventari dei trattamenti di dati personali in ambito ICT producano risultati coerenti, validi e comparabili, in particolar modo se prodotti con l’apporto di strumenti automatizzati.

Il suddetto inventario può essere sviluppato e gestito in un registro a parte oppure essere inserito come allegato al registro delle attività di trattamento.

[1] V. sul punto Position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR.

[2] Cfr. Cons. 82 GDPR.

[3] “Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle Linee guida.”

[4] Il Garante ha fatto espresso riferimento al concetto di annotazione.

In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:

“- scheda creata in data XY”

“- ultimo aggiornamento avvenuto in data XY”.

[5] Sul punto, si rinvia al seguente link per maggiori approfondimenti sulla materia: https://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento.

[6] “Le registre de traitement doit recenser l’ensemble des traitements mis en œuvre par votre organisme. [omissis] La CNIL recommande, dans la mesure du possible, d’enrichir le registre de mentions complémentaires afin d’en faire un outil plus global de pilotage de la conformité.” (Cfr. https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement)

[7] Prassi di riferimento: UNI/PdR 43.2:2018 – Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR) – Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT.