LA TENUTA DEI REGISTRI: CONSAPEVOLEZZA, ACCOUNTABILITY, SUBSTANCE OVER FORM E DOCUMENTAZIONE DELLE SCELTE.
SINTESI DELLA RELAZIONE DELL’AVV. GIACOMO CONTI ALL’EVENTO SUMMER MEETING GDPR ITALIA – OPERATORI E CONSULENTI. MILANO IN DATA 29 GIUGNO 2018 – AGGIORNATA IN DATA 9 OTTOBRE 2018 ALL’ESITO DEI CHIARIMENTI FORNITI DALL’AUTORITA’ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI)
di Giacomo Conti edito: Il Foro Padano – Rivista di giurisprudenza e di dottrina – Fabrizio Serra Editore, Pisa – Roma – N. Rivista 1/2019
In che cosa consiste il registro delle attività di trattamento?
L’art. 30 del Regolamento (EU) n. 679/2016 di seguito “GDPR” prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento.
Si intende per registro delle attività di trattamento un documento contenente le principali informazioni specificatamente individuate dall’art. 30 del GDPR relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.
Sin da subito emerge, pertanto, come il registro costituisca uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.
Il registro delle attività di trattamento è, per l’effetto, un importante strumento di consapevolezza e documentazione finalizzato a realizzare il censimento e l’analisi dei trattamenti effettuati dal titolare o responsabile.
In altri termini, il titolare o il responsabile del trattamento documentano, attraverso, il registro le attività di trattamento che effettuano sotto la propria autorità mappandole e tenendole sotto controllo.
Chi è obbligato alla tenuta del registro delle attività di trattamento?
Se, da un lato, l’art. 30 GDPR stabilisce che ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità; dall’altro, il suo comma 5 esenta dall’obbligo di tenuta dei registri le sole imprese o organizzazioni con meno di 250 dipendenti.
Peraltro, giova osservare come la suddetta esenzione già non valga nel caso in cui le attività di trattamento effettuate da titolari e responsabili, pur con un numero di dipendenti inferiore a 250, possano presentare un rischio per i diritti e le libertà dell’interessato, ove il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati personali o i dati personali relativi a condanne penali e a reati.
La portata dell’esenzione dall’obbligo di tenuta del registro è stata, inoltre, ridimensionata significativamente nelle line guida dell’ex WP29 (ora EDPB) ed anche dall’Autorità Garante Italiana valorizzando l’importanza strategica di questo adempimento, con la conseguenza che, interpretando letteralmente le indicazioni fornite, quasi tutti i titolari e i responsabili del trattamento dovrebbero essere tenuti a redigere il Registro delle attività di trattamento, con qualche rara eccezione.
Sul punto, il Garante ha specificato espressamente come, in ambito privato, i soggetti obbligati alla tenuta del registro sono tutte le imprese o organizzazioni con almeno 250 dipendenti, oltre che qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettuino trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato, qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettuino trattamenti non occasionali, oppure titolari e responsabili che trattino categorie particolari di dati ai sensi dell’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati ai sensi dell’articolo 10 GDPR.
È stato, peraltro, specificato come nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 rientrino anche le associazioni, fondazioni e i comitati, come tali tenute alla tenuta del registro al ricorrere dei presupposti di Legge.
Alla luce di quanto detto sopra, dovrebbero essere tenuti all’obbligo di redazione del registro, ad esempio:
a. gli esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente come bar, ristoranti, officine, negozi, piccola distribuzione oppure che trattino dati sanitari dei clienti quali, ad esempio, parrucchieri, estetisti, ottici, odontotecnici, tatuatori;
b. i liberi professionisti con almeno un dipendente, che trattino dati sanitari oppure dati relativi a condanne penali o reati quali commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti e medici;
c. le associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati come le organizzazioni di tendenza, le associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità e detenuti; le associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso;
d. il condominio ove tratti “categorie particolari di dati”. Si pensi, ad esempio a delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989, piuttosto che alle richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali.
Al riguardo è bene precisare come l’adozione del registro possa essere considerata, in ogni caso, un’importante scelta strategica oltre che realizzabile ed a basso costo: anche laddove l’adozione del registro delle attività di trattamento non è obbligatoria, esso potrebbe comunque essere utilizzato al fine di realizzare adempimenti pure sempre obbligatori, come quello di monitorare i flussi di dati personali e di valutare il rischio dei trattamenti.
La differenza fra ciò che è obbligatorio, ciò che è opportuno o “consigliato” oppure semplicemente strategico è spesso molto sfumata ed il diavolo si annida nei dettagli.
Quindi, in buona sostanza, tutti i titolari e responsabili di trattamento hanno l’obbligo di munirsi di registro delle attività di trattamento?
A prescindere dall’obbligo o meno di adottare il registro delle attività di trattamento, è stata valorizzata la natura di strumento di consapevolezza e documentazione che il registro – se correttamente implementato e gestito – può arrivare a svolgere.
Il Garante si è infatti espresso nel senso che, in ogni caso, anche al di fuori dei casi di tenuta obbligatoria del Registro, sia raccomandabile per tutti i titolari e responsabili del trattamento, munirsi del registro delle attività di trattamento.
Al riguardo, giova osservare come anche il Comitato Europeo per la protezione dei dati personali ha precisato come, ad esempio, è probabile che una PMI tratti regolarmente i dati relativi ai propri dipendenti in una maniera che non può essere considerata come non occasionale e come, di conseguenza, anche titolari di questo tipo di titolari e responsabili dovrebbero munirsi di registro ai sensi dell’art. 30 GDPR ed includere suddetta attività di trattamento all’interno del proprio registro[1].
Tanto il Garante quanto il Comitato Europeo per la protezione dei dati personali hanno, quindi, valorizzato l’importanza strategica del suddetto adempimento in quanto finalizzato a garantire a Titolari e Responsabili di effettuare attività di trattamento con piena contezza del tipo di trattamenti svolti, dei soggetti coinvolti e della natura dei dati trattati.
Seppure il Working Party 29 e l’Autorità Garante nazionale abbiano consigliato a gran parte di titolari e responsabili di trattamento di munirsi di registro non si può tout court inferire che tutti i titolari e responsabili di trattamento (o almeno la quasi totalità di questi) abbiano l’obbligo di munirsi di registro, posto che questa interpretazione risulterebbe, infatti, contra legem.
Peraltro, giova osservare come né le posizioni prese dal Gruppo di lavoro 29 né, tantomeno, quelle prese dal Garante siano disposizioni normative né, a maggior ragione, di interpretazione autentica, potendo le stesse, al più, fornire meri criteri indicativi ed interpretativi utili a titolari e responsabili di trattamento senza vincolarli ulteriormente rispetto a quanto stabilito in sede normativa.
Ne consegue che, da un lato, vi sono soggetti obbligati alla tenuta dal registro per legge e, dall’altro, soggetti che pur ricadendo nelle ipotesi di esenzione dall’obbligo di adottare l’adempimento, potrebbero valutare di adottarlo in un’ottica strategica.
Attraverso il registro è, infatti, possibile implementare i propri processi di documentazione in merito alle politiche di trattamento di dati personali operate al fine di dimostrare il rispetto della normativa.
Quale è la funzione del registro delle attività di trattamento e perché l’adozione dell’adempimento può essere un’opportunità per titolari e responsabili di trattamento? Il registro come strumento prodromico alla realizzazione di certi adempimenti e come strumento di cooperazione con l’Autorità di Controllo.
Attraverso l’adozione di un modello efficiente di registro, è possibile realizzare un sufficiente grado di consapevolezza e permettere di documentare le scelte in merito alle attività di trattamento di dati personali compiute da titolari e da responsabili.
Di conseguenza, il registro delle attività di trattamento è da considerarsi come un importante adempimento strategico in quanto contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability.
Infatti, un registro correttamente compilato e costantemente aggiornato permette al Titolare di tenere sotto controllo e monitorare i flussi di dati personali, le categorie di interessati coinvolte nelle operazioni di trattamento ed il numero indicativo degli stessi, i rischi ed i trattamenti che effettua in azienda e, se del caso, di agire proattivamente nell’ottica della prevenzione del rischio ed anche di documentare le data retention policy aziendali.
Non va, inoltre, sottovalutata la funzione del registro di agevolare il dialogo e la cooperazione con l’Autorità Garante in sede di esercizio dell’attività di controllo, nell’ottica di implementazione del principio di leale cooperazione, essendo il documento un importante strumento di trasparenza e di cooperazione con l’Autorità di controllo in caso di ispezione[2].
Sul punto, è doveroso osservare come ai sensi del Considerando 82 al GDRP: “Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti.”, ribadendo un concetto cardine già stabilito nell’art 30 GDPR.
Quale è la natura e quale forma deve (o dovrebbe avere) avere il registro delle attività di trattamento?
Il GDPR stabilisce, inoltre, che il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante: ai sensi dell’art. 30 comma 3: “I registri di cui ai paragrafi devono essere tenuti in forma scritta, anche in formato elettronico.”
La disposizione normativa – all’apparenza di portata trascurabile – solleva in realtà importanti problematiche applicative in quanto il concetto di forma scritta mal si concilia con la natura dinamica che dovrebbe avere il registro delle attività di trattamento.
Al riguardo, alcuni ritengono che il registro debba avere data certa e debba essere datato, firmato e sottoscritto anche digitalmente, mentre altri ritengono che possa bastare tenerlo in forma libera, come un semplice file word o Excel privilegiando l’aspetto fluido e dinamico dell’adempimento incompatibile con le rigidità e l’ingessatura che impone la forma scritta.
La prima tesi si basa su un’interpretazione letterale della norma con la conseguenza che, ai sensi dell’art. 20 comma 1bis CAD[3], il registro dovrebbe essere sottoscritto e marcato digitalmente dal titolare, con la conseguenza che, in difetto dei predetti requisiti formali, il registro non dovrebbe considerarsi realizzato e l’adempimento non realizzato.
La seconda tesi opera, per contro, un’estensione analogica del concetto di forma scritta trasformando il dato letterale della norma nel senso di forma documentabile. Questa specifica interpretazione, pure se non strettamente letterale sembra essere comunque compatibile con lo spirito del GDPR e, per certi aspetti, anche preferibile.
Del resto, chi argomenta a favore della seconda tesi ritiene che un’interpretazione letterale del combinato disposto dell’art. 30 GDPR e dell’art. 20 CAD sia difficilmente conciliabile con la natura dinamica del registro delle attività di trattamento caldeggiata da diverse Autorità Garanti Europee.
Ne consegue che l’interpretazione data dal nostro Codice dell’Amministrazione Digitale potrebbe essere troppo restrittiva e troppo poco dinamica e che non dovrebbe riguardare il registro delle attività di trattamento.
Molti operatori ed interpreti hanno, infatti, rilevato come si potrebbe fare a meno della marca temporale e della firma digitale a favore di forme più flessibili e dinamiche di gestione dell’adempimento.
In particolare, a favore della seconda tesi milita la circostanza che il registro sia considerato come un adempimento non statico e formale, bensì dinamico e sostanziale in quanto strumento di consapevolezza e responsabilizzazione da aggiornarsi ed integrarsi costantemente.
Secondo questa interpretazione, pertanto, parrebbe più opportuno che il registro assuma una forma documentabile più che scritta secondo quanto esige il dato letterale della norma in quanto la fluidità intrinseca del registro appare difficilmente compatibile con il requisito di immodificabilità richiesto dal CAD.
Il Garante – pur non sbilanciandosi eccessivamente a favore della seconda tesi – è di recente intervenuto stabilendo che il registro può essere compilato sia in formato cartaceo che elettronico a discrezione del Titolare.
Sotto il profilo formale occorre solamente che il registro sia compilato in modo tale da recare, in maniera verificabile, la data della sua prima istituzione o la data della prima creazione di ogni singola scheda per tipologia di trattamento unitamente a quella dell’ultimo aggiornamento.
Pertanto, sulla base dei suggerimenti forniti dal Garante, si potrebbe ritenere anche bastevole una mera annotazione sul documento indicante la data di creazione e l’ultimo aggiornamento dello stesso[4].
Emerge, quindi, come sia stato privilegiata la natura dinamica del registro e come il Garante non abbia richiesto a titolari e responsabili di marcare temporalmente il registro né di sottoscriverlo digitalmente, ma solo che la data ivi annotata rispetti il requisito della verificabilità.
Al contrario, il Garante ha ribadito che il registro ha natura fluida e che, come tale, deve essere mantenuto costantemente aggiornato ed integrato in quanto il contenuto di questo deve sempre corrispondere all’effettività dei trattamenti posti in essere.
Occorre, in particolare, che ogni cambiamento in ordine alle modalità, finalità, categorie di dati, categorie di interessati, sia immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute in modo da tenere sotto controllo le attività di trattamento che vengono operate sotto l’autorità del titolare.
Si deve, infatti, ritenere che il registro non sia un atto giuridico in senso stretto, da intendersi come espressione di una volontà negoziale del titolare, ma piuttosto un adempimento strategico finalizzato semplicemente a documentare le scelte di titolari e responsabili in tema di protezione dei dati personali.
Pertanto, il registro non è idoneo ad esprimere alcuna volontà negoziale, se non quella di adempiere agli obblighi normativi e, come, tale, dovrebbe assumere la forma più idonea a consentirne unicamente il pronto aggiornamento e la possibilità di metterlo a disposizione dell’Autorità Garante in caso di ispezione nella sua versione più aggiornata.
Vi sono, in ogni caso, molti gestionali che sono in grado di aiutare titolari e responsabili a tenere i registri che fanno uso di tecnologie innovative quali, ad esempio, la blockchain e che sono in grado di sviluppare e potenziare adeguati modelli di registro.
Quale è il contenuto del registro e cosa si deve indicare?
Il contenuto minimo del registro è definito dall’art 30 GDPR al primo ed al secondo comma, a seconda che il registro sia tenuto dal titolare o dal responsabile del trattamento.
La legge detta, quindi, dei requisiti generali e di contenuto minimo per il registro che altro non sono che i requisiti minimi per sviluppare un grado di consapevolezza minima delle attività di trattamento effettuate in azienda che seppur necessario può essere, talvolta, insufficiente.
L’Autorità Garante ha fornito ulteriori specificazioni in merito ai contenuti del registro, stabilendo che esso dovrebbe contenere:
(a) nel campo “finalità del trattamento” oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento come, ad esempio, il trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso. In particolare, deve essere documentato nel registro la presenza di un “legittimo interesse” ove questo costituisca la base giuridica del trattamento piuttosto che la presenza di una preventiva valutazione d’impatto posta in essere dal titolare,
(b) nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati, quali clienti, fornitori, dipendenti, sia quelle di dati personali oggetto di trattamento,
(c) nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati, come enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi), oltre che altri soggetti che operano in qualità di responsabili e sub-responsabili del trattamento, quali il consulente del lavoro o l’ufficio che elabora le buste paga dei dipendenti piuttosto che altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento. Questo processo di mappatura consente, infatti, al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali,
(d) nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” deve essere riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese terzo verso il quale i dati sono trasferiti e alle “garanzie” adottate a tutela degli interessati i cui dati sono trasferiti come decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo od altre misure di garanzia atipica,
(e) nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento, come nel caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione. Ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri come norme di legge o prassi settoriali indicativi degli stessi,
(f) nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di rinviare anche a a documenti esterni di carattere generale quali procedure organizzative interne; security policy da aggiornarsi continuamente per stare al passo con gli sviluppi della tecnologia e prevenire l’insorgere di nuovi rischi.
In realtà, come spesso accade, il rispetto delle disposizioni normative è uno step necessario ma non sufficiente ed il registro, per realizzare la sua funzione (ossia quella di strumento di documentazione ed accountability) deve essere articolato e sviluppato secondo le concrete esigenze aziendali.
Ne consegue che il Titolare od il Responsabile di trattamento ben potrebbero, e forse addirittura dovrebbero, inserire ulteriori elementi od altri livelli di dettaglio nell’ambito del registro delle attività di trattamento.
Peraltro, anche molti ordini professionali ed associazioni di categoria hanno sviluppato dei modelli di registri modulati per le esigenze specifiche delle categorie che rappresentano che possono rappresentare una base di partenza che titolari di trattamento potrebbero ulteriormente arricchire e sviluppare sulla base delle proprie specifiche esigenze.
Del resto, pure nell’ambito della stessa categoria professionale di riferimento le esigenze dei singoli titolari possono mutare e, conseguentemente, ogni titolare ha il dovere di modulare le misure tecniche ed organizzative in maniera tale da garantire che queste offrano adeguati livelli di protezione dei dati personali trattati.
Si pensi, ad esempio, a un avvocato specializzato in materia di diritto penale e di violenze sessuali il quale avrà esigenze di protezione dei dati personali dei propri clienti maggiori rispetto a quelli di Colleghi specializzati nella corporate law, in fusioni ed acquisizioni che hanno come clienti, più che altro, persone giuridiche e che, potranno trattare dati di persone fisiche in maniera vieppiù occasionale.
La posizione presa dalle Autorità di Controllo europee in tema di contenuto e forma del registro.
Che cosa ha detto il Garante per la Protezione dei Dati Personali?
Il Garante della privacy ha sviluppato, di recente, una serie di corpose F.A.Q. dove ha dato alcuni chiarimenti, direttive e risposte alle principali problematiche applicative riscontrate nella prassi[5].
Pur non avendo valore di legge, queste risposte sono utili a guidare operatori e consulenti nell’ambito dello svolgimento della propria autorità.
Peraltro, anche altre Autorità Garanti straniere hanno preso posizioni significative simile a quelle della nostra Autorità Garante ed in linea con le posizioni espresse dal WP29 relativamente al registro che meritano di ricevere adeguato approfondimento.
Giova, peraltro, osservare come anche le altre Autorità di Controllo europee abbiano preso posizioni in linea con quanto osservato dal Working Party 29 e dal Garante italiano di cui è bene dare conto almeno per sommi capi.
Cosa ha detto l’Autorità garante belga?
Secondo l’Autorità Garante belga i registri interni devono essere resi disponibili per iscritto, anche in forma elettronica, chiari e facilmente comprensibili per l’Autorità Garante, creati in formato può essere flessibile al fine di soddisfare le esigenze di ogni tipo di trattamento e, da ultimo, i registri interni devono essere costantemente aggiornati.
Per l’Autorità Garante belga, quindi, il registro deve essere integrato sulla base delle esigenze del titolare e resi disponibili all’autorità.
Sotto il profilo formale emerge come il concetto di forma documentabile e consultabile elaborato dall’Autorità belga non sembri coincidere necessariamente con quanto prevede il nostro CAD sotto il profilo della forma scritta.
Quelle est la position prise par la CNIL?
Anche il CNIL (l’Autorità Garante francese) raccomanda, per quanto possibile, di arricchire il registro arricchire il registro di ulteriori informazioni al fine di renderlo uno strumento più globale per la gestione della conformità.
Emerge, quindi, come anche l’Autorità di Controllo francese ritiene, nell’ottica di valorizzare l’importanza strategica dell’adempimento in esame, che il registro delle attività di trattamento debba mappare in maniera completa e responsabile l’insieme dei trattamenti posti in essere dall’organizzazione di titolari e responsabili[6].
Quali sono i rapporti tra il registro delle attività di trattamento ed il vecchio documento programmatico per la sicurezza?
Il Garante ha specificato come l’elenco delle misure di sicurezza riportato all’interno del Registro delle attività costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente realizzate.
In particolare, è stato specificato come l’indicazione delle misure di sicurezza abbia un carattere, di per sé, dinamico e non più statico come è stato per il vecchio documento programmatico per la sicurezza previsto dall’Allegato B del d. lgs. 196/2003.
Il registro deve, infatti, essere sempre e costantemente aggiornato e modificato (quasi in tempo reale non essendo sufficiente un aggiornamento periodico) alla luce degli sviluppi della tecnologia che determina il continuo insorgere di nuovi rischi per la sicurezza dei dati personali oltre che la scoperta di nuove misure di sicurezza.
Il registro delle attività di trattamento, lungi dall’essere una carta inutile che rappresenta il punto di arrivo per titolari e responsabili finalizzato ad esaurire in una maniera cartolare e formale gli adempimenti richiesti dal Regolamento Europeo, dovrebbe essere, per contro, un punto di partenza.
Partendo da quanto annotato nel registro, titolari e responsabili di trattamento potrebbero cogliere l’occasione per mappare i flussi di dati personali e regolare i rapporti con i fornitori, per definire le proprie data retention policy in relazione ai dati personali trattati in azienda e per rendersi conto delle misure di sicurezza adottate e, non da ultimo, per valutare i rischi dei trattamenti e anche la probabilità di occorrenza delle minacce.
La realizzazione degli adempimenti previsti dal GDPR richiede un’acquisizione di consapevolezza da parte di titolari e responsabili di trattamento che può essere acquisita in sede di redazione ed aggiornamento del registro che forma, come sopra accennato, il punto di partenza per porsi interrogativi fondamentali in tema di politiche di protezione dei dati personali.
Pertanto, eppure il registro ricalchi in buona parte l’aspetto contenutistico del DPS, la logica che anima i due adempimenti è profondamente diversa, al punto che il registro nemmeno può ritenersi, in alcun modo, il successore o comparabile al documento programmatico per la sicurezza che era animato, più che altro, da un sistema formalistico oramai superato basato su autorizzazioni preventive e su una gestione, il più delle volte, cartolare degli adempimenti.
Emerge, quindi, come sia profondamente diversa la logica alla base del D.P.S. rispetto a quella del registro.
I registri: uno, nessuno o centomila?
Da ultimo, è bene evidenziare come potrebbe anche essere insufficiente munirsi del solo registro delle attività, posto che – al fine di essere fully compliant – titolari e responsabili dovrebbero valutare di adottare altri modelli di registri per dimostrare il rispetto degli ulteriori obblighi imposti dal GDPR che non si esauriscono con la mera adozione del registro delle attività di trattamento.
In primo luogo, pare opportuno adottare il registro delle violazioni che risponde all’esigenza di documentare le violazioni subite al fine di procedere alla loro valutazione secondo quanto esige l’art. 33 comma 5 GDPR. La documentazione della violazione subita è, infatti, cruciale posto che senza una completa annotazione degli elementi descrittivi della violazione subita, non si può determinarne né la gravità né le conseguenze per gli interessati.
In secondo luogo, è bene che titolari e responsabili di trattamento si muniscano anche del registro della formazione di collaboratori e dipendenti posto che l’art. 29 richiede che i soggetti che effettuano attività di trattamento sotto l’autorità di titolari e responsabili non siano solo autorizzati, ma anche debitamente istruiti.
Con l’avvento del GDPR deve, infatti, ritenersi superata la logica di nomina formale dei soggetti incaricati.
Lo spirito sostanziale della normativa europea – in distonia con la previgente disciplina – esige che chi opera attività di trattamento sia debitamente autorizzato ed istruito dal titolare, anche in ragione delle funzioni aziendali e delle mansioni svolte nell’ambito delle attività di trattamento che il titolare od il responsabile effettuano. Il registro della formazione risponde, quindi, all’esigenza di documentare la formazione dei soggetti che operano sotto l’autorità del titolare o del responsabile ai sensi dell’art. 29 GDPR.
Da ultimo, le migliori prassi[7] richiedono, altresì, di operare un censimento della strumentazione elettronica attraverso la quale titolari e responsabili effettuano le attività di trattamento. In particolare, occorre programmare, dirigere, attuare e valutare quanto deve essere messo in atto per la protezione dei dati personali in ambito di ICT affinché un’organizzazione sia nelle condizioni di essere conforme a quanto previsto dal quadro normativo europeo e nazionale.
Pertanto, occorre che un titolare o responsabile affronti la protezione dei dati personali in ambito ICT in modo sistematico e organizzato attuando, periodicamente o a seguito di cambiamenti significativi, quali ad esempio modifiche della normativa o dell’organizzazione aziendale, un cambiamento strutturale dell’ambito ICT o delle sue caratteristiche. Occorre, quindi, identificare i flussi di dati personali in ambito ICT relativi a ogni trattamento e mantenerli aggiornati in un inventario dei trattamenti di dati personali in ambito ICT in linea con quanto prescritto dall’art. 30 del GDPR.
In particolare, il titolare o responsabile che effettua attività di trattamento con strumenti ICT deve, tenuto conto della complessità dell’organizzazione per cui opera ed in proporzione alla complessità delle attività di trattamento, stabilire e mantenere un inventario dei trattamenti dei dati personali in ambito ICT che includa l’identificazione dei processi che utilizzano dati personali in ambito ICT, delle origini dei dati personali trattati, delle categorie di dati personali trattati con particolare attenzione ai soggetti vulnerabili, delle finalità per le quali i dati personali possono essere utilizzati, dei potenziali destinatari di dati personali, incluse terze parti, del ruolo (titolare, responsabile o contitolare del trattamento) dell’organizzazione, dei sistemi informativi coinvolti e degli archivi di dati personali, degli eventuali trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali, del periodo di conservazione dei dati personali oppure dei criteri utilizzati per determinare tale periodo e le misure previste al termine di tale periodo e delle sedi dove è svolto il trattamento.
Occorre, infine, garantire che i ripetuti inventari dei trattamenti di dati personali in ambito ICT producano risultati coerenti, validi e comparabili, in particolar modo se prodotti con l’apporto di strumenti automatizzati.
Il suddetto inventario può essere sviluppato e gestito in un registro a parte oppure essere inserito come allegato al registro delle attività di trattamento.
[1] V. sul punto Position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR.
[2] Cfr. Cons. 82 GDPR.
[3] “Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle Linee guida.”
[4] Il Garante ha fatto espresso riferimento al concetto di annotazione.
In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:
“- scheda creata in data XY”
“- ultimo aggiornamento avvenuto in data XY”.
[5] Sul punto, si rinvia al seguente link per maggiori approfondimenti sulla materia: https://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento.
[6] “Le registre de traitement doit recenser l’ensemble des traitements mis en œuvre par votre organisme. [omissis] La CNIL recommande, dans la mesure du possible, d’enrichir le registre de mentions complémentaires afin d’en faire un outil plus global de pilotage de la conformité.” (Cfr. https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement)
[7] Prassi di riferimento: UNI/PdR 43.2:2018 – Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR) – Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT.
Ottimo lavoro!