L’obbligatorietà della tenuta del registro dei trattamenti dei dati personali alla luce dell’approccio basato sul rischio
In questo periodo si fa un gran parlare di registri in ambito privacy, il registro dei trattamenti, il registro della DPIA, il registro delle violazioni. Ma di cosa si tratta e soprattutto tocca a tutti predisporre tali registri oppure ne è prevista la redazione e la tenuta solo in alcuni casi specifici?
La conservazione di tali registri e la loro corretta redazione si fondano sul principio dell’accountability, in base al quale il legislatore europeo ha previsto che la giusta tenuta di tali libri in azienda sia uno strumento utile per dimostrare, in sede di ispezione, di essere compliant rispetto alle regole in materia di trattamento dati personali previste dal GDPR. E, infatti, in base ai principi previsti dal regolamento n. 679/2016, non è sufficiente approntare le misure richieste per risultare conformi alle norme, ma occorre anche procurarsi la giusta documentazione, redatta e conservata in maniera esatta e aggiornata, per provare di essere intervenuti al fine di ottimizzare i trattamenti di dati personali effettuati in azienda, dimostrando di aver tenuto in debito conto la privacy e i diritti degli interessati.
Con specifico riferimento al registro dei trattamenti, l’art. 30 del Regolamento prevede che esso debba essere predisposto da tutte le imprese e organizzazioni, che trattano dati personali, in qualità di titolari del trattamento o responsabili del trattamento, se hanno alle proprie dipendenze più di 250 lavoratori, ma anche nel caso in cui l’impresa o l’organizzazione, pur avendo un numero inferiore di addetti, effettui un tipo di trattamento che possa presentare un rischio per i diritti e le libertà dell'interessato, quando questo trattamento non sia occasionale o includa il trattamento delle categorie particolari di dati di cui all'articolo 9, paragrafo 1 del GDPR (es. dati biometrici, dati genetici, dati relativi a convinzioni religiose o politiche, dati relativi all’etnia o all’orientamento sessuale di una persona, dati sanitari) o tratti i dati personali giudiziari.
L’art. 30 definisce, quindi, due circostanze certe e una che potremmo definire controversa. Vediamo perché?
E’ indubbio che avendo il termine dipendente una specifica accezione nel nostro ordinamento, secondo cui “È prestatore di lavoro subordinato chi si obbliga mediante retribuzione a collaborare nell’impresa, prestando il proprio lavoro intellettuale o manuale alle dipendenze e sotto la direzione dell'imprenditore” (art. 2094 del codice civile, senza contare la corposa giurisprudenza interpretativa in relazione al concetto di subordinazione), chi non dispone di più di 250 lavoratori subordinati, non deve predisporre il registro, come anche chi non tratta dati relativi a condanne penali e a reati e/o dati particolari, la cui definizione è anche in questo caso ben chiara grazie al contenuto dell’art. 9 del GDPR. Dubbi sorgono invece con riferimento ai trattamenti di cui all’art. 30 che possono presentare un rischio per i diritti e le responsabilità degli interessati: quali sono i trattamenti che possono presentare tali rischi?
Per rispondere a questa domanda occorre analizzare con particolare attenzione il concetto di rischio e quindi l’impatto potenzialmente dannoso che il trattamento può avere sugli interessati: se il trattamento presenta dei rischi, allora anche chi non dispone di 250 lavoratori o non tratta dati particolari o giudiziari, è tenuto a redigere il registro.
Per comprendere se si rientra nell’obbligo di tenuta del registro dei trattamenti, un operazione di risk assessment anche se minima andrebbe quindi effettuata in ogni caso e ciò lo possiamo dedurre in un certo senso anche dal concetto stesso di rischio offerto dal Gruppo Art. 29 nelle linee guida sulla DPIA, in cui il “rischio” viene presentato come uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità: “scenario” e “descrizione”, in altri termini, analisi della situazione esistente e narrazione della stessa, operazioni che consentono di comprendere se il trattamento così come posto, può ripercuotersi potenzialmente sui diritti e le libertà degli interessati.
Non vi sono dei parametri precisi per circoscrivere nel dettaglio i casi di trattamento a rischio; si tratta, infatti, di un concetto di per sè aleatorio: ogni specifica tipologia di trattamento, in relazione al proprio contesto organizzativo, agli strumenti che usa, alle finalità che intende ottenere, ai soggetti con cui condivide i dati, ai luoghi fisici o virtuali su cui conserva o archivia i dati, può risultare rischioso.
Se, pertanto può essere facile visionare il numero di addetti di cui si dispone, come può essere chiaro, allo stesso modo, rilevare se si trattano o meno dati personali di natura particolare, più difficile sarà sicuramente svolgere l’operazione che consente di comprendere se il trattamento che stiamo effettuando comporta dei rischi o meno per i diritti e le libertà degli interessati. Ecco perché per capirlo, occorre compiere un’analisi preliminare, che potrebbe anche dare esiti negativi sulla presenza di situazioni rischiose, ma che comunque andrebbe svolta, perché il rischio può insidiarsi anche nei trattamenti apparentemente più banali.
Le linee guida del Gruppo Art.29 in materia di DPIA forniscono alcuni spunti esemplificativi di trattamento che comporta un rischio elevato per diritti e libertà degli interessati, in tal caso si fa riferimento ad esempio a società che creano profili comportamentali o di marketing a partire dalle operazioni o dalla navigazione compiute sul proprio sito web; ad istituti finanziari che effettuano lo screening dei propri clienti utilizzando un database di rischio creditizio; a trattamenti che possono comportare l’esclusione di una persona fisica da determinati benefici ovvero la sua discriminazione; ancora a trattamenti di dati di natura finanziaria: una violazione di questi dati potrebbe, ad esempio, provocare frodi in materia di pagamenti; ma si pensi anche a soggetti che gestiscono comunicazioni elettroniche di natura privata, o a chi effettua trattamenti che includono la geolocalizzazione dei soggetti e alla combinazione o al raffronto di dati raccolti per scopi diversi o da distinti titolari.
Ad ogni modo, si tenga presente che, mentre sulla DPIA (art. 35 GDPR) si parla espressamente di rischio elevato, in relazione alla tenuta del registro dei trattamenti si parla solo di rischio (art. 30 punto 5 GDPR). Dalla lettura delle norme, pertanto sembrerebbe che l’obbligo di tenuta del registro sia più esteso rispetto all’obbligo di conduzione della DPIA, anche un piccolo rischio per i diritti e le libertà degli interessati comporterebbe la doverosa tenuta del registro, nonostante poi non si rientri nei casi per cui la DPIA è obbligatoria. Nel dubbio quindi si consiglia comunque di tenere un registro dei trattamenti e in effetti, se si considera che molte (se non tutte) delle operazioni svolte in azienda vengono effettuate tramite un computer connesso alla rete e la rete Internet ha rischi insiti ad essa stessa, i trattamenti di dati personali non rischiosi, risultano veramente limitati. Se anche si giungesse alla conclusione che le operazioni di trattamento di dati personali svolte implicano rischi veramente minimi per i diritti degli interessati, avere a disposizione una documentazione come il registro dei trattamenti, oltre ad essere uno strumento di indubbio vantaggio organizzativo, di certo potrà confortare in sede di ispezione.
Cosa deve contenere il registro del trattamento?
Il registro dei trattamenti deve contenere il nome e i dati di contatto del titolare del trattamento e nel caso del contitolare, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; le finalità del trattamento;
i dati trattati suddivisi per categoria; gli interessati suddivisi per categoria; i soggetti cui i dati vengono eventualmente trasferiti sempre individuati per classi (compresi i destinatari di paesi terzi od organizzazioni internazionali); se effettuati i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, specificando il paese terzo o l'organizzazione, la specifica documentazione delle garanzie adeguate impiegate per legittimare il trasferimento fuori dal territorio dell’Unione; ove possibile, i termini ultimi fissati per la cancellazione delle diverse categorie di dati; una descrizione generale delle misure di sicurezza tecniche e organizzative adottate (cfr. a tal proposito l’art. 32 del GDPR). Medesimo contenuto per il registro dei trattamenti del responsabile che deve specificare il/i titolare/i del trattamento per conto del quale si opera e le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento.
Il registro deve essere tenuto in forma scritta anche eventualmente in formato elettronico e deve essere messo a disposizione dell’autorità di controllo su richiesta.