Registro delle attività di trattamento dei dati personali: cosa contiene? Deve essere firmato? Quando va aggiornato? Come attribuirgli data certa?
Il Codice Privacy prevedeva l’obbligo di notifica preventiva al Garante della Privacy nei casi in cui un trattamento di dati personali fosse particolarmente rischioso per i diritti e le libertà degli interessati, l’obbligo di notifica è stato cancellato con il GDPR e sostituito dalla tenuta corretta e aggiornata dei registri delle attività di trattamento e della documentazione relativa alla DPIA che devono essere conservati dal titolare e dal responsabile del trattamento e presentati alle autorità di controllo su richiesta, ad esempio in sede di ispezione.
La redazione e tenuta dei registri delle attività di trattamento è quindi un obbligo nuovo imposto dal GDPR che riflette il principio dell’accountability e la necessità di garantire e rendere verificabile il fatto che le finalità e le modalità di trattamento dei dati personali svolte da un titolare o responsabile del trattamento rispettino le norme del GDPR.
Come procedere dunque per redigere un registro delle attività di trattamento?
Innanzitutto, occorre procedere con un audit delle categorie di dati trattati e delle attività di trattamento, focalizzandosi sulla risposta a questa domanda molto pratica “cosa ne facciamo dei dati raccolti?”. Queste attività dovranno essere documentate per iscritto entro il 25 maggio prossimo.
Non c’è un metodo univoco per procedere alla redazione dei registri delle attività di trattamento. Quello che è importante è che queste attività siano documentate per iscritto preferibilmente in formato elettronico, ad esempio utilizzando un sistema su cui si può facilmente intervenire: considerando che i registri vanno periodicamente aggiornati sarebbe opportuno pensare ad un file in excel (per le organizzazioni più semplici) oppure ad un software apposito che consenta di raccogliere, organizzare e individuare facilmente tutte le informazioni che un registro deve contenere ai sensi dell’art. 30 del GDPR; in questo modo, infatti, sarà più agevole aggiungere, cancellare o modificare informazioni quando necessario e tenere traccia delle operazioni effettuate sui registri delle attività.
Il contenuto dei registri delle attività di trattamento del titolare e del responsabile è indicato precisamente all’art. 30 del GDPR, rispettivamente punti 1 e 2.
Si tenga presente che ogni specifico trattamento deve avere una sezione dedicata e le informazioni devono essere strutturate e collegate in maniera logica tra di esse, in quanto ad esempio una tipologia di trattamento può avere periodi di conservazione diversi rispetto ad un’altra, oppure una specifica tipologia di trattamento può prevedere che i dati siano condivisi con alcuni soggetti che un’altra non prevede o ancora un trattamento può riguardare una specifica categoria di dati diversa rispetto ad un altro. Un elenco generico di dati senza alcuna organizzazione, logica o collegamento tra le informazioni contenute non ha alcun senso. Quindi, un titolare del trattamento potrebbe suddividere i trattamenti partendo dalle aree aziendali che se ne occupano (es. area marketing; area amministrazione; area sales, …) e sulla base di ciascuna area, individuare ogni specifico trattamento che la coinvolge, per ciascun trattamento definire le finalità, le specifiche modalità, le categorie di interessati, le categorie di dati trattati, i soggetti con cui i dati si condividono, allegando i relativi contratti di designazione e quanto altro richiesto dall’art. 30.
Mentre un responsabile del trattamento potrebbe iniziare con la suddivisione tra titolari per conto dei quali opera e per ciascun titolare individuare la specifica tipologia di trattamento o le specifiche tipologie, per ciascuna tipologia poi procedere con le misure di sicurezza e organizzative adottate e quanto altro richiesto dall’art. 30 punto 2 con specifico riferimento ai responsabili.
Ad ogni modo, è bene rilevare che un registro delle attività di trattamento deve essere visto come un beneficio per l’organizzazione, in quanto consente di identificare velocemente le operazioni svolte sui dati trattati, sapere quali dati personali si detengono perché si conservano e per quanto tempo e aiuta a riconoscere i dati non più necessari; di certo queste operazioni consentono di affrontare proattivamente tutte le questioni che dovessero sorgere in relazione al trattamento dei dati personali (si pensi al caso in cui pervenga una richiesta di informazione sui dati da parte di un interessato, un registro permette di riconoscere velocemente i flussi di quei dati e facilita le operazioni di intervento) e aiutano a rendere i processi aziendali più snelli ed efficaci.
Chi deve procedere alla tenuta del registro delle operazioni di trattamento?
La maggior parte delle organizzazioni dovrà documentare le proprie attività di trattamento. Sia i titolari che i responsabili hanno propri e specifici obblighi di documentazione, anche se la documentazione in capo ai titolari del trattamento ha un contenuto più esteso rispetto a quella richiesta ai responsabili. Nello specifico l’obbligo di tenuta della documentazione spetta alle organizzazioni con 250 o più dipendenti (art. 30 punto 5 GDPR). Tuttavia, se si tratta di imprese di dimensioni medio piccole con un numero di dipendenti inferiore a 250, il GDPR prevede un'esenzione limitata, stabilendo che tali organizzazioni devono documentare i trattamenti se le attività di trattamento di dati personali:
- sono suscettibili di comportare un rischio per i diritti e le libertà delle persone (ad esempio, qualcosa che potrebbe influenzare negativamente le persone);
- non sono occasionali o
- coinvolgono categorie di dati particolari o dati relativi a condanne penali o dati giudiziari (come definiti dagli articoli 9 e 10 del GDPR).
Il nostro Garante potrebbe individuare dei casi specifici in cui non è necessario tenere il registro.
Facciamo un ESEMPIO:
Una scuola di formazione con 50 dipendenti. La scuola, sebbene abbia meno di 250 dipendenti, tratta dati relativi ai clienti cui vende i corsi di formazione, dati personali relativi alle risorse umane, ad eventuali reclami, in maniera non occasionale. Ebbene, tale scuola è tenuta a redigere un registro di questi trattamenti. La scuola effettua anche dei sondaggi per verificare il gradimento dei docenti da parte degli allievi e sulla base dei risultati ottenuti offre dei benefit ai suoi collaboratori che hanno raggiunto punteggi specifici, anche questa attività deve essere documentata per iscritto nel registro delle attività di trattamento.
Resta il fatto che, anche se si ritenesse di non rientrare nell’obbligo, la redazione e la tenuta dei registri resta comunque un’ottima pratica, in quanto supporta titolari e responsabili ad avere un quadro generale di riferimento, al fine di adempiere a tutti gli altri obblighi previsti dal GDPR. Ad ogni modo, è bene ricordare che il Gruppo di lavoro articolo 29 (WP29) sta attualmente valutando il campo di applicazione dell'esenzione dalla documentazione delle attività di trattamento per le PMI.
Molte organizzazioni sono soggette alla tenuta di documenti e registri per soddisfare altri obblighi normativi, al di là delle norme sulla privacy, pertanto esse potrebbero già disporre di una documentazione o di prassi operative che hanno a che fare con la governance dei dati; la documentazione già disponibile in azienda potrebbe anche soddisfare i requisiti di tenuta dei registri in base al GDPR; il GDPR infatti non vieta di armonizzare e includere la documentazione delle attività di trattamento con procedure di tenuta e conservazione dei dati già esistenti in azienda. Ad ogni modo, si dovrebbe verificare che quanto già presente nell’organizzazione soddisfi i requisiti di cui all’art. 30 e se necessario adeguare a ciò la struttura di governance dei dati di cui si dispone.
Un registro delle attività di trattamento deve essere firmato e/o vidimato? Da chi?
Nessuna norma del GDPR prevede che un registro delle attività di trattamento sia sottoscritto o vidimato, anche perché, come abbiamo già accennato, innanzi, la tenuta dei registri si basa sul principio dell’accountability e infatti il nostro Garante nella Guida all’applicazione al Regolamento europeo chiarisce che “La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”.
I registri possono anche essere tenuti in forma di programma informatico, per strutture più semplici, anche mediante fogli excel. La responsabilità formale della redazione, dell’aggiornamento e della corretta tenuta degli stessi resta comunque in capo alla direzione aziendale del titolare del trattamento e del responsabile del trattamento; all’interno di organizzazioni più grandi, in cui i processi sono decentralizzati a livello di dipartimenti o business units, sarà possibile anche incaricare uno o più soggetti interni che si occupino della registrazione e dell’aggiornamento di trattamenti specifici relativi alla propria area (es. modulo trattamenti area HR), individuando precisi obblighi e responsabilità di tale/i soggetto/i. Le informazioni contenute nel singolo modulo di area potrebbero poi confluire nel registro delle attività di trattamento centralizzato, il cui accesso potrebbe essere consentito solo al legale rappresentante e al DPO, se presente (ricordando che il DPO deve fornire assistenza nella redazione e verificare la corretta tenuta dei registri, ma non ha alcuna responsabilità in merito) che effettueranno in tal modo un’ultima verifica sul contenuto e sugli aggiornamenti; il titolare del trattamento, se la struttura organizzativa è particolarmente complessa, potrebbe anche incaricare con atto scritto un responsabile della tenuta del registro delle attività di trattamento*(1), ma queste restano scelte organizzative interne. In tal modo, un sistema centralizzato fornirà una panoramica completa delle attività di trattamento che si svolgono all’interno dell’organizzazione e i trattamenti svolti in ciascuna area potranno essere controllati più da vicino e facilmente evidenziati e aggiornati. Naturalmente, in questo scenario le persone devono essere rese consapevoli delle misure tecniche e organizzative adottate, mentre si dovrà pensare ad un sistema di accessi e autorizzazioni (non tutti dovrebbero essere autorizzati ad intervenire, cambiare o modificare le informazioni del registro generale). La responsabilità delle singole procedure resterà così ai singoli reparti e, in ultima analisi, la cura del registro centralizzato sarà in capo alla direzione aziendale; al contempo, sarà opportuno conservare registri di trattamento separati per ciascuna società all’interno di un gruppo e per tutte le filiali.
E’ bene ricordare che il GDPR non prevede alcun legame espresso tra il responsabile della protezione dei dati e i registri del trattamento. Il mantenimento dei registri di trattamento non rientra nei compiti previsti per il DPO, il DPO in tal senso potrà avere una funzione di supporto e consultiva.
L’organizzazione dovrà definire con particolare attenzione ruoli e responsabilità dei soggetti coinvolti che intervengono nella redazione e gestione dei moduli di area e del registro centralizzato. Se proprio dovessimo parlare di sottoscrizione, il registro delle attività di trattamento dovrebbe essere firmato dal legale rappresentante dell’organizzazione o dal titolare dell’impresa, se ditta individuale o professionista (se è nominato un responsabile della tenuta del registro dei trattamenti, il registro potrebbe essere firmato da lui e convalidato dal legale rappresentante, mentre il DPO, se presente, potrebbe procedere al fianco del legale rappresentante ad un’ultima verifica, fornire supporto e consigli sulla redazione, provvedere ad informare i dipendenti dell’avvio del processo e di come dovranno comportarsi tutti i soggetti a vario titolo coinvolti, ad esempio attraverso lettere nella intranet aziendale o mailing list o news da pubblicare nella bacheca in azienda e fornire tutti i chiarimenti necessari), mentre i moduli di area dal direttore/dirigente, ma più che sottoscrizione dei registri che come abbiamo detto possono essere anche tenuti in formato elettronico con il supporto di un programma informatico, è preferibile redigere lettere d’incarico cui si demanda a direttori/dirigenti il compito di tenere correttamente e aggiornare lo specifico modulo di area che gli compete e preoccuparsi di far confluire le informazioni ivi contenute nel registro delle attività dei trattamenti (che potrà poi essere curato da un responsabile della tenuta del registro dei trattamenti o direttamente dalla direzione aziendale).
Come si può far risultare data certa senza conservazione a norma?
Il GDPR non parla della necessità di attribuire data certa ai registri delle attività di trattamento e al momento non ci sono dettami da parte del Garante Privacy, si tratta di un discorso rimesso alla responsabilità dell’organizzazione; la scelta sul modo più opportuno per avere una data certa sulle operazioni effettuate sui registri pertanto spetta a ciascun titolare o responsabile del trattamento; ad ogni modo, utilizzando software appositi che prevedono sistemi di accesso solo a persone autorizzate, che annotano i log degli accessi e del caricamento delle informazioni, è possibile tenere traccia delle date e degli orari in cui ogni azione viene effettuata sui registri.
I registri delle attività di trattamento vanno aggiornati?
Redigere un registro delle attività di trattamento non è un’operazione da condurre una sola volta e basta: le informazioni contenute nel registro devono essere periodicamente aggiornate, in quando devono riflettere la situazione attuale in azienda relativamente al trattamento dei dati personali.
Ciascun registro delle attività di trattamento deve essere aggiornato ogni volta che si verificano nell’organizzazione rilevanti cambiamenti che incidono sui trattamenti dei dati personali. Ad esempio, quando cambiamo fornitore di servizi hosting, quando entriamo in contatto con un nuovo partner commerciale con cui condividiamo dati personali; quando si sta programmando una nuova iniziativa, ad esempio un nuovo software, un nuovo CMS, un nuovo prodotto/servizio, una nuova operazione di marketing che prevedono operazioni sui dati personali trattati, quando si decide di impiegare nuove misure di sicurezza, quando è terminata una finalità di trattamento e non abbiamo più bisogno di conservare i dati. In tutti questi casi è opportuno intervenire sul registro e aggiornarlo. Il registro deve essere considerato come un documento che vive con l’azienda e con le sue operazioni, questo significa che, al di là di nuove iniziative o di nuovi partner coinvolti, dovrebbero essere pianificati e condotti audit periodici sui dati personali trattati e conservati (ad esempio una volta ogni sei mesi, se non si sono verificati cambiamenti concretamente), per verificare che la situazione si rimasta effettivamente la medesima e garantire così che la documentazione resti sempre precisa e aggiornata. Anche di questa verifica naturalmente è opportuno resti traccia.
<<BOZZA DI REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO, EX ART.30, GDPR>>
*(1) NB: Questa figura non è prevista dal GDPR, ma potrebbe essere utile individuare questo ruolo all’interno delle organizzazioni più complesse