[GUIDA GDPR] Come costruire il registro dei trattamenti

È ormai noto a molti che il 25 maggio 2018 entrerà in vigore il nuovo Regolamento Europeo sulla protezione dei dati personali (Reg. UE n. 679/2016) o GDPR.

L’art. 30 del GDPR prescrive ai Titolari e ai Responsabili del trattamento la tenuta di un registro delle attività di trattamento svolte sotto la propria responsabilità.

Tale previsione è una delle varie esplicitazioni del principio di responsabilizzazione (in inglese accountability) di titolari e responsabili che è una delle grandi novità introdotte con il GDPR.

Infatti, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali.

Saranno poi i titolari stessi a dover dimostrare, anche attraverso comportamenti proattivi, di aver concretamente adottato le misure finalizzate ad assicurare l’applicazione del Regolamento.

Il registro dei trattamenti, quindi, è uno strumento fondamentale non soltanto per disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, ma è anche indispensabile per ogni valutazione e analisi del rischio (ulteriori adempimenti previsti dal GDPR in ottica accountability).

L'orientamento del Garante per la protezione dei dati personali

Com’è possibile dimostrare il rispetto della norma se non conosciamo con esattezza quali trattamenti sono svolti in azienda, con quali modalità e misure di sicurezza?

Per questo motivo il Garante per la protezione dei dati personali, nella sua Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali ritiene che: “il registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”, invitando tutti i titolari e responsabili del trattamento, a prescindere dalle dimensioni dell’organizzazione,  a compiere i passi necessari per dotarsi di tale registro.

Il Garante si rivolge, quindi, a tutti i soggetti, prescindendo dalle dimensioni dell’organizzazione

Sì, perché l’art. 30 del GDPR esclude da tale obbligo quelle con meno di 250 dipendenti ma solo se non effettuano trattamenti che possano presentare “un rischio per i diritti e le libertà dell’interessato, o il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati o  relativi a condanne penali e a reati''

Come già indicato in precedenza, nel rispetto delle raccomandazioni del Garante, il registro delle operazioni di trattamento è il punto di partenza fondamentale per un’azienda o organismo pubblico per attuare qualsivoglia strategia per la conformità in materia di protezione dei dati personali.

Forma e composizione del registro e contenuti minimi

L’art. 30 del GDPR, oltre a prevedere che il registro debba essere tenuto in forma scritta, anche in formato elettronico ed essere esibito su richiesta al Garante, fornisce anche una lista di contenuti obbligatori:

• Nome e i dati di contatto del titolare del trattamento, eventuale contitolare o rappresentante e responsabile della protezione dei dati;
• Finalità e base giuridica del trattamento;
• Descrizione delle categorie di interessati e delle categorie di dati personali trattati;
• Categorie di destinatari a cui i dati personali sono o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
• Trasferimenti dei dati verso un paese terzo o un’organizzazione internazionale, identificandoli e garantendo le garanzie adeguate;
• Termini previsti per la cancellazione delle diverse categorie di dati;
• Descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32.

Questo documento non deve essere visto come un mero adempimento formale ma inteso come uno strumento operativo, nulla vieta di integrare tali contenuti con qualunque informazione utile al titolare per poter correttamente governare gli aspetti privacy dei trattamenti.

Cosa contiene?

Il registro dei trattamenti è uno strumento fondamentale per mappare i flussi di dati all’interno dell’organizzazione.

Infatti, potremmo aggiungere al nostro registro una colonna in cui indicare anche quali database contengono le informazioni trattate, quali software le processano, quali server sono coinvolti in tali trattamenti, arrivando persino a indicare quali profili sono autorizzati al loro trattamento.

Ancora, potremmo aggiungere l’indicazione sulla necessità o meno, per un determinato trattamento, di essere sottoposto a una valutazione d’impatto sulla protezione dei dati, se questa è stata fatta e se è prevista una nuova valutazione in futuro.

Oppure, se il trattamento richiede un consenso, se l’informativa viene correttamente consegnata, o qualunque altra informazione si possa ritenere utile.

Quando e da chi va redatto?

È importante capire sin da subito che il registro dei trattamenti non è un documento che deve rimanere fermo e immutabile per sempre, ma inteso come un vero e proprio strumento di lavoro, e come tale deve essere modificato e mantenuto aggiornato costantemente.

Per raggiungere questo scopo è fondamentale innanzitutto individuare, all’interno dell’organizzazione, i soggetti che hanno la più ampia visione delle attività di trattamento e coinvolgerli nella redazione e aggiornamento del registro dei trattamenti, responsabilizzandoli sull’importanza di tale attività. È necessario renderli edotti dei vantaggi e del valore aggiunto che una gestione trasparente dei flussi di dati personali rappresenta per l’azienda.

Il registro dei trattamenti dovrebbe essere gestito in maniera centralizzata, garantendo l’accesso a tutte le persone coinvolte nel suo mantenimento onde evitare la proliferazione di copie che renderebbero difficile identificare la versione più aggiornata.

Naturalmente, una gestione di questo tipo presenta evidenti complessità legate anche allo strumento utilizzato: un foglio Excel, per quanto valido, non potrà mai offrire, per evidenti limiti strutturali, la necessaria elasticità e profondità di strumenti disegnati appositamente a questo scopo.

‍Sarebbe meglio utilizzare un software nato specificamente per gestire questo tipo di adempimenti, come ad esempio UTOPIA, prodotto alla cui realizzazione Orlandi&Partners Studio Legale sta direttamente collaborando.

Di sicuro una corretta gestione del registro dei trattamenti richiede un grande impegno ed è probabile che molti titolari o lo affronteranno solo per paura di incorrere nelle sanzioni amministrative pecuniarie (fino a 20 milioni di euro o fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente) previste dal Regolamento, o non lo affronteranno affatto assumendosi il rischio.

Coloro i quali decideranno di impegnare risorse ed energie in un tale progetto si troveranno ad avere una mappatura ordinata e organizzata che, da un lato in caso di visita ispettiva da parte del Garante dimostrerà una profonda attenzione alle tematiche di protezione dei dati personali;  dall’altro consentirà all’organizzazione di tenere sotto controllo quali tipi di dati sono in fase di trattamento, da chi (quali servizi o unità aziendali) e per quali finalità.

Una tale conoscenza consentirà ai titolari di ottimizzare le operazioni di trattamento limitando gli sprechi in termini di tempo, risorse e duplicazione delle informazioni, abbattendo anche i rischi di eventuali trattamenti illeciti o contestazioni.