L’art. 30 del Regolamento (EU) n. 679/2016 prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento. Tale registro è un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento, e costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività. Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
L’obiettivo principale è permettere al Titolare del trattamento e ai suoi designati di avere conoscenza e consapevolezza di “chi fa che cosa”, infatti senza un registro dettagliato, è difficile dimostrare di aver un controllo sul corretto trattamento dei dati personali, non è possibile illustrare i trattamenti nelle informative privacy, è difficile identificare i trattamenti che devono essere oggetto di valutazione d’impatto o DPIA
Chi deve redigerlo?
Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD). In particolare, in ambito privato, i soggetti obbligati sono così individuabili:
– imprese o organizzazioni con almeno 250 dipendenti;
– qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
– qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
– qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.
Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.
Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.
Mappatura dei processi e analisi dei flussi informativi
Difficilmente le aziende sono veramente consapevoli di tutte le attività svolte al proprio interno e dei processi ad esse sottese. Manca la consapevolezza di cosa si fa in azienda e di come lo si fa.
In questo contesto l’obiettivo principale del registro delle attività di trattamento è permettere al Titolare e ai suoi designati di avere conoscenza e consapevolezza di “chi fa che cosa”. Si tratta di uno strumento fondamentale non soltanto ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno dell’azienda, indispensabile per ogni valutazione e analisi del rischio.
Questa conoscenza può avvenire solo tramite l’ individuazione dei trattamenti svolti in azienda attraverso un’attenta mappatura dei processi e successivamente all’ analisi dei flussi informativi ad esso sottesi.
La mappatura dei processi e dei propri flussi informativi è composta dalle seguenti fasi fondamentali:
1 – Identificazione delle attività svolte e descrizione della situazione di “cosa avviene” nell’Azienda.
2 – Definizione, per ogni processo individuato, di flussi informativi e della natura qualitativa e quantitativa dei dati trattati.
3 – Identificazione e classificazione della tipologia di dati trattati, in particolare l’identificazione di dati sensibili, ultrasensibili e giudiziari.
4 – Identificazione e descrizione delle modalità in cui il dato viene acquisito, elaborato, comunicato ed archiviato.
5 – Descrizione delle articolazione aziendali, delle società esterne o dei professionisti che intervengono nel trattamento con identificazione dei Responsabili esterni ed interni e di tutti gli attori che intervengono nel processo analizzato.
6 – Identificazione dei legami logici e delle interazioni con altri processi e con ulteriori attori che intervengono nel trattamento a cui sono comunicati/trasmessi i dati.
7 – Semplificazione ed ottimizzazione dei processi, cercando ridurre al minimo le informazioni utilizzate nel processo e il trattamento da effettuare sugli stessi (Protection by default e by design).
8 – Individuazione e descrizione delle misure organizzative e tecniche utilizzate per garantire la sicurezza del trattamento con particolare riferimento alla trasmissione e all’archiviazione dei dati personali
10 – Creazione di un sistema in grado di monitorare i processi, i flussi informativi e le tipologia di dati trattati al fine di apportare modifiche e miglioramenti ed adottare eventuali azioni correttive e preventi per garantire la sicurezza dei dati trattati.
Quali informazioni deve contenere?
Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del RGPD) e in quello del responsabile (art. 30, par. 2 del RGPD).
Con riferimento ai contenuti si rappresenta quanto segue:
a) Nel campo “finalità del trattamento” oltre alla indicazione delle stesse, distinta per tipologie di trattamento, sarebbe opportuno indicare anche la base giuridica dello stesso e in tal senso:
– in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, RGPD;
– in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del RGPD;
b) nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);
c) nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Inoltre, si ritiene opportuno che siano indicati anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento– siano trasmessi i dati da parte del titolare (es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento). Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali;
d) nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD;
e) nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”);
f) nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Tale lista ha di per sé un carattere dinamico (e non più statico come è stato per l’Allegato B del d. lgs. 196/2003) dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).
Può contenere informazioni ulteriori?
Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare ad es.:
– le modalità di raccolta del consenso
– la modalità di resa dell’informativa
– le modalità di gestione ed archiviazioni del trattamento
– i luoghi fisici del trattamento e quelli di archiviazione
– le eventuali valutazioni di impatto effettuate,
– l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento
Quali sono le modalità di conservazione e di aggiornamento?
Il Registro dei trattamenti deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’ effettività dei trattamenti posti in essere.
Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.
Il Registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento.
Fonti Bibliografiche:
– Regolamento UE 2016/679 – General Data Protection Regulation
– Lgs n.196/2013 come modificato dal D.lgs. n. 101/18 – Gazzetta Ufficiale (n.205 del 04-09-2018)
– Manuale del Sistema di Gestione della Protezione Dati -ASL Benevento -Alberto Lombardi – 29/05/2019
– Guida all´applicazione del Regolamento europeo in materia di protezione dei dati personali – Diritti degli Interessati – Autorità Garante della Protezione Dati
– Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario – Autorità Garante della Protezione Dati – 07/03/2019
– General Data Protection Regulation : da Obbligo ad Opportunità per le Regioni – Webinar Pro.M.I.S. – Alberto Lombardi – 15/02/2019
– Il sistema di gestione della Protezione Dati: dal Registro delle attività di trattamento alla gestione dei Data Breach Webinar Pro.M.I.S. – Alberto Lombardi – 29/05/2019
