Il 25 maggio è diventato definitivamente applicabile in via diretta in tutti i Paesi Ue il nuovo Regolamento europeo 2016/679 in materia di protezione dei dati personali (in inglese GDPR), che tra le altre cose istituisce l’obbligo di tenere un Registro delle attività di trattamento, in forma cartacea o anche in formato elettronico, a cura del titolare e del responsabile del trattamento ai sensi dell’articolo 30. Uno strumento ritenuto indispensabile per tenere traccia delle operazioni effettuate dall’organizzazione sui dati personali degli interessati ed essere in grado di valutare gli obblighi normativi applicabili, nonché di attuare un modello di governo della privacy adeguato al proprio contesto organizzativo (anche sistema di gestione privacy).
Infatti, l’individuazione puntuale dei trattamenti di dati personali effettuati, in relazione alle attività svolte dalla propria organizzazione, rappresenta il primo passo per poter comprendere gli obblighi a cui è necessario rispondere (ad esempio, raccolta del consenso, designazione responsabili esterni, ecc.), individuare le responsabilità ed i compiti di tutela all’interno dell’organizzazione e sviluppare correttamente le attività di valutazione della necessità e proporzionalità del trattamento, quando ricade l’obbligo di effettuare la DPIA (ai sensi dell’articolo 35), come anche dei rischi per la protezione dei dati personali e dei possibili impatti, o danni, che possono essere causati agli interessati in caso di violazione degli stessi.
Cosa deve contenere il Registro dei trattamenti
La norma non definisce un modello di Registro puntuale, ma indica le informazioni essenziali che devono essere in esso contenute, come: il nome e i dati di contatto del titolare del trattamento, e (ove applicabile) del contitolare del trattamento e del responsabile della protezione dei dati; le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; (ove possibile) i termini ultimi previsti per la cancellazione delle diverse categorie di dati; (ove possibile) una descrizione generale delle misure di sicurezza tecniche e organizzative.
Come qualsiasi atto interpretativo, questo ha fatto sì che modelli diversi di Registro dei trattamenti siano stati sviluppati, anche da software house, ed adottati da organizzazioni pubbliche e private, differenziandosi sia per le tipologie di informazioni censite che per le categorie di informazioni previste in aggiunta a quelle indicate dall’articolo 30 del Regolamento.
Individuazione delle attività soggette a raccolta dati
La principale difficoltà riscontrata per i titolari e i responsabili del trattamento è quella di individuare le attività di business effettuate dalla propria organizzazione che presuppongono la raccolta ed elaborazione di dati personali e, successivamente, di distinguerli in base alle finalità perseguite, alla base giuridica che ne legittimano il trattamento ed alle categorie di interessati coinvolti. Questo è presumibile sia dovuto, in primo luogo, alle competenze del personale delegato dal titolare o dal responsabile del trattamento ad effettuare le attività di censimento dei trattamenti, in quanto, rispondono, come ovvio, più alla conoscenza del proprio business piuttosto che alle attività effettuate dall’organizzazione nei termini e definizioni previste dalla disciplina in materia di protezione dei dati personali.
Altro fattore di differenziazione tra i modelli di Registro dei trattamenti, che sono stati o anche verranno adottati, riguarda l’interpretazione degli scopi di utilizzo dello strumento, dove spesso viene interpretato come mero obbligo formale. Infatti, l’indicazione, ad esempio, dello strumento cartaceo o informatico utilizzato per ciascun trattamento censito può risultare un’importante informazione nelle fasi successive di valutazione dei rischi per la sicurezza del trattamento, come anche della necessità di designare un fornitore di servizi di gestione e manutenzione dei sistemi IT come responsabile esterno dei trattamenti ai sensi dell’articolo 28 del Regolamento.
Utilità del Registro per chi non è soggetto all’obbligo
Pertanto, risulta importante individuare le categorie di informazioni che devono essere raccolte all’interno del Registro dei trattamenti, ricomprendendo sia quelle previste dall’articolo 30 del Regolamento, che quelle necessarie ai fini del processo di valutazione ed individuazione degli obblighi previsti dal Regolamento per ciascun trattamento. A ragione di ciò, l’utilità del Registro dei trattamenti riguarda anche quelle imprese o organizzazioni con meno di 250 dipendenti per cui non ricorre l’obbligo di redigerlo, in quanto, solo la conoscenza puntuale delle operazioni e dei termini dei trattamenti effettuati possono consentire di sviluppare un processo di adeguamento coerente e corretto.
In particolare, prevedere nel modello di Registro la necessità di fornire una descrizione del trattamento di dati personali risulta utile al fine di comprenderne in maniera più estesa le finalità perseguite e le modalità con cui viene effettuato il trattamento, nonché altri aspetti importanti (ad esempio, strumenti utilizzati, possibili destinatari a cui possono essere comunicati i dati, ecc.) che possono concorrere alla successiva valutazione degli obblighi applicabili. Un esempio per comprendere la modalità con cui descrivere il trattamento è rappresentato dalla quantità e tipologia di informazioni fornite, le quali dovrebbero essere in grado di consentire la stesura di un’eventuale un’Informativa del trattamento, soprattutto, per quanto riguarda l’indicazione specifica ed esplicita delle finalità e della sua base giuridica (ai sensi articolo 13 e 14, comma 1, lettera c)). Al riguardo, partire dall’individuazione e descrizione dei servizi e processi di business per cui vengono raccolti ed elaborati i dati personali può risultare fondamentale per identificare e comprendere i trattamenti di dati personali derivanti e le finalità da questi perseguite.
Indicazione di liceità e base giuridica
Altre importanti categorie di informazioni da prevedere nel modello di Registro sono sicuramente il criterio di liceità e la base giuridica che ne legittima il trattamento. Infatti, come recita il Regolamento, il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle condizioni di cui all’articolo 6, con l’indicazione di legge, norma o regolamento prevista dal diritto dell’Unione o dello Stato membro che lo rende legittimo. Da tener in conto che gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, con riguardo ai trattamenti effettuati per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito sempre il titolare, determinando disposizioni specifiche e altre misure atte a garantire un trattamento lecito e corretto. Pertanto, l’esatta indicazione della base giuridica rappresenta il criterio di legittimità delle finalità perseguite dal trattamento di dati personali, per cui il Regolamento ne richiede, inoltre, di informare gli interessati ai sensi degli articoli 13 e 14.
