Registro dei Trattamenti GDPR: chi, come e quando usarlo

Fonte: tratto dal mio articolo su CYBERSECURITY360

Fra i chiaroscuri del GDPR quello del Registro dei Trattamenti è sicuramente fra gli argomenti che genera più interrogativi.Vediamo quali:

Ho 20 dipendenti, devo fare anch’io il Registro dei Trattamenti?

Se si COME lo devo fare?

Ci sono MODELLI di riferimento?

Questo post, che prende spunto dal mio articolo pubblicato su CYBERSECURITY360, ha l’obiettivo di fare maggiore chiarezza sull’argomento GDPR soprattutto in merito al Registro del Titolare e quello del Responsabile, quali modelli usare, come fare a redigerli e tenerli aggiornati.

Il registro dei trattamenti semplificato consente a titolari e responsabili del trattamento dati di piccole e medie imprese di rendere meno oneroso l’adeguamento al Regolamento europeo per la protezione dei dati personali (il cosiddetto GDPR).

Ricordiamo, infatti, che il registro dei trattamenti fa parte di quelle misure “tecniche e organizzative” indicate nell’Art. 5 del GDPR ed è descritto nei termini e nelle modalità nell’Articolo 30 dello stesso Regolamento.

Chi deve tenere il Registro?

Nell’ Art.30 del Regolamento UE 2016/679 è indicato che il Registro dei trattamenti è obbligatorio per tutte le PA e per le organizzazioni private con più di 250 dipendenti ma, pochi leggono le eccezioni: in realtà, così come sottolineato anche nelle Linee Guida del Garante, è un documento “essenziale” per dimostrare la propria “accountability” anche in merito a quanto viene scritto nel Considerando 82 del GDPR che citiamo testualmente:

“Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti”.

Da cui si evince che, è vero che l’obbligo non sussiste per tutti ma, è altresì vero che non esistono altri modi altrettanto efficaci a documentare quello che si sta facendo.

Detto questo e, per convincere ulteriormente gli irriducibili del “… tanto io non sono obbligato!”, riportiamo anche quello che dice il Garante della Privacy nelle FAQ relative al registro dei trattamenti:

“Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”.

Registro dei trattamenti: chi è obbligato

Si precisa che, come da Art.30 del GDPR, tutti i titolari e i responsabili del trattamento sono tenuti a redigere il registro delle attività di trattamento.

Premesso che, le Pubbliche Amministrazioni sono tutte obbligate oltre a nominare un Responsabile Protezione Dati (RPD o DPO che dir si voglia), per quanto riguarda invece le aziende o le organizzazioni private, i soggetti in particolare individuabili come obbligati sono:

1. imprese o organizzazioni con almeno 250 dipendenti;
2. qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio, anche non elevato, per i diritti e le libertà dell’interessato;
3. qualunque titolare o responsabile(incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
4. qualunque titolare o responsabile(incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’art. 9, par. 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’art. 10 GDPR;

dove per “organizzazioni” s’intendono le associazioni, le fondazioni e i comitati (vedi Art.30 par.5 GDPR).

In merito al punto c., dove si parla di “trattamenti non occasionali”, è da considerare il parere riportato nel sito del EDPB European Data Protection Board (Ex WP Art.29 gruppo di lavoro dei Garanti Europei) che può fare maggiore chiarezza.

Per rientrare nella casistica del trattamento non occasionale è sufficiente eseguire un trattamento in modo permanente e continuativo come ad esempio una piccola azienda che tratta regolarmente i dati dei dipendenti che, in qualche modo, contengono sempre dati sensibili per esempio nei cedolini o nelle cartelle mediche di idoneità.

Altri casi di “trattamento non occasionale”, potrebbero essere quelli di un professionista che tratta i dati per conto dei clienti in qualità di responsabile o un sito web che raccolga i dati attraverso una normalissima form di richiesta informazioni.

I casi più comuni sono quelli del Medico del Lavoro, il Consulente Paghe o la Web Agency che gestisce il sito web piuttosto che l’azienda che fa Assistenza IT riportati anche nell’elenco sotto.

Il parere del WP Art.29 chiarisce anche che, in caso un’azienda privata sia meno di 250 dipendenti, è sufficiente tenere il registro dei trattamenti semplificato anche solo per quei trattamenti soggetti all’obbligo, peraltro anche confermato dal Garante stesso.

Categorie di attività obbligate alla tenuta del registro dei trattamenti

Le Linee Guida FAQ del Garante, specificano inoltre alcune categorie di attività che sono praticamente obbligate alla tenuta del registro dei trattamenti:

• esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione ecc.) e/o che trattino dati sanitari dei clienti (ad esempio: parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
• liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (ad esempio: commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
• associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti cosiddetti “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
• il condominio ove tratti “categorie particolari di dati” (ad esempio, delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Come redigere il Registro dei trattamenti

È doveroso precisare che esistono due tipi di registro di trattamento semplificato :

1. il registro a cura del titolare del trattamento
2. il registro a cura del responsabile o sub-responsabile

Ricordando che, per chi non avesse ancora chiara questa distinzione, per titolare del trattamento s’intende la persona fisica o giuridica che determina i mezzi e le finalità del trattamento mentre per responsabile del trattamento s’intende la persona fisica o giuridica che tratta i dati in nome e per conto del titolare.

Registro dei Trattamenti del Titolare – Modello con dati di esempio

COME compilare il Registro del Titolare:

1. Denominazione e dati di contatto del Titolare, Co-Titolare o Rappresentante (se all’estero);
2. Nome e Cognome o Ragione Sociale del Responsabile della Protezione Dati o DPO se nominato: se non nominato è consigliabile scrivere in questo campo le motivazioni della mancata nomina;
3. Tipologie di Trattamento: indicare sommariamente il tipo di trattamento a cui ci si riferisce (es. Retribuzione Dipendenti, Raccolta dati dal sito, Dati Clienti e Fornitori, Videosorveglianza, Newsletter, Candidati e stagisti…);
4. Finalità e Basi Legali: in questo spazio è necessario indicare la finalità e le sottofinalità per cui si trattano i dati (es. Elaborazione busta paga, Contattare l’utente in seguito a richiesta informazioni) e i Criteri di Liceità su cui si basa il trattamento (Obblighi Contrattuali e pre-contrattuali, Obblighi di Legge, Legittimo Interesse, Consenso dell’interessato, Pubblico Interesse). Buona regola è inserire una sola finalità per ogni trattamento.
5. Categorie di interessati: qui bisogna indicare le categorie a cui si riferiscono i dati come ad esempio: Dipendenti, Utenti sito, Clienti, Fornitori, Candidati, stagisti etc.
6. Categorie di dati personali: questa sezione è molto importante in quanto si va ad indicare se si trattano dati personali Comuni o Particolari (ex sensibili) e/o dati Giudiziari. In caso si trattino dati particolari è necessario indicare di quali Tipologie: dati sanitari, dati genetici, dati biometrici, dati giudiziari, dati di orientamento politico, religioso o sessuale, dati di origine razziale o etnica, appartenenza sindacale. Senza entrare troppo nel dettaglio si possono anche indicare a titolo esemplificativo i principali dati trattati a fianco della categoria(es. Dati Anagrafici, cartelle mediche, certificati di salute, curriculum vitale, dati di contatto etc);
7. Categorie di destinatari: qui vanno indicati gli estremi dei Responsabili che trattano i dati per conto del titolare (es. Medico del lavoro, Centro elaborazione paghe, Web Provider etc) e/o eventuali altre Categorie di Titolari a cui possono essere comunicati i dati (es. Enti Pubblici, Banche, Enti previdenziali ..);
8. Trasferimento dati verso paesi terzi: nel caso i dati possano essere trasferiti in paesi extra UE bisogna indicare quali e, se esistono o meno le condizioni di adeguatezza per questi paesi (es. Privacy Shield per USA e/o paesi espressamente indicati fra quelli per cui è stata presa una “decisione di adeguatezza” dalla Commissione UE o in base a delle Binding Corporate Rules);
9. Termini ultimi di cancellazione previsti: qui il compito si fa difficile in quanto va indicato per quanto tempo vengono trattati i dati prima di cancellarli. Purtroppo non ci sono regole, metodi e linee guida che indicano i criteri di valutazione; a parte quei dati per cui esistono dei tempi minimi ben definiti (es. 10 anni per i dati fiscali/amministrativi), i criteri vanno stabiliti in base a diversi fattori come basi giuridiche e finalità sempre però legati al principio fondamentale di “minimizzazione”, fra i più importanti del Gdpr;
10. Misure di sicurezza tecniche ed organizzative: in questo spazio si vanno ad elencare le principali misure che si sono adottate per assicurare una protezione “adeguata” dei dati (es. pseudomizzazione, cifratura dei dati, back-up, formazione etc) e, possibilmente anche le misure individuate dalla Gap Analysys ancora da adottare e in che tempi;

Il Registro dei Trattamenti del Responsabile

Il Registro del Trattamento per il Responsabile del Trattamento è molto più semplice in quanto non è necessario indicare finalità, interessati, categorie di dati, destinatari e tempi di conservazione. Questi infatti sono stabiliti dal Titolare per cui devono essere indicate nel suo Registro.

Il Responsabile del Trattamento deve però necessariamente redigere un registro separato per ogni Titolare per cui tratta i dati.

Facciamo l’esempio di una web agency che gestisce le attività di marketing per conto di diversi clienti: essa dovrà compilare un registro del responsabile per ogni azienda (Titolare del/i Trattamento/i) di cui tratta i dati.

Come compilare il Registro del Responsabile:

1. Denominazione e dati di contatto del Responsabile;
2. Denominazione e dati di contatto del Titolare/Contitolare/i per cui si trattano i dati;
3. Nome e Cognome o Ragione Sociale del Responsabile della Protezione Dati o DPO direttamente nominato dal Responsabile. Se non nominato è consigliabile scrivere in questo campo le motivazioni della mancata nomina;
4. Categoria di Trattamento: la categoria di trattamento dovrebbe corrispondere, in linea di massima, a quella che ha indicato il Titolare nel suo registro dei Trattamenti;
5. Trasferimento dati verso paesi terzi: nel caso i dati possano essere trasferiti in paesi extra UE bisogna indicare quali e, se esistono o meno le condizioni di adeguatezza per questi paesi (es. Privacy Shield per USA e/o paesi espressamente indicati fra quelli per cui è stata presa una “decisione di adeguatezza” dalla Commissione UE o in base a delle Binding Corporate Rules);
6. Misure di sicurezza tecniche ed organizzative: in questo spazio si vanno ad elencare le principali misure che si sono adottate per assicurare una protezione “adeguata” dei dati (es. pseudomizzazione, cifratura dei dati, back-up, formazione etc);

Modalità di aggiornamento e conservazione

Essendo sia processi che tecnologie in continua evoluzione non saremmo nello spirito del GDPR se non aggiornassimo costantemente tutto quello che riguarda la Protezione Dati. Questo riguarda tutte le misure tecniche ed organizzative menzionate in vari articoli del Regolamento ed ovviamente anche al Registro dei Trattamenti poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti e delle misure poste in essere.

Ogni variazione in ordine a modalità, finalità, misure di protezione, categorie di dati, categorie di interessati, Responsabili Esterni deve essere inserita nel Registro, tenendo traccia delle modifiche.

Capita sovente infatti che, ferme restando le finalità o gli interessati, cambi un responsabile magari il medico del lavoro o il consulente paghe che va quindi annotato tenendo comunque sempre traccia delle variazioni in caso dovesse verificarsi una Violazione che riguardi dati trattati precedentemente alla nuova nomina.

Il Registro può essere redatto ed esibito sia in formato cartaceo che digitale e deve indicare la data della prima redazione e quella dell’ultimo aggiornamento come ad esempio:

“Registro creato il: DD.MM.YYYY”

“Data ultimo aggiornamento: DD.MM.YYYY”

Informazioni aggiuntive

Siccome il Registro dei Trattamenti non è ancora un modello unificato, ma ci auguriamo che lo diventi presto, nulla vieta, allo scopo di renderlo più esaustivo possibile, di inserire informazioni aggiuntive a quelle già elencate come ad esempio:

• Informazioni sul referente e/o sugli autorizzati interni preposti al trattamento
• Modalità di richiesta del consenso
• Se vengono eseguite attività di profilazione e in che modalità
• Se vengono trattati dati di minori e in che modo
• Modalità di Trattamento (es. cartaceo o elettronico)
• Luogo di custodia del cartaceo
• Posizione (percorso di rete) delle basi dati e dei server 

Questo perché, in caso di verifica ispettiva del Garante o della Guardia di Finanza, non solo vi verranno richiesti documenti e procedure che attestano la Compliance ma, e sopratutto, le motivazioni e i criteri che hanno determinato le scelte fatte in base al principio dell’Accountability.

Più dettagliate la documentazione più sarà facile anche per voi ricostruire i processi decisionali ed essere in grado di dimostrare che non è stato fatto un semplice “copia e incolla” di procedure e informative di altri ma, c’è stato un ragionamento consapevole a monte.

Conclusione

Se qualcuno pensava, leggendo questo articolo, di trovare le scappatoie per svicolare dal Registro dei Trattamenti sarà sicuramente deluso in quanto, è uno degli strumenti basilari per “dimostrare“ di essere a posto, a prescindere dall’obbligatorietà o meno.

E tuttavia non si deve neanche incorrere nel grave errore di pensare che basti il Registro dei Trattamenti per ritenersi “adeguati” o “compliance“.

Le procedure e i processi necessari a raggiungere la sospirata “Compliance” sono molti e tutti allo stesso modo importanti come, ad esempio; la Gap Analysys, la risk assessment, le informative corrette (e non scopiazzate), le procedure di consenso (fondamentali!), le nomine e la formazione ad autorizzati e responsabili, le varie procedure come, ad esempio, Data Breach e Diritti degli Interessati fino ad arrivare ai regolamenti aziendali.

Infine, sempre in base al principio di monitorare e tenere aggiornato il tutto è fondamentale preparare un piano di Audit, organizzati in base al livello di complessità e di rischio del vostro modello Privacy.

Insomma e, per concludere, la Protezione dei Dati Personali non va banalizzata o incentrata sulla mera compilazione di un Registro, comunque fondamentale, bensì andrebbe inserita strategicamente all’interno di una vero e proprio Modello Operativo della Privacy.

Solo così l’applicazione del GDPR, da semplice adempimento, può trasformarsi in opportunità e può essere una delle leve per l’innovazione di processi e tecnologie e quindi per la salvaguardia del vostro Business.