GDPR – IL REGISTRO DEI TRATTAMENTI
Il registro dei trattamenti istituto con il nuovo regolamento privacy ex art 30 GDPR è una delle più grandi novità previste dal testo della norma.
A tal proposito sono molte le domande e i dubbi delle imprese e degli enti riguardo alla sua redazione in maniera conforme al GDPR.
Cominciamo con il sottolineare che esistono due tipi di registro per il GDPR, quello del titolare del trattamento e quello del responsabile del trattamento, mentre con riferimento al soggetto obbligato alla sua tenuta l’ultimo paragrafo dell’art. 30 GDPR stabilisce che gli obblighi di cui ai primi due paragrafi (cioè obbligo alla tenuta del registro rispettivamente da parte del titolare e del responsabile), non si applicano alle imprese o organizzazioni con meno di 250 dipendenti.
Tuttavia, in seguito tale norma pone le seguenti eccezioni, ovvero che il registro è obbligatorio a meno che il trattamento:
i. possa presentare un rischio per i diritti e le libertà dell’interessato,
ii. non sia occasionale o
iii. includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o
iv. i dati personali relativi a condanne penali e a reati di cui all’articolo 10.
Detto in altre parole basta avere un dipendente che l’obbligo di tenuta di tenuto del registro dei trattamenti ricompare, difatti è sufficiente la presenza ad esempio dei certificati di malattia o infortuni per riconfigurare l’obbligo.
Quanto al soggetto tenuto a gestirlo sia il titolare che il responsabile qualora abbiano provveduto alla sua nomina possono affidare la gestione al DPO.
Quanto alla sua conformazione è un documento con un contenuto minimo indicato dal regolamento (art.30), tuttavia nulla impedisce, anzi è consigliato, provvedere ad arricchirlo con altre informazioni.
Ciò perché l’istituzione di un registro ben fatto può costituire non solo la dimostrazione di quell’accountability richiesta dal GDPR, ma costituisce un’ottima base per procedere alla redazione del documento di valutazione d’impatto sul trattamento dei dati (DPIA).
Difatti, qualora il registro venisse arricchito con tutte le informazioni relative ai trattamenti dati effettuati, procedere con la loro analisi ai fini della valutazione del rischio, risulterebbe molto più agevole.
Fatte le dovute considerazioni di carattere generale, vediamo il contenuto minimo che il registro del titolare (o quello de rappresentante ove applicabile) deve avere:
a)il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Mentre il contenuto minimo del registro del responsabile (o quello de rappresentante ove applicabile) deve prevedere:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Quanto agli strumenti da usare, oltre ai software più o meno validi presenti sul mercato, esistono delle utilità gratuite messe a disposizione da autorità garanti straniere oppure da varie associazioni.
A questo proposito si riporta come l’autorità belga abbia provveduto a pubblicare un modello che si sostanzia in un foglio Excel in cui incasellare, secondo i criteri di classificazione ritenuti più opportuni al caso dal titolare, i contenuti minimi obbligatori richiesti dalla norma.
Altra precisazione doverosa, il registro come detto è il primo strumento dì accountability, pertanto, in caso d’ispezione da parte dell’autorità competente (ad esempio in seguito a una segnalazione), sarà il primo documento che chiederà di visionare.
Sempre rimanendo nel campo dell’accountability si ritiene che questa non vada considerata solo come principio imposto dal legislatore europeo foriero di nuovi adempimenti e responsabilità ma possa essere, ribaltandone l’accezione negativa che certi soggetti al momento gli stanno attribuendo (l’ennesimo adempimento burocratico!) un vantaggio competitivo nei confronti dei concorrenti se sapientemente comunicato.
Salvatore Familiari
