Dopo il 101/2018 – Se mi chiedono il Registro dei Trattamenti? …e se vi ferma la Polizia Stradale e vi chiedono la patente?
Se vi ferma la Polizia Stradale vi chiede “patente e libretto” (una volta anche il tagliando della assicurazione se non era esposto in bella mostra… Adesso il nuovo Codice della Strada usa le banche dati!)
Beh, se avete una ispezione del GAT prima di tutto mostrate il Registro, anzi, i Registri dei Trattamenti…
Tutto è dettagliato nell’art. 30 del Regolamento n. 679/2016 derivato da quello europeo GDPR/EU/2016 (di seguito “Regolamento”) che indica il Registro come uno dei primari adempimenti del Titolare e delle figure privacy corresponsabilizzate nel Sistema Privacy della organizzazione.
NON UNO, MA DUE!
La prima osservazione non esplicitata ma desumibile dal Regolamento è che i Registri sono in realtà due. Uno per il TdT e l’altro per il Rdt (o “Designato”m nuova figura individuata dal Dlg. 101/2018). Come vedremo più avanti anche la Autorità di Controllo ha messo a disposizione due modelli di foglio elettronico relativi appunto a due versioni di un Registro fac-simile
CARTA O HARD-DISK!
La seconda osservazione preliminare è che il registro può essere tenuto, e quindi mostrato alla pattuglia ispettiva, in formato elettronico! Naturalmente il file deve essere conservato in un volume, cartella e/o area del web della organizzazione il cui accesso sia possibile solamente ai Soggetti Autorizzati che lo gestiscono per contro del TdT.
Parliamo di un documento che riassume ed elenca le informazioni richieste dall’art. 30 del Regolamento) delle operazioni di trattamento svolte dal titolare e, se
nominato, dal responsabile del trattamento (la versione del responsabile ha alcune differenze che dettagliamo in seguito).
Il Registro dimostra la vostra “accountability“, e visualizza la situazione di insieme aggiornata dei trattamenti che sono correntemente condotti all’interno della propria
organizzazione; peraltro, senza il Registro, non si potrebbe giustificare la coerente attività di valutazione o analisi del rischio (altro obbligo indispensabile!).
SENZA NIENTE DPIA!
Altra osservazione deducibile: il Registro è quindi precedente rispetto alla Analisi dei Rischi e della eventuale valutazione degli impatti. Quindi sia esso in avere forma cartacea o elettronica, e deve essere fatto.
§ § §
Nella PA praticamente tutti i titolari/responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del Regolamento).
Nell’ambito privato, i soggetti obbligati sono derivabili dai paragrafi citati:
- imprese o organizzazioni con almeno 250 dipendenti;
- qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di
250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche
non elevato – per i diritti e le libertà dell’interessato; - qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di
250 dipendenti) che effettui trattamenti non occasionali; - qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di
250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui
all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a
reati di cui all’articolo 10 RGPD.
NOTA: con il termine “organizzazioni” di cui all’art. 30, par. 5 si intende anche le associazioni, fondazioni e i comitati.
§ § §
In merito a chi certamente lo deve redarre possiamo elencare, seppure non in modo conclusivo (vedi nota sotto elenco):
- Esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar,
ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei
clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.); - Liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati
relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati,
fisioterapisti, farmacisti, medici in generale); - Associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati
relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; - Associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.;
- Associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati;
- Aassociazioni e movimenti a carattere religioso);
- Il condominio che tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L.n.13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
NOTA: dopo il 19 Settembre 2018 con il Dlg101/2018 il legislatore ha indicato possibili future emanazioni dalla AC in merito alle semplificazioni e le imprese e organizzazioni con meno di 250 dipendenti comunque obbligate al Registro potrebbero beneficiare di alcune future misure di semplificazione. Ad esempio la redazione del Registro contiene solo specifiche attività di trattamento di c.d. dati particolari di un solo lavoratore dipendente.
Oltre ai casi obbligatori, la tenuta del Registro è comunque caldeggiata dal considerando 82 del Regolamento, la AC ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, perché si tratta di uno strumento vincente a prescindere e contribuisce ad attuare in modo semplice il principio di accountability. Soprattutto il TdT declina e dimostra un atteggiamento collaborativo e costruttivo nel “rendere conto” per i controllo dell’ AC.
Illuminante per questo aspetto il documento interpretativo del 19 aprile 2018 del Gruppo ex art. 29 (Ora Comitato europeo per la protezione dei dati) reperibile al seguente
link: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045
§ § §
In merito alle informazioni contenute nel Registro delle attività di trattamento del titolare (art. 30, par. 1 del RGPD) e in quello del responsabile (art. 30, par. 2 del RGPD) possiamo suggerire il seguente prospetto.
Più che un vincolo formale, l’approccio deve essere sostanziale come in tutta la manualistica documentale nello spirito della Riforma Europea della Protezione dei Dati.
Basta seguire i fac-simile del foglio elettronico reso disponibile dalla AC.
Finalità del trattamento: questa informazione deve prima di tutto distinguere le varie tipologie di trattamento; si pensi a dei dati dei dipendenti per la gestione del rapporto di lavoro piuttosto che dati di contatto dei fornitori per la gestione degli ordini.
Non dimenticate di mettere la base giuridica dello stesso (v. art. 6 del Regolamento) soprattutto se state ricorrendo al “legittimo interesse”!
Quando vi appellate al legittimo interesse, dovere descrivere in dettaglio le derivanti “garanzie adeguate” e di fatto diventa mandatoria la preventiva valutazione d’impatto (Provv. del Garante del 22 febbraio 2018 – [doc web n. 8080493]).
La base giuridica è un aspetto critico anche nel caso di “categorie particolari di dati”,
(art. 9, par. 2 del Regolamento. Infatti, per i trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’Art. 10 del Regolamento.
Categorie di interessati e delle categorie di dati personali – qui vanno dettagliate le tipologie di interessati come clienti, fornitori, dipendenti ecc., e quelle di dati personali trattati come dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc..
Categorie di destinatari a cui i dati sono stati o saranno comunicati – quella dei “Destinatari” è una nuova definizione introdotta rispetto al Codice Privacy del Dlg.196/03. Nella cella del foglio elettronico si devono compilare, anche in modo essenziale per categoria di appartenenza, eventuali Co-titolarità!
Infatti, altri eventuali titolari cui siano comunicati i dati come ad esempio enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi, sono considerati alla stregua di soggetti ai quali responsabili e sub-responsabili del trattamento siano essi interni o esterni alla organizzazione. Questo perché i dati trasmessi (comunicati o diffusi) da parte del titolare ad un soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento, devono condividere la responsabilità e gli obblighi derivanti dagli adempimenti del Regolamento.
Trasferimenti di dati personali verso un paese terzo – andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente alla indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del Regolamento (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.)
Termini ultimi previsti per la cancellazione – assicuratevi di indicare i tempi di cancellazione per ogni tipologia e ogni diversa finalità di trattamento. Se pensiamo ai dati di un rapporto contrattuale saranno sicuramente stoccati per 10 anni dalla ultima registrazione (Art. 2220 del codice civile”). Dove non conoscete a priori un termine massimo, esprimete i tempi di conservazione indicando “fasce di criteri” come le prassi settoriali usati dalle norme di legge. Una formula suggerita nelle linee guida diffuse dal Garante dei Garanti europei potrebbe essere “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”.
Descrizione generale delle misure di sicurezza – anche solo in modo sommario, non trascurate du indicare le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del Regolamento. Tenere sempre a mente che dipende solo dal titolare la valutazione finale del livello di sicurezza “adeguato” ai rischi presentati dalle attività di trattamento effettive. Attenzione alla massima credibilità di questo elenco di misure che non sarà mai fisso visto che è un obbligo quello di revisionare e continuamente aggiornare la dotazione tecnologica con con gli sviluppi della tecnologia e l’evolvere delle forme di minacce informatiche.
Una raccomandazione: usate uno stile riassuntivo e sintetico del quadro generale e complessivo secondo le attività effettivamente svolte (non fate cut & paste con i registri di altri!). Semmai in legenda rinviate a riferimenti al Manuale del Sistema Privacy e Protezione dei Dati (MSPPD con procedure organizzative interne; prassi operative, security policy e registrazioni ecc. ) dove spiegate in dettaglio eventuali valutazioni specifiche
Infine, ricordate che dal 101/2018 in poi se il TdT ha una figura “Referente Privacy Interno” e/o un “Designato Privacy”, sfruttate il Registro per aggiungere trattamenti di dati relativi alla raccolta del consenso, alle valutazioni di impatto nei vari trattamenti!
I fac-simile forniti possono essere arricchiti e migliorati, soprattutto se dimostrate di avere coerenza sostanziale con le misure fisiche, logiche ed organizzative effettivamente implementate dal vostro sistema Privacy!
Salvo Reina
Per approfondimenti: Web Media-Learning center, Area Tematica divulgativa, Biblioteca sitografica Privacy TQM, Webinars gratuiti dell’autore
Facsimile dell’Autorità di Controllo:
NOTA: L’autore riporta i riferimenti sitografici ufficiali così come resi disponibili al tempo della pubblicazione della fonte primaria ma non risponde dell’aggiornamento e della disponibilità dei contenuti dei siti di altri.
Consultate i termini di utilizzo e di manleva nella informativa sul sito dell’autore
Presentazione corso sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0
Salvo Reina
Privacy 4.0 e Data Protection 