Si precisa che, come da Art.30 del GDPR, tutti i titolari e i responsabili del trattamento sono tenuti a redigere il registro delle attività di trattamento.

Premesso che, le Pubbliche Amministrazioni sono tutte obbligate oltre a nominare un Responsabile Protezione Dati (RPD o DPO che dir si voglia), per quanto riguarda invece le aziende o le organizzazioni private, i soggetti in particolare individuabili come obbligati sono:

  1. imprese o organizzazioni con almeno 250 dipendenti;
  2. qualunque titolare responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio, anche non elevato, per i diritti e le libertà dell’interessato;
  3. qualunque titolare o responsabile(incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  4. qualunque titolare o responsabile(incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’art. 9, par. 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’art. 10 GDPR;

dove per “organizzazioni” s’intendono le associazioni, le fondazioni e i comitati (vedi Art.30 par.5 GDPR).

Per rientrare nella casistica del trattamento non occasionale è sufficiente eseguire un trattamento in modo permanente e continuativo come ad esempio una piccola azienda che tratta regolarmente i dati dei dipendenti che, in qualche modo, contengono sempre dati sensibili per esempio nei cedolini o nelle cartelle mediche di idoneità.

Altri casi di “trattamento non occasionale”, potrebbero essere quelli di un professionista che tratta i dati per conto dei clienti in qualità di responsabile o un sito web che raccolga i dati attraverso una normalissima form di richiesta informazioni.

I casi più comuni sono quelli del Medico del Lavoro, il Consulente Paghe o la Web Agency che gestisce il sito web piuttosto che l’azienda che fa Assistenza IT riportati anche nell’elenco sotto.

Il parere del WP Art.29 chiarisce anche che, in caso un’azienda privata sia meno di 250 dipendenti, è sufficiente tenere il registro dei trattamenti semplificato anche solo per quei trattamenti soggetti all’obbligo, peraltro anche confermato dal Garante stesso.

Categorie di attività obbligate alla tenuta del registro dei trattamenti

Le Linee Guida FAQ del Garante, specificano inoltre alcune categorie di attività che sono praticamente obbligate alla tenuta del registro dei trattamenti:

  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione ecc.) e/o che trattino dati sanitari dei clienti (ad esempio: parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (ad esempio: commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
  • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti cosiddetti “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
  • il condominio ove tratti “categorie particolari di dati” (ad esempio, delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Come redigere il Registro dei trattamenti

È doveroso precisare che esistono due tipi di registro di trattamento semplificato :

  1. il registro a cura del titolare del trattamento
  2. il registro a cura del responsabile o sub-responsabile

Ricordando che, per chi non avesse ancora chiara questa distinzione, per titolare del trattamento s’intende la persona fisica o giuridica che determina i mezzi e le finalità del trattamento mentre per responsabile del trattamento s’intende la persona fisica o giuridica che tratta i dati in nome e per conto del titolare.

COME compilare il Registro del Titolare:

  1. Denominazione e dati di contatto del TitolareCo-Titolare o Rappresentante (se all’estero);
  2. Nome e Cognome o Ragione Sociale del Responsabile della Protezione Dati o DPO se nominato: se non nominato è consigliabile scrivere in questo campo le motivazioni della mancata nomina;
  3. Tipologie di Trattamento: indicare sommariamente il tipo di trattamento a cui ci si riferisce (es. Retribuzione Dipendenti, Raccolta dati dal sito, Dati Clienti e Fornitori, Videosorveglianza, Newsletter, Candidati e stagisti…);
  4. Finalità e Basi Legali: in questo spazio è necessario indicare la finalità e le sottofinalità per cui si trattano i dati (es. Elaborazione busta paga, Contattare l’utente in seguito a richiesta informazioni) e i Criteri di Liceità su cui si basa il trattamento (Obblighi Contrattuali e pre-contrattuali, Obblighi di Legge, Legittimo Interesse, Consenso dell’interessato, Pubblico Interesse). Buona regola è inserire una sola finalità per ogni trattamento.
  5. Categorie di interessati: qui bisogna indicare le categorie a cui si riferiscono i dati come ad esempio: Dipendenti, Utenti sito, Clienti, Fornitori, Candidati, stagisti etc.
  6. Categorie di dati personali: questa sezione è molto importante in quanto si va ad indicare se si trattano dati personali Comuni o Particolari (ex sensibili) e/o dati Giudiziari. In caso si trattino dati particolari è necessario indicare di quali Tipologie: dati sanitari, dati genetici, dati biometrici, dati giudiziari, dati di orientamento politico, religioso o sessuale, dati di origine razziale o etnica, appartenenza sindacale. Senza entrare troppo nel dettaglio si possono anche indicare a titolo esemplificativo i principali dati trattati a fianco della categoria(es. Dati Anagrafici, cartelle mediche, certificati di salute, curriculum vitale, dati di contatto etc);
  7. Categorie di destinatari: qui vanno indicati gli estremi dei Responsabili che trattano i dati per conto del titolare (es. Medico del lavoro, Centro elaborazione paghe, Web Provider etc) e/o eventuali altre Categorie di Titolari a cui possono essere comunicati i dati (es. Enti Pubblici, Banche, Enti previdenziali ..);
  8. Trasferimento dati verso paesi terzi: nel caso i dati possano essere trasferiti in paesi extra UE bisogna indicare quali e, se esistono o meno le condizioni di adeguatezza per questi paesi (es. Privacy Shield per USA e/o paesi espressamente indicati fra quelli per cui è stata presa una “decisione di adeguatezza” dalla Commissione UE o in base a delle Binding Corporate Rules);
  9. Termini ultimi di cancellazione previsti: qui il compito si fa difficile in quanto va indicato per quanto tempo vengono trattati i dati prima di cancellarli. Purtroppo non ci sono regole, metodi e linee guida che indicano i criteri di valutazione; a parte quei dati per cui esistono dei tempi minimi ben definiti (es. 10 anni per i dati fiscali/amministrativi), i criteri vanno stabiliti in base a diversi fattori come basi giuridiche e finalità sempre però legati al principio fondamentale di “minimizzazione”, fra i più importanti del Gdpr;
  10. Misure di sicurezza tecniche ed organizzative: in questo spazio si vanno ad elencare le principali misure che si sono adottate per assicurare una protezione “adeguata” dei dati (es. pseudomizzazione, cifratura dei dati, back-up, formazione etc) e, possibilmente anche le misure individuate dalla Gap Analysys ancora da adottare e in che tempi.

l Registro del Trattamento per il Responsabile del Trattamento è molto più semplice in quanto non è necessario indicare finalità, interessati, categorie di dati, destinatari e tempi di conservazione. Questi infatti sono stabiliti dal Titolare per cui devono essere indicate nel suo Registro.

Il Responsabile del Trattamento deve però necessariamente redigere un registro separato per ogni Titolare per cui tratta i dati.

Facciamo l’esempio di una web agency che gestisce le attività di marketing per conto di diversi clienti: essa dovrà compilare un registro del responsabile per ogni azienda (Titolare del/i Trattamento/i) di cui tratta i dati.

Come compilare il Registro del Responsabile:

  1. Denominazione e dati di contatto del Responsabile;
  2. Denominazione e dati di contatto del Titolare/Contitolare/i per cui si trattano i dati;
  3. Nome e Cognome o Ragione Sociale del Responsabile della Protezione Dati o DPO direttamente nominato dal Responsabile. Se non nominato è consigliabile scrivere in questo campo le motivazioni della mancata nomina;
  4. Categoria di Trattamento: la categoria di trattamento dovrebbe corrispondere, in linea di massima, a quella che ha indicato il Titolare nel suo registro dei Trattamenti;
  5. Trasferimento dati verso paesi terzi: nel caso i dati possano essere trasferiti in paesi extra UE bisogna indicare quali e, se esistono o meno le condizioni di adeguatezza per questi paesi (es. Privacy Shield per USA e/o paesi espressamente indicati fra quelli per cui è stata presa una “decisione di adeguatezza” dalla Commissione UE o in base a delle Binding Corporate Rules);
  6. Misure di sicurezza tecniche ed organizzative: in questo spazio si vanno ad elencare le principali misure che si sono adottate per assicurare una protezione “adeguata” dei dati (es. pseudomizzazione, cifratura dei dati, back-up, formazione etc);

 

Modalità di aggiornamento e conservazione

Essendo sia processi che tecnologie in continua evoluzione non saremmo nello spirito del GDPR se non aggiornassimo costantemente tutto quello che riguarda la Protezione Dati. Questo riguarda tutte le misure tecniche ed organizzative menzionate in vari articoli del Regolamento ed ovviamente anche al Registro dei Trattamenti poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti e delle misure poste in essere.

Ogni variazione in ordine a modalitàfinalitàmisure di protezionecategorie di daticategorie di interessati, Responsabili Esterni deve essere inserita nel Registro, tenendo traccia delle modifiche.

Capita sovente infatti che, ferme restando le finalità o gli interessati, cambi un responsabile magari il medico del lavoro o il consulente paghe che va quindi annotato tenendo comunque sempre traccia delle variazioni in caso dovesse verificarsi una Violazione che riguardi dati trattati precedentemente alla nuova nomina.

Il Registro può essere redatto ed esibito sia in formato cartaceo che digitale e deve indicare la data della prima redazione e quella dell’ultimo aggiornamento come ad esempio:

“Registro creato il: DD.MM.YYYY”

“Data ultimo aggiornamento: DD.MM.YYYY”

Informazioni aggiuntive

Siccome il Registro dei Trattamenti non è ancora un modello unificato, ma ci auguriamo che lo diventi presto, nulla vieta, allo scopo di renderlo più esaustivo possibile, di inserire informazioni aggiuntive a quelle già elencate come ad esempio:

  • Informazioni sul referente e/o sugli autorizzati interni preposti al trattamento
  • Modalità di richiesta del consenso
  • Se vengono eseguite attività di profilazione e in che modalità
  • Se vengono trattati dati di minori e in che modo
  • Modalità di Trattamento (es. cartaceo o elettronico)
  • Luogo di custodia del cartaceo
  • Posizione (percorso di rete) delle basi dati e dei server 

Questo perché, in caso di verifica ispettiva del Garante o della Guardia di Finanza, non solo vi verranno richiesti documenti e procedure che attestano la Compliance ma, e sopratutto, le motivazioni e i criteri che hanno determinato le scelte fatte in base al principio dell’Accountability.

Più dettagliate la documentazione più sarà facile anche per voi ricostruire i processi decisionali ed essere in grado di dimostrare che non è stato fatto un semplice “copia e incolla” di procedure e informative di altri ma, c’è stato un ragionamento consapevole a monte.

RossellaPrivacy  Si precisa che, come da Art.30 del GDPR, tutti i titolari e i responsabili del trattamento sono tenuti a redigere il registro delle attività di trattamento. Premesso che, le Pubbliche Amministrazioni sono tutte obbligate oltre a nominare un Responsabile Protezione Dati (RPD o DPO che dir si voglia), per quanto riguarda invece le aziende o le organizzazioni...