Il Registro dei trattamenti è uno dei documenti che il GDPR chiede di redigere praticamente a tutte le organizzazioni che svolgono delle attività di trattamento sui dati personali, sia che lo facciano con il ruolo di titolari che di responsabili del trattamento. La sua funzione è riportare per iscritto tutte le informazioni essenziali riguardanti le operazioni svolte sui dati personali da parte dell’organizzazione, in un formato aggiornato e verificabile. Solo in questo modo infatti può svolgere la propria funzione di rendicontazione delle attività di trattamento svolte da parte del titolare o del responsabile.
L’obbligo di tenuta dei registri delle attività di trattamento riguarda tutte le organizzazioni con oltre 250 dipendenti per la sua redazione in forma completa.
Le organizzazioni con meno di 250 dipendenti possono ricorrere ad un’adozione in forma semplificata indicando soltanto le attività di trattamento che:
(i) possono presentare un rischio per i diritti e le libertà dell’interessato;
(ii) vengono svolte in modo non occasionale;
(iii) riguardano dati personali di categorie particolari o relativi a condanne penali e reti.
Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.
( art. 30.5 GDPR )
E se si è tentati di pensare di trovare un modo per aggirare l’obbligo, il position paper adottato dall’EDPB a riguardo chiarisce al di là di ogni pigrizia di scrittura la portata veramente ristretta dell’esenzione dagli obblighi di tenuta del registro dei trattamenti. In pratica per essere totalmente esenti da ogni obbligo a riguardo si deve essere un titolare o responsabile che svolge occasionalmente trattamenti di dati personali non appartenenti a categorie particolari o relativi a condanne penali e reati con un rischio trascurabile per i diritti e le libertà dell’interessato.
Contenuti del Registro dei trattamenti
Quali sono i contenuti del Registro dei trattamenti? Le informazioni essenziali da riportare sono indicate, rispettivamente per il titolare e il responsabile, dagli artt. 30.1 e 30.2 GDPR, che possono essere divise nelle seguenti aree:
– Identificazione dell’organizzazione;
– Informazioni sui trattamenti svolti;
– Informazioni su eventuali trasferimenti di dati al di fuori dello SEE;
– Descrizione delle misure di sicurezza.
La funzione del Registro è descrittiva e ha un ruolo fondamentale sia nel caso di attività ispettiva da parte del Garante, sia per la gestione degli adempimenti del GDPR. E non a caso è stato proprio il Garante ad averlo indicato come “uno dei principali elementi di accountability del titolare”.
Può essere utile inserire dei contenuti ulteriori all’interno, quali ad esempio:
– le basi giuridiche delle attività di trattamento;
– la valutazione del legittimo interesse (LIA);
– la valutazione d’impatto sulla protezione dei dati (DPIA);
– la valutazione d’impatto del trasferimento dei dati (TIA);
– il censimento degli asset;
– l’organigramma privacy;
– le categorie di soggetti autorizzati e i privilegi assegnati;
– la valutazione dei rischi;
– il programma di audit;
– il piano di miglioramento continuo;
…e molto altro.
Ma come si fa?
Come si fa un (buon) Registro dei trattamenti? Così come avviene nella cucina e in molte altre cose, la pratica rende perfetti. E basta seguire alcune regole fondamentali ed evitare strafalcioni come ad esempio mettere solo ciò che serve.
Come il guanciale nella carbonara, insomma. E non panna e cipolla.
Per fare un buon Registro dei trattamenti è indispensabile condurre un’attività preliminare di data mapping individuando almeno:
(i) quali dati personali sono raccolti e trattati;
(ii) quali soggetti intervengono e a che titolo;
(iii) come sono svolte le attività di trattamento;
(iv) le misure di sicurezza adottate.
In questo modo è possibile avere tutte le informazioni richieste dalla norma e ordinarle all’interno di una bozza di Registro. Dopodiché, si può procedere a successivi approfondimenti fino a che il documento non contiene tutte le informazioni richieste dalla norma. Infine: data di creazione e di ultimo aggiornamento, et voilà!
Un avvertimento. Un registro copiato non è una soluzione intelligente. Non lo è nemmeno un registro generato da un tool e non ricontrollato. Quel che è scritto all’interno deve rendicontare ciò che si fa. Non quello che fanno altri, o nessuno.