GDPR e registro dei trattamenti: fare o non fare, non c’è provare.
E lo è soprattutto nel momento in cui ci si trova ad affrontare l’argomento del registro dei trattamenti. Croce e delizia di titolari e consulenti resta, ad oggi, uno dei grande incompresi all’interno del novero dei documenti richiesti dal GDPR.
E spesso è anche immotivatamente avversato!
Infatti, non solo c’è chi è convinto che per le piccole attività al di sotto dei 250 dipendenti non sia necessario compilarlo. Ma ancor peggio qualcuno dedica le proprie energie in tentativi interpretativi della norma per evitare l’adempimento che si rivelano – eufemisticamente parlando – goffi e rocamboleschi. Addirittura ricadendo nell’estremo di sfuggire dalle maglie dell’applicazione del GDPR ricercando l’eccezione rappresentata dallo svolgimento di attività di trattamento effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico.
“Il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale” (considerando n. 18 GDPR).
Ovviamente, il più delle volte l’effetto sarà sempre quello di una caduta più o meno rovinosa. E sul tentativo di cercare sempre delle arrampicate fuori dagli schemi, si può ben scomodare l’immortale sir Terry Pratchett: “Sarei più entusiasta nell’incoraggiare a pensare fuori dagli schemi prefissati quando c’è una qualche prova di pensiero all’interno degli stessi.“.
Insomma: dal momento che il registro è il documento all’interno del quale viene rendicontato lo “stato di salute” della gestione della protezione dei dati personali, magari è un documento che può tornare utile. Certamente è bene essere consapevoli della casistica piuttosto ampia per cui ne è richiesta la compilazione.
Registro dei trattamenti: quando è obbligatorio
Ma quanto contano le dimensioni? Alcuni potrebbero dire che se si hanno meno di 250 dipendenti la tenuta del registro non è obbligatorio. Ma basterebbe leggere bene la norma per comprendere che non è proprio così.
“Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.” (art. 30.5 GDPR)
Vero: la formulazione è infelice. Vediamo di riformularla in modo più chiaro.
Per le organizzazioni con più di 250 dipendenti devono essere registrate tutte le attività di trattamento.
Per le organizzazioni con meno di 250 dipendenti devono essere registrate solo le attività che:
(i) presentano un rischio per diritti e libertà degli interessati;
(ii) sono svolte in modo non occasionale;
(iii) riguardano dati di categorie particolari o dati relativi a condanne penali e reati.
Che cosa abbiamo imparato? Che la formula RTFGDPR (dove F sta per Fantastic) può risolvere se non ogni problema, quanto meno la maggior parte delle complicazioni inutili.
Certo, poi c’è la parte di capire e quella di leggere in buona fede. Ma restiamo umili.
Per chi non è convinto, c’è anche il position paper del WP29 del 19 aprile 2018 che fornisce un chiarimento a prova di ogni astrusa teoria da parruccone impomatato.
Registro dei trattamenti: a cosa serve?
Arrivati in fondo alla vicenda la domanda che è giusto porsi è: un registro ben compilato serve a qualcosa oltre che a rispettare un obbligo di legge? Come già detto è uno strumento di rendicontazione degli adempimenti e dunque quanto viene scritto deve corrispondere a ciò che si fa. E viceversa.
Serve a tenere sotto controllo quanto si è fatto per la privacy, ma anche come lo si è fatto. Fondamentalmente ritorna utile per essere in grado di rispondere alla domanda: come sei messo con la privacy? che non viene fatta al bar e davanti a uno spritz ma capita in contesti meno conviviali, con il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza a svolgere un’istruttoria per conto del Garante. Senza spritz.
Volendo essere ancora più pratici, ecco qualche consiglio per tutte le stagioni.
#1 i contenuti minimi dei registri sono indicati dall’art. 30 GDPR, ma nulla vieta di inserire campi ulteriori. Ad esempio: i contenuti da inserire nelle informative e la localizzazione delle basi dati.
#2 evitare di scrivere perchè non si fa qualcosa. Ha tutte le fattezze di una ricerca di scuse per schivare gli adempimenti. Credibili come la storia del cane che ha mangiato i compiti (no, non pensateci proprio a dire che il cane ha mangiato il registro). Se non si fa qualcosa non la si rendiconta.
#3 se c’è una DPIA, LIA, TIA o qualche documento dall’acronimo fancy è un’ottima idea allegarli al registro così da avere tutto sotto controllo.
#4 le data di creazione e di ultima revisione non sono decorative.