È ormai ben noto a molti che il 25 maggio farà il suo ingresso ufficiale il nuovo Regolamento Europeo sulla protezione dei dati personali (Reg. UE n. 679/2016) o GDPR, entro tale data sia i Titolari che i Responsabili del trattamento dovranno mettere in atto una serie di adempimenti e di accorgimenti in modo tale da essere conformi alle nuove norme secondo il principio che ne caratterizza tutto il processo, il principio cioè di responsabilizzazione o di accountability.

Principio di sensibilizzazione (accountability) – L’accountability di titolari e responsabili è una delle grandi novità introdotte con il GDPR. Sostanzialmente cambia l’approccio a tutto il sistema, mentre prima l’obiettivo principale da parte delle aziende era quello di svolgere una serie di adempimenti a cui le stesse dovevano provvedere, ora si pone l’attenzione sul principio di sensibilizzazione delle imprese. L’approccio sarà basato infatti sul rischio e sulle misure di accountability di titolari e responsabili, ossia, come lo stesso Regolamento indica, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento.

Nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici, viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali.

Saranno poi i titolari stessi a dover dimostrare, anche attraverso comportamenti proattivi, di aver cioè concretamente adottato tutte le misure necessarie.

Registro dei trattamenti privacy – Uno strumento di fondamentale importanza, non solo per avere un quadro completo e aggiornato dei trattamenti all’interno di un’azienda o di un soggetto pubblico, ma anche per poter dimostrare e documentare dinanzi all’Autorità di controllo la conformità dell’organizzazione alle norme del Regolamento Europeo, sarà il “registro delle attività di trattamento “.

In base all’art. 30 par. 4, per quanto suddetto, infatti: “su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo”.

Chi è obbligato alla tenuta del registro dei trattamenti – Anche se all’articolo 30 del GDPR in realtà si prevede un’esclusione a tale obbligo, tutti gli organismi con meno di 250 dipendenti a meno che possano presentare “un rischio per i diritti e le libertà dell’interessato, o il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1 o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”, il Garante della Privacy all’interno della propria Guida all’applicazione del Regolamento europeo divulgata sul proprio sito ritiene che: “il registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”, invitando quindi tutti i titolari del trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro.

Sostanzialmente secondo la norma ab origine enti e altri organismi con meno di 250 dipendenti sono esentati purché:
il titolare non effettui trattamenti che possano presentare un rischio per i diritti e le libertà degli interessati;
il trattamento non sia occasionale o includa dati di cui all’art. 9.1 o all’articolo 10 (dati particolari e dati personali giudiziari).

Modalità di costruzione del Registro – Come evidenziato in precedenza, pertanto, la tenuta del Registro potrebbe risultare di fondamentale importanza, anche per chi non è assoggettato ad obbligatorietà, in quanto redigere, aggiornare e conservare un “Registro delle attività di trattamento” può essere uno strumento interno di aiuto non solo in fase di verifica dinanzi all’Autorità di controllo per la dimostrazione della conformità dell’organizzazione alle norme del Regolamento Europeo ma soprattutto di indispensabile importanza per ogni valutazione e analisi del rischio (ulteriori adempimenti previsti dal GDPR in ottica accountability). Come si potrebbe altrimenti dimostrare, senza tale ausilio di aver adottato tutte le misure necessarie a garantire il rispetto della normativa privacy, con il Registro infatti si ha la possibilità di sapere con esattezza quali trattamenti sono stati svolti in azienda, con quali modalità e tutte le misure di sicurezza adottate in riguardo.

È ad ogni modo il punto di partenza fondamentale per un’azienda o organismo pubblico per attuare qualsivoglia strategia per la conformità in materia di protezione dei dati personali.

Vediamo, di seguito, in dettaglio cosa prevede la tenuta del Registro.

Il Regolamento non detta una regola ben precisa per il mantenimento, l’art. 30 del GDPR, infatti, si limita soltanto ad indicare quali sono gli elementi basilari che il registro deve necessariamente contenere, nulla vieta quindi di integrare tali contenuti con qualunque informazione utile al titolare per poter correttamente governare gli aspetti privacy dei trattamenti.

Per redigere un registro dei trattamenti, pertanto, sarà opportuno creare un template in forma tabellare (o un file Excel) nel quale inserire, per ogni trattamento, tutte le informazioni richieste.

Nello specifico, all’interno del registro i seguenti elementi si potrebbero inserire:

  • processi/macro-attività, per poter inquadrare i trattamenti di dati personali all’interno delle attività svolte da ciascuna Unità Organizzativa e facilitarne la comprensione e l’aggiornamento da parte del relativo responsabile;
  • base giuridica e modalità di raccolta del consenso, per facilitare la predisposizione dell’informativa da consegnare all’interessato. La base giuridica del trattamento è tra gli elementi che devono essere contenuti all’interno dell’informativa secondo l’art. 13 co. 2.;
  • referente interno e categorie di soggetti autorizzati al trattamento, per fornire indicazioni utili in merito a persone che, limitatamente ai trattamenti di propria competenza, avranno dei compiti esecutivi all’interno del modello di funzionamento;
  • responsabili esterni del trattamento, per individuare tutti i soggetti terzi che trattano dati personali per conto del titolare del trattamento e che dovranno essere nominati responsabili esterni, richiamando le tipologie di trattamento consentite;
  • modalità di trattamento dei dati, per poter mappare con esattezza, attraverso l’elencazione dei soli applicativi utilizzati per il trattamento dei dati personali, le misure di sicurezza implementate/da implementare, nonché per poter condurre efficacemente la valutazione dei rischi.

Ad esempio:

  • Trattamento: il nome del trattamento (es. gestione paghe);
  • Ufficio: l’ufficio (o gli uffici) coinvolto da quel trattamento (es. Ufficio Personale);
  • Finalità: le finalità per le quali sono trattati tali dati (es. anagrafiche, iscrizioni sindacali, certificati di malattia, maternità ecc.);
  • Tipi di dati personali: quali tipologie di dati personali sono coinvolti nel trattamento (es. dipendenti, liberi professionisti, collaboratori, tirocinanti, ecc.);
  • Categorie d’interessati;
  • Consenso;
  • Informativa;
  • Conservazione;
  • Misure di sicurezza e organizzative;
  • Titolare e Responsabile del trattamento, ove previsto i dati del DPO;

Ecc.

È da precisare che la predisposizione del Registro non debba essere considerata alla stregua di un nuovo adempimento burocratico, ma come uno strumento interno che consente una gestione più efficace per l’Action plan, per mappare i flussi di dati all’interno dell’organizzazione, per censire in maniera ordinata le banche dati, per dimostrare di aver adempiuto alle prescrizioni del Regolamento, ecc., sempre nell’ottica del principio di accountability; in conclusione, consentirebbe quindi di avere un supporto importante per il governo di tutta la “data protection”.