Il registro dei trattamenti

Il registro dei trattamenti di dati personali è un documento interno all’azienda e costituisce un elemento fondamentale per la compliance al GDPR. Esso consente di avere una fotografia dei trattamenti di dati personali effettuati dall’azienda. Pertanto, esso rappresenta la base di partenza in caso di controlli da parte del Nucleo Privacy della Guardia di Finanza. La sua corretta redazione ed il suo costante aggiornamento sono fondamentali per dimostrare la conformità al GDPR ed il rispetto del principio di accountability.

Cosa si intende per trattamento dati e cosa occorre registrare

Per compilare il registro è necessario innanzi tutti individuare i trattamenti da registrare. Ma cosa di intende per trattamento dati?

L’art. 4 del GDPR definisce il trattamento come ogni operazione o insieme di operazioni compiute su dati personali. Raccogliere il nome di un cliente è un trattamento. Lo sono anche cancellare un numero di telefono o comunicarlo ad un terzo soggetto.

Ovviamente, il GDPR non pretende che ogni singola operazione di trattamento dati venga registrata. È quindi necessario creare delle categorie più o meno ampie da inserire nel nostro registro trattamenti privacy. 

Alcuni esempi pratici di trattamenti di dati personali

Un trattamento effettuato da tutte le aziende, o quasi, è la gestione del personale. Ogni datore di lavoro tratta dati personali dei propri dipendenti, per gestire i contratti; pagare gli stipendi; garantire ferie e permessi; gestire le presenze, assenze per infortuni e malattie etc. Queste attività di trattamento devono essere registrate. Il titolare potrà decidere di raggruppare tutte le attività in un’unica macro-categoria, denominata “gestione del personale”, oppure creare categorie più specifiche, come: pagamento buste paga, gestione delle presenze, formazione del personale, gestione dei contratti, sicurezza sul lavoro, ricerca ed assunzione del personale etc.

Non esistono regole che ci dicano quando è necessario scendere nel dettaglio nella registrazione delle attività di trattamento. La scelta è rimessa al titolare sulla base del principio di accountability e può variare a seconda della complessità dell’azienda. Per alcune piccole imprese, organizzate in modo molto semplice, potrebbe essere sufficiente utilizzare categorie ampie, come: gestione dei clienti, gestione dei fornitori, gestioni del personale etc. Per aziende più strutturate, potrebbe essere necessario entrare più nel dettaglio. 

Personalmente, ritengo che sia controproducente eccedere nel dettaglio, così come rimanere eccessivamente generici. Avere un registro di trattamenti con centinaia di micro-categorie rischia infatti di complicare eccessivamente la sua tenuta ed il suo costante aggiornamento e non risponde all’esigenza del registro, che è quella di consentire un’immediata lettura dei trattamenti di dati effettuata da un’azienda.

Chi è obbligato a redigere un registro dei trattamenti dati

L’art. 30 del GDPR obbliga alla tenuta del registro dei trattamenti soltanto:

• le imprese con più di 250 dipendenti;
• le imprese con meno di 250 dipendenti che:
  • effettuino trattamenti che comportano rischi per i diritti e le libertà degli interessati;
  • effettuino trattamenti di dati non occasionali;
  • trattino dati particolari di cui all’art. 9 GDPR o relativi a condanne e reati di cui all’art. 10 GDPR.

Tuttavia, il Considerando 82 del GDPR raccomanda l’adozione del registro a chiunque, per dimostrare la conformità al Regolamento. In mancanza di un registro, è infatti difficile per un’impresa dimostrare di aver mappato i propri dati, effettuato le analisi del rischio e, più in generale, aver preso seriamente l’adeguamento al GDPR. Senza contare che, come accennato sopra, il registro costituisce la base di partenza di ogni controllo privacy.

Alla luce di ciò, l’adozione di un registro dei trattamenti deve considerarsi un’attività fondamentale per il rispetto del principio di accountability ed è quindi fortemente consigliato a chiunque. Ovviamente, le imprese più piccole ed a minor rischio privacy potranno adottare un registro più semplice rispetto ad aziende più strutturate o che trattano dati ad alto rischio.

La mancata tenuta del registro potrebbe comportare l’irrogazione di sanzioni anche per le aziende non obbligate, seppur in modo indiretto per mancato rispetto del principio di accountability.

Cosa deve contenere il registro dei trattamenti del titolare

Fino ad ora abbiamo parlato genericamente di registro dei trattamenti. L’art. 30 del GDPR però distingue il registro del titolare ed il registro del responsabile del trattamento. Ovviamente, chi non svolge l’attività di responsabile esterno del trattamento, potrà limitarsi a tenere un solo registro.

Il registro del titolare deve contenere:

1. denominazione e  dati di contatto del titolare del trattamento;
2. i dati dei contitolari del trattamento, se presenti;
3. i dati del rappresentante del titolare del trattamento, se presente;
4. i riferimenti del DPO, se presente;
5. le finalità del trattamento;
6. una descrizione delle categorie di interessati (es. clienti, fornitori, dipendenti, utenti etc.);
7. una descrizione delle categorie di dati personali (es. dati anagrafici, dati di contatto, dati sanitari, immagini etc.);
8. le categorie di destinatari a cui i dati personali vengono comunicati;
9. i trasferimenti di dati verso paesi terzi (compresa l’identificazione del paese) od organizzazioni internazionali e le garanzie che consentono il trasferimento;
10. i termini o i criteri adottati per la cancellazione dei dati;
11. se possibile, una descrizione delle misure di sicurezza tecniche e organizzative adottate.

Oltre alle suddette informazioni obbligatorie, in occasione dei controlli viene richiesta anche l’indicazione del livello di rischio assegnato a ciascun trattamento. Ciò consente al titolare di dimostrare di aver effettuato l’analisi del rischio richiesta dalla normativa.

Cosa deve contenere il registro dei trattamenti del responsabile

Le imprese che trattano dati personali in qualità di responsabili del trattamento, dovranno tenere un secondo registro. Ad esempio, una software house che fornisce ai propri clienti servizi in Cloud Computing dovrà tenere un registro a parte per queste attività di trattamento.

+

Software house e GDPR: perchè è fondamentale adeguarsi

3 Giugno 20187 Giugno 2020

Software house e GDPR: consigli e adempimenti Software house e GDPR sono strettamente interconnessi. Il GDPR ha rivoluzionato completamente...

0 likes Read more

A differenza del registro del titolare, il registro del responsabile non dovrà contenere alcune delle informazioni che sono riservate al titolare, come ad esempio il riferimento alle finalità e alle basi giuridiche dei trattamenti.

Il registro del responsabile invece dovrà contenere i riferimenti dei titolari dei trattamenti per cui svolge l’attività. Questo adempimento diventa particolarmente difficile per quelle imprese che, come le software house o gli hosting provider, sono responsabili del trattamento per centinaia, a volte migliaia o centinaia di migliaia di clienti. In questi casi è consentito rinviare a delle liste esterne per individuare i titolari del trattamento.

Modello di registro dei trattamenti: dove trovarlo

Il registro deve essere tenuto in forma scritta, anche in formato elettronico. In commercio esistono numerosi software che consentono la tenuta del registro in formato digitale, utilizzati per lo più da consulenti o professionisti, in quanto richiedono una buona conoscenza della normativa.

I registri possono essere più o meno semplici e possono contenere anche maggiori informazioni rispetto a quelle obbligatorie prescritte dall’art. 30 del GDPR.

Nei casi più semplici, i registri possono essere tenuti anche mediante un semplice foglio excel. A tal fine, il Garante Privacy ha fornito un esempio di registro dei trattamenti al seguente link: Modello di registro semplificato delle attività di trattamento del titolare per PMI.

Conclusioni

La corretta tenuta di un registro dei trattamenti è un passo fondamentale per qualsiasi impresa, grande o piccola, che voglia raggiungere la compliance al GDPR.

Il registro non deve essere redatto e messo in un cassetto per essere tirato fuori solo in occasione dei controlli. Esso è un documento dinamico, che deve essere costantemente aggiornato e, possibilmente, migliorato nel tempo.

La redazione e la tenuta del registro sono attività che richiedono una buona conoscenza della normativa sulla privacy. Le imprese che si sono dotate di un DPO, possono affidare a quest’ultimo la corretta tenuta del registro. Diversamente, le imprese prive di DPO e che non abbiano queste competenze all’interno dell’azienda, potranno rivolgersi ad un consulente esterno.

Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.