Il registro dei Trattamenti: il cruscotto per partire nell’implementazione del Regolamento 2016/679 sulla Data Protection

Il 25 maggio 2018 si avvicina a grandi passi. Da dove incominciare per applicare il Reg.UE 2016/679 (cd GDPR – Generale Data Protection Regulation) entro tale data di scadenza?

Uno dei primi step è senza dubbio la predisposizione del Registro delle Attività di Trattamento, disciplinato dall’art. 30 del GDPR; vediamo in sintesi la disciplina.

In primo luogo preme precisare che non tutti i soggetti che trattano dati sono obbligati a tenere il Registro delle attività di trattamento ma solo:

  1. I titolari e responsabili che hanno oltre 250 dipendenti
  2. I titolari e responsabili che hanno meno di 250 dipendenti ma:
    • trattano dati che possono presentare un rischio per i diritti e le libertà dell’interessato;
    • il trattamento dei dati di cui sopra sia occasionale;
    • il trattamento includa dati sensibili (o dati personali relativi a condanne penali o a reati).

A parere di chi scrive, la tenuta del Registro è fortemente consigliabile per tutti, anche per i soggetti per i quali la redazione del Registro non sia obbligatoria.

Il Registro permette infatti di costruire un “cruscotto di gestione” che diventa fondamentale per capire come “girano” ed implementare quindi tutte le misure che permettono di dimostrare il rispetto del principio di accountability.

Il registro dei trattamenti permette infatti di:

  • disporre di un quadro aggiornato dei trattamenti in essere all’interno di una organizzazione;
  • procedere ad una valutazione ed analisi del rischio che tenga conto in concreto dei trattamenti effettuati;
  • essere in grado di dimostrare di avere adottato tutte le misure necessarie a garantire il rispetto del regolamento.

Tant’è vero che il Garante per la Protezione dei Dati Personali nella sua Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali ritiene che “il registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”, invitando tutti i titolari ed i responsabili del trattamento, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro.

Vediamo allora cosa contiene il Registro.

L’art. 30 prevede due diverse tipologie di registro dei trattamenti, la prima tenuta dal titolare del trattamento o dal suo rappresentante, la seconda dal responsabile del trattamento o dal suo rappresentante. Ai commi 1 (titolare) e 2 (responsabile) l’art. 30 fornisce precise indicazioni sui contenuti minimi obbligatori che il registro deve indicare, contenuti che per maggiore facilità di lettura e comparazione abbiamo riportato nella seguente tabella:

La schematizzazione grafica evidenzia chiaramente che la descrizione delle finalità e l’indicazione dei termini di cancellazione sono previsti nel solo registro del titolare del trattamento, in quanto scelte che spettano a quest’ultimo e non al Responsabile esterno.

Si ritiene invece che l’obbligo in capo al Responsabile di descrivere le categorie dei trattamenti effettuati per conto del titolare renda pressoché necessaria una descrizione degli interessati e delle categorie di dati coinvolti nonché dei destinatari a cui i dati saranno comunicati; ne consegue che la differenziazione delle due tipologie di registro, del titolare e del responsabile, su questi punti è meno netta.

Entrambi i registri prevedono come obbligatoria “la descrizione generale delle misure di sicurezza tecniche ed organizzative di cui all’art. 32.1”.

Questo è probabilmente il vero fulcro del registro dei trattamenti, in quanto la sua implementazione implica la necessità di procedere ad un’analisi dettagliata dei rischi in relazione a vari fattori, che possono variare dal contesto in cui le attività di trattamento sono svolte, alle modalità del trattamento, agli strumenti utilizzati ed al luogo di conservazione.

L’obbligo di descrivere le misure tecniche ed organizzative e di giustificare la scelta delle une piuttosto che di altre implica la valutazione di tutti i fattori di possibile rischio ed una presa di coscienza del perché sia più corretto adottare determinate scelte organizzative.

Il registro dei trattamenti può essere considerato l’“erede” del DPS previsto dal Codice Privacy D.Lgs 196/03.

Mentre però quest’ultimo è stato sempre “vissuto” come un inutile adempimento burocratico, il Registro dovrebbe essere gestito come un utile strumento operativo per mappare i flussi di dati all’interno di un’organizzazione; un vero e proprio strumento di lavoro che per assolvere appieno alla sua funzione deve essere mantenuto aggiornato ed attuale.

Proprio per questo motivo il Gruppo di lavoro WP29 nelle linee guida sul DPO ha chiarito che è possibile sia il DPO, ove presente, a tenere in concreto il registro dei trattamenti sotto la responsabilità del titolare e del responsabile del trattamento.

avv. Silvia Stefanelli

STUDIO LEGALE STEFANELLI&STEFANELLI