Privacy – Obbligo di tenuta del registro delle attività di trattamento

All’art. 30, il Regolamento Europeo 2016/679 del 27 aprile 2016 prescrive l’obbligo per il titolare del trattamento, nonché per il responsabile del trattamento qualora nominato, di tenere un registro delle attività di trattamento.

Occorre premettere che tale obbligo è previsto per i seguenti casi:

  • l’impresa o l’organizzazione ha più di 250 dipendenti;
  • il trattamento effettuato dall’impresa o dall’organizzazione può presentare un rischio per i diritti e le libertà dell’interessato;
  • il trattamento effettuato dall’impresa o dall’organizzazione non è occasionale;
  • il trattamento effettuato dall’impresa o dall’organizzazione include dati di cui all’art. 9, paragrafo 1 (categorie particolari di dati personali ed in particolare i dati che rilevano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, dati biometrici intesi a identificare in modo univoco una persona, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale di una persona);
  • il trattamento effettuato dall’impresa o dall’organizzazione di dati personali relativi a condanne penali o a reati di cui all’art. 10.

Invero, il Garante della privacy italiano, nell’evidenziare l’importanza e la funzione di tale documento, ha precisato che “la tenuta del registro dei trattamenti non costituisce un adempimento formale, bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro
e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”.

Ciò premesso, occorre innanzitutto chiarire che cosa si intende per “attività – operazione di trattamento“, definizione che occorre distinguere da quella di “trattamento“.

Con mero intento esemplificativo e non certo esaustivo, l’art. 4 del Regolamento definisce infatti trattamento “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicabile a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Quindi definiremo “trattamento” l’attività, di qualsiasi genere, svolta su dati personali, mentre indicheremo “attività – operazione di trattamento” la tipologia di intervento che viene svolta sui dati personali e non necessariamente il singolo intervento.

Chiarita quindi la differenza tra “trattamento” ed “attività di trattamento”, ad avviso della scrivente, per la compilazione del registro di cui all’art. 30 è possibile partire dall’analisi di fonti diverse e cioè:

  1. dalle finalità del trattamento;
  2. dalle attività di trattamento;
  3. dai dati elementari presenti negli archivi, individuando successivamente quelle che sono le attività e finalità per le quali tali dati sono trattati.

In ogni caso, il registro dovrà indicare tutte le informazioni richieste nell’art. 30: a tal proposito si segnala che l’Autorità italiana, uniformandosi a scelte già intraprese dal Garante francese e belga, sta valutando di mettere a disposizione un modello di registro dei trattamenti sul proprio sito istituzionale, modello che potrà, in ogni caso, qualora ritenuto necessario, essere integrato con ulteriori informazioni dai titolari e/o dai responsabili.

In particolare, il titolare del trattamento e, ove applicabile, il suo rappresentante dovranno dare le seguenti informazioni:

  1. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del tratamento e del responsabile della protezione dei dati (DPO – Data Protection Officer);
  2. le finalità del trattamento;
  3. una descrizione delle categorie degli interessati e delle categorie di dati personali;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati compresi i destinatari di paesi terzi od organizzazioni internazionali;
  5. ove possibile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o l’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49, la documentazione di adeguate garanzie;
  6. ove possibile, i termini ultimi previsti per la cancella zione delle diverse categorie di dati;
  7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, paragrafo 1.

Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante dovranno tenere un “registro di tutte le categorie di attività relative al trattamento svolte per conto del titolare del trattamento” contenente:

  1. il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile per la protezione dei dati;
  2. le categorie dei trattamenti effettuate per conto del titolare del trattamento;
  3. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o l’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49, la documentazione di adeguate garanzie;
  4. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, paragrafo 1;

Tali registri sono tenuti in forma scritta, anche in formato elettronico.

Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento e del responsabile del trattamento, mettono tali registri a disposizione dell’autorità di controllo.

*****

Semplificando possiamo osservare che esistono le seguenti differenze contenutistiche tra il registro tenuto dal titolare del trattamento e il registro tenuto dal responsabile del trattamento:

REGISTRO DEL TITOLARE

REGISTRO DEL RESPONSABILE

a) Il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati

a) Il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati

b) le finalità del trattamento
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento
c) una descrizione delle categorie degli interessati e delle categorie di dati personali

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49, la documentazione delle garanzie adeguate

c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49, la documentazione delle garanzie adeguate

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, paragrafo 1.

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, paragrafo 1.

Dalla tabella che precede possiamo quindi osservare che i punti sub b), c), d) ed f) elencati nel registro del Titolare del trattamento non sono previsti nel registro del Responsabile del trattamento ed il punto sub b) presente nel registro del Responsabile del trattamento non è invece specificato nel registro del Titolare del trattamento.

Si tratta in realtà di differenze che devono considerarsi solo apparenti e quindi superabili all’atto pratico della redazione del Registro.

Infatti, sebbene i punti sub b), c) e d) vengano previsti dall’art. 30 del Regolamento esclusivamente per il registro del titolare del trattamento, in verità, pare ragionevole interpretare che, di fatto, dovranno riferirsi anche alla compilazione del registro del responsabile del trattamento, in quanto sostanzialmente risultano accorpati nell’art. 30, comma 2 al punto b) “categorie dei trattamenti effettati per conto di ogni titolare del trattamento” che dovrà fare necessariamente riferimento anche alla finalità del trattamento, alle categorie di interessati, alle categorie di dati personali e alle categorie di destinatari a cui i dati personali sono stati o saranno comunicati, categorie che potranno essere individuate direttamente nell’atto di nomina del responsabile del trattamento.

Ulteriore differenza sussiste per il punto f) indicato dall’art. 30 comma 1 solo per il registro del titolare del trattamento (“ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati”): tale discrepanza è, in verità, dovuta al fatto che l’atto di nomina del responsabile del trattamento dovrà indicare proprio le modalità ed i termini per la cancellazione dei dati.

In entrambi i casi, invece, sia il titolare sia il responsabile del trattamento dovranno indicare “ove possibile, una descrizione generale delle misure di sicurezza, tecniche ed organizzative di cui all’art. 32 paragrafo 1″, in quanto nell’atto di nomina del responsabile sancirà l’obbligo per quest’ultimo di “adottare tutte le misure richieste ai sensi dell’art. 32“, ma consentirà a quest’ultimo di operare con un certo margine di discrezionalità e quindi tali misure potranno essere anche differenti.

Concludendo, pare ancora opportuno precisare che la ratio sottesa alla previsione del registro delle attività di trattamento sia quella di far censire ai soggetti attivi (titolare e responsale del trattamento) le banche dati e i trattamenti in essere, nonché quella di conservare in maniera ordinata, verificabile anche da terzi (Autorità di controllo) l’adozione delle misure adeguate ed efficaci e quindi il rispetto del principio di responsabilizzazione sancito dal Regolamento.