Il 25 maggio è diventato definitivamente applicabile in via diretta in tutti i Paesi Ue il nuovo Regolamento europeo 2016/679 in materia di protezione dei dati personali (in inglese GDPR), che tra le altre cose istituisce l’obbligo di tenere un Registro delle attività di trattamento, in forma cartacea o anche in formato elettronico, a cura del titolare e del responsabile del trattamento ai sensi dell’articolo 30. Uno strumento ritenuto indispensabile per tenere traccia delle operazioni effettuate dall’organizzazione sui dati personali degli interessati ed essere in grado di valutare gli obblighi normativi applicabili, nonché di attuare un modello di governo della privacy adeguato al proprio contesto organizzativo (anche sistema di gestione privacy).
Infatti, l’individuazione puntuale dei trattamenti di dati personali effettuati, in relazione alle attività svolte dalla propria organizzazione, rappresenta il primo passo per poter comprendere gli obblighi a cui è necessario rispondere (ad esempio, raccolta del consenso, designazione responsabili esterni, ecc.), individuare le responsabilità ed i compiti di tutela all’interno dell’organizzazione e sviluppare correttamente le attività di valutazione della necessità e proporzionalità del trattamento, quando ricade l’obbligo di effettuare la DPIA (ai sensi dell’articolo 35), come anche dei rischi per la protezione dei dati personali e dei possibili impatti, o danni, che possono essere causati agli interessati in caso di violazione degli stessi.
Cosa deve contenere il Registro dei trattamenti
La norma non definisce un modello di Registro puntuale, ma indica le informazioni essenziali che devono essere in esso contenute, come: il nome e i dati di contatto del titolare del trattamento, e (ove applicabile) del contitolare del trattamento e del responsabile della protezione dei dati; le finalità del trattamento; una descrizione delle categorie di interessati e delle categorie di dati personali; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; (ove possibile) i termini ultimi previsti per la cancellazione delle diverse categorie di dati; (ove possibile) una descrizione generale delle misure di sicurezza tecniche e organizzative.
Come qualsiasi atto interpretativo, questo ha fatto sì che modelli diversi di Registro dei trattamenti siano stati sviluppati, anche da software house, ed adottati da organizzazioni pubbliche e private, differenziandosi sia per le tipologie di informazioni censite che per le categorie di informazioni previste in aggiunta a quelle indicate dall’articolo 30 del Regolamento.
Individuazione delle attività soggette a raccolta dati
La principale difficoltà riscontrata per i titolari e i responsabili del trattamento è quella di individuare le attività di business effettuate dalla propria organizzazione che presuppongono la raccolta ed elaborazione di dati personali e, successivamente, di distinguerli in base alle finalità perseguite, alla base giuridica che ne legittimano il trattamento ed alle categorie di interessati coinvolti. Questo è presumibile sia dovuto, in primo luogo, alle competenze del personale delegato dal titolare o dal responsabile del trattamento ad effettuare le attività di censimento dei trattamenti, in quanto, rispondono, come ovvio, più alla conoscenza del proprio business piuttosto che alle attività effettuate dall’organizzazione nei termini e definizioni previste dalla disciplina in materia di protezione dei dati personali.
Altro fattore di differenziazione tra i modelli di Registro dei trattamenti, che sono stati o anche verranno adottati, riguarda l’interpretazione degli scopi di utilizzo dello strumento, dove spesso viene interpretato come mero obbligo formale. Infatti, l’indicazione, ad esempio, dello strumento cartaceo o informatico utilizzato per ciascun trattamento censito può risultare un’importante informazione nelle fasi successive di valutazione dei rischi per la sicurezza del trattamento, come anche della necessità di designare un fornitore di servizi di gestione e manutenzione dei sistemi IT come responsabile esterno dei trattamenti ai sensi dell’articolo 28 del Regolamento.
Utilità del Registro per chi non è soggetto all’obbligo
Pertanto, risulta importante individuare le categorie di informazioni che devono essere raccolte all’interno del Registro dei trattamenti, ricomprendendo sia quelle previste dall’articolo 30 del Regolamento, che quelle necessarie ai fini del processo di valutazione ed individuazione degli obblighi previsti dal Regolamento per ciascun trattamento. A ragione di ciò, l’utilità del Registro dei trattamenti riguarda anche quelle imprese o organizzazioni con meno di 250 dipendenti per cui non ricorre l’obbligo di redigerlo, in quanto, solo la conoscenza puntuale delle operazioni e dei termini dei trattamenti effettuati possono consentire di sviluppare un processo di adeguamento coerente e corretto.
In particolare, prevedere nel modello di Registro la necessità di fornire una descrizione del trattamento di dati personali risulta utile al fine di comprenderne in maniera più estesa le finalità perseguite e le modalità con cui viene effettuato il trattamento, nonché altri aspetti importanti (ad esempio, strumenti utilizzati, possibili destinatari a cui possono essere comunicati i dati, ecc.) che possono concorrere alla successiva valutazione degli obblighi applicabili. Un esempio per comprendere la modalità con cui descrivere il trattamento è rappresentato dalla quantità e tipologia di informazioni fornite, le quali dovrebbero essere in grado di consentire la stesura di un’eventuale un’Informativa del trattamento, soprattutto, per quanto riguarda l’indicazione specifica ed esplicita delle finalità e della sua base giuridica (ai sensi articolo 13 e 14, comma 1, lettera c)). Al riguardo, partire dall’individuazione e descrizione dei servizi e processi di business per cui vengono raccolti ed elaborati i dati personali può risultare fondamentale per identificare e comprendere i trattamenti di dati personali derivanti e le finalità da questi perseguite.
Indicazione di liceità e base giuridica
Altre importanti categorie di informazioni da prevedere nel modello di Registro sono sicuramente il criterio di liceità e la base giuridica che ne legittima il trattamento. Infatti, come recita il Regolamento, il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle condizioni di cui all’articolo 6, con l’indicazione di legge, norma o regolamento prevista dal diritto dell’Unione o dello Stato membro che lo rende legittimo. Da tener in conto che gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, con riguardo ai trattamenti effettuati per adempiere ad un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito sempre il titolare, determinando disposizioni specifiche e altre misure atte a garantire un trattamento lecito e corretto. Pertanto, l’esatta indicazione della base giuridica rappresenta il criterio di legittimità delle finalità perseguite dal trattamento di dati personali, per cui il Regolamento ne richiede, inoltre, di informare gli interessati ai sensi degli articoli 13 e 14.
Ruoli e compiti all’interno dell’organizzazione
La struttura o funzione organizzativa responsabile del servizio o processo per cui vengono raccolti i dati personali potrebbe essere un’ulteriore informazione da censire nel Registro, a maggior ragione se individuata come Responsabile “interno” del trattamento ai sensi dell’articolo 29 del D.lgs. 196/03. Tale informazione può risultare molto utile per attuare un modello di gestione della privacy coerente con quello adottato in precedenza, ma soprattutto per assegnare i ruoli e i compiti che ciascun attore all’interno dell’organizzazione deve svolgere per mettere in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento. Quest’ultimo non prevede esplicitamente la figura di Responsabile interno all’organizzazione, ma sicuramente si può affermare che in base al ruolo ed alle responsabilità lavorative che ciascun individuo ha all’interno dell’organizzazione corrispondono altresì responsabilità e compiti differenti per la protezione dei dati personali e la tutela dei diritti e libertà degli interessati. Ad esempio, il Regolamento prevede la figura di persona autorizzata (Articolo 29) che, nell’ambito dei trattamenti effettuati, agisce in base alle istruzioni fornite dal titolare. Di conseguenza, è possibile prevedere profili di persone autorizzate differenti, in base al ruolo e alle responsabilità lavorative che assume all’interno dell’organizzazione e nell’ambito di uno o più trattamenti specifici.
Individuazione delle tipologie di atti e documenti
Individuare, successivamente, tutti le tipologie di atti o documenti utilizzati da ciascun trattamento censito nel Registro rappresenta un’indispensabile informazione per comprendere eventuali obblighi di conservazione, derivati anche dalla normativa nazionale, come anche le misure da adottare per consentire che le sole persone autorizzate possono averne accesso (Articolo 35 del D.lgs. 196/03).
Sebbene oggi possiamo contare su un’accelerazione nei processi di trasformazione digitale, molti trattamenti di dati personali vengono effettuati prevalentemente attraverso l’utilizzo di strumenti cartacei, come nel settore della pubblica amministrazione e sanitario. Pertanto, la definizione dello strumento cartaceo come i tempi e le modalità di conservazione possono essere rintracciate in norme previste dall’ordinamento giuridico nazionale e di settore.
A titolo esemplificativo, la Circolare n. 61 del 19 dicembre 1986 N. 900.2/ AG. 464/260 definisce che le cartelle cliniche, unitamente ai relativi referti, vanno conservate illimitatamente, poiché rappresentano un atto ufficiale indispensabile a garantire la certezza del diritto, oltre a costituire preziosa fonte documentaria per le ricerche di carattere storico sanitario. Inoltre, specifica che la conservazione vada effettuata da prima in un archivio corrente e successivamente, trascorso un quarantennio, in una separata sezione di archivio, istituita dalla struttura sanitaria ai sensi dell’art. 30 del D.P.R. 30.6.1963 n. 1409.
Strumenti elettronici e rischi di sicurezza
Pertanto, oltre all’indicazione della tipologia di strumento cartaceo utilizzato dal trattamento, riveste estrema importanza anche il luogo ed i mezzi di conservazione atti a prevenire accessi non autorizzati o la perdita accidentale.
Allo stesso modo, se non con maggiore rilevanza per le minacce a cui possono essere esposti, gli strumenti elettronici (ai sensi dell’articolo 4, comma 3, lettera b) del D.lgs. 196/03) utilizzati da ciascun trattamento rappresentano un’informazione essenziale per individuare, successivamente, i rischi di sicurezza a cui possono essere esposti i dati personali, nonché le responsabilità riguardo la loro gestione e manutenzione. Infatti, dove l’utilizzo e la conservazione dei documenti è spesso in carico alla struttura organizzativa responsabile del trattamento (ad esempio, il reparto ospedaliero che redige la cartella clinica del paziente), gli strumenti elettronici, o meglio informatici, sono spesso centralizzati e di competenza di strutture dedicate, come la Gestione dei Sistemi Informativi, o esterne all’organizzazione e riguardanti fornitori di servizi e soluzioni tecnologiche.
L’importanza di indicare nel Registro gli strumenti elettronici utilizzati e metterli in relazione con il relativo trattamento di dati personali che li utilizza si ritrova anche nella gestione del ciclo di vita del trattamento, perché possono cambiare i fornitori di servizi o le tecnologie utilizzate (ad esempio, nuove applicazioni, servizi cloud, ecc.), che possono avere impatti sulla sicurezza dei dati trattati. Pertanto, nelle attività periodiche di aggiornamento del Registro e delle misure adottate (Articolo 24, comma 1) sarà più facile individuare quei cambiamenti che richiedono di rivedere gli adeguamenti effettuati in precedenza per rispondere agli obblighi previsti dal Regolamento, tra cui la valutazione di impatto per i diritti e le libertà degli interessati in ragione all’adozione di nuove tecnologie (Linee guida Working Part 29, wp248)
In conclusione, il Registro non dovrebbe contenere solo le categorie di informazioni previste dall’articolo 30 del Regolamento, ma anche tutte quelle informazioni necessarie ed indispensabili per individuare e valutare gli obblighi previsti dal quadro normativo di riferimento e i rischi a cui possono essere esposti i dati personali in funzione degli strumenti utilizzati per il loro trattamento e che possono causare potenziali danni, sia materiali che immateriali, agli interessati.