Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

GDPR e il Registro dei Trattamenti: un’opportunità da cogliere

pittogramma Zerouno

Metodologie

GDPR e il Registro dei Trattamenti: un’opportunità da cogliere

04 Dic 2017

di Luca Galetti, Andrea Reghelin

Molte organizzazioni stanno affrontando in questo periodo il percorso di adeguamento al Regolamento Europeo (“GDPR”). Tra le novità di maggior rilievo introdotte dalla normativa vi è sicuramente l’obbligo della tenuta del Registro dei Trattamenti.

Il Registro dei Trattamenti è una delle principali novità del GDPR. Senza scendere nei dettagli sui contenuti del registro, si vuole qui sottolineare come la predisposizione del medesimo non debba essere considerata alla stregua di un nuovo adempimento burocratico, ma come strumento che consente una gestione più efficace della data protection all’interno dell’organizzazione, oltre a rappresentare un elemento imprescindibile per l’individuazione e la realizzazione di un numero significativo di azioni inserite nell’Action Plan per l’adeguamento al GDPR. Difatti, tale nuovo adempimento consente alle singole organizzazioni di rispondere a una pluralità di finalità, tra cui:

  • tenere traccia delle operazioni di trattamento effettuate all’interno della singola organizzazione;
  • costituire uno strumento operativo di lavoro mediante il quale censire in maniera ordinata le banche dati e gli altri elementi rilevanti per assicurare un efficace «ciclo di gestione» dei dati personali;
  • dimostrare di aver adempiuto alle prescrizioni del Regolamento, nell’ottica del principio di “accountability”.

Chi è obbligato alla tenuta del registro dei trattamenti

La tenuta del registro dei trattamenti, se interpretata in questo modo, potrebbe essere utile persino alle organizzazioni per le quali non costituisca un obbligo. A tal proposito è proprio l’art. 30, co. 5, del GDPR ad esonerare dall’obbligo di tenuta del registro dei trattamenti le imprese con meno di 250 dipendenti a meno che: “il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.

A conferma dell’opportunità generale di dotarsi del registro dei trattamenti, si possono considerare le raccomandazioni indicate nelle Linee Guida al regolamento, pubblicate dal Garante per la Protezione dei dati personali, in cui viene così espressamente previsto: “la tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta”.

Per quanto attiene ai soggetti obbligati alla tenuta del registro dei trattamenti, deve precisarsi che:

  • il co. I dell’art. 30 disciplina il registro dei trattamenti del titolare, stabilendo che ogni titolare del trattamento e, ove applicabile, il suo rappresentante, tengono un registro delle attività di trattamento svolte sotto la propria responsabilità;
  • il co. II dell’art. 30 disciplina invece il registro dei trattamenti del responsabile, stabilendo che ogni responsabile del trattamento e, ove applicabile, il suo rappresentante, tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un Titolare del trattamento.

I due registri presentano delle differenze dal punto di vista contenutistico, avendo il primo una portata più ampia che si estende all’indicazione delle finalità del trattamento, delle categorie di interessati e delle categorie di dati personali, delle categorie di destinatari a cui i dati personali sono stati o saranno comunicati (compresi i destinatari di paesi terzi od organizzazioni internazionali), dei termini ultimi previsti per la cancellazione delle diverse categorie di dati (ove possibile).

Figura 1 – Registro dei trattamenti ampio
Fonte: P4I

Modalità di costruzione del Registro

Non è disciplinata a livello normativo una regola generale che stabilisca le modalità attraverso le quali costruire il registro dei trattamenti: l’art. 30 del GDPR, infatti, si limita ad indicare quali sono gli elementi che il registro deve necessariamente contenere. Il modello di registro consigliato integra le informazioni minime richieste dal Regolamento con elementi aggiuntivi in grado di trasformare il registro in un vero e proprio asset aziendale, mantenendo un collegamento diretto con i principali «oggetti aziendali» (es. mappa dei processi). Nello specifico, si consiglia di inserire all’interno del registro i seguenti elementi:

  • processi/macro-attività, per poter inquadrare i trattamenti di dati personali all’interno delle attività svolte da ciascuna Unità Organizzativa e facilitarne la comprensione e l’aggiornamento da parte del relativo responsabile;
  • base giuridica e modalità di raccolta del consenso, per facilitare la predisposizione dell’informativa da consegnare all’interessato. Al riguardo, si ricorda che l’art. 13 co. I l. c) del GDPR ricomprende la base giuridica del trattamento tra gli elementi che devono essere contenuti all’interno dell’informativa;
  • referente interno e categorie di soggetti autorizzati al trattamento, per fornire indicazioni utili in merito a persone che, limitatamente ai trattamenti di propria competenza, avranno dei compiti esecutivi all’interno del modello di funzionamento;
  • responsabili esterni del trattamento, per individuare tutti i soggetti terzi che trattano dati personali per conto del titolare del trattamento e che dovranno essere nominati responsabili esterni, richiamando le tipologie di trattamento consentite;
  • modalità di trattamento dei dati, per poter mappare con esattezza, attraverso l’elencazione dei soli applicativi utilizzati per il trattamento dei dati personali, le misure di sicurezza implementate/da implementare, nonché per poter condurre efficacemente la valutazione dei rischi.

In conclusione, una corretta implementazione del Registro dei Trattamenti consentirebbe di avere un supporto importante per il governo della data protection nell’ottica di garantire l’accountability. Tale necessità di comprovare la conformità al Regolamento, adottando misure tecniche e organizzative adeguate, prescinde dalle dimensioni dell’organizzazione ed in tale contesto il registro diventa uno strumento utile per tutte le organizzazioni.

Luca Galetti
Senior Consultant di P4I

Andrea Reghelin
Associate Partner di P4I

Argomenti trattati

Approfondimenti

G
GDPR
GDPR Countdown

Articolo 1 di 4