Come si predispone il Registro dei trattamenti?

Più di un cliente mi ha chiesto come deve essere strutturato il Registro dei trattamenti (rectius, delle attività di trattamento) previsto dall’art. 30 del GDPR; quali requisiti deve rispettare e su chi incombe l’onere di verificare la sua regolare e corretta tenuta.

Vediamo, quindi, in concreto, come le imprese devono procedere per rispettare i requisiti di legge.

E’ opportuno premettere che il Registro delle attività di trattamento non è un obbligo che incombe su tutti in quanto il GDPR prevede l’esenzione dalla tenuta di tale documento per tutte le aziende che non raggiungono la soglia dei 250 dipendenti (salvo ipotesi particolari di rischio per le libertà individuali previste all’art. 30, comma 5, GDPR).

L’obbligo di tenuta del Registro grava sul Titolare del trattamento (che lo può, comunque, delegare al Responsabile) e permette di assolvere all’onere probatorio di documentazione della conformità della propria organizzazione alle prescrizioni di legge.

La tenuta del Registro, anche quando non obbligatoria, potrebbe, pertanto, rivelarsi utile ed opportuna per:

1. sviluppare un’idonea analisi del rischio;
2. descrivere l’organizzazione aziendale sotto il profilo delle attività di trattamento a fini di informazione, consapevolezza e condivisione interna;
3. costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati, per garantirne la loro integrità, riservatezza e disponibilità.

Il Garante, nella sua Guida all’applicazione del GDPR, afferma che “il registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali” e suggerisce a tutti i Titolari, a prescindere dalle dimensioni dell’organizzazione, di valutare seriamente l’adozione di tale Registro.

In concreto, il Registro dei trattamenti – che può essere cartaceo o in formato elettronico (benché la versione elettronica sia da preferire per evidente maggiore duttilità) – prevede il seguente contenuto minimo obbligatorio:

1. il nome e i dati di contatto del Titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del Titolare e del DPO;
2. le finalità del trattamento;
3. la descrizione delle categorie di interessati e delle categorie di dati personali;
4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
5. se presenti, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa la loro specifica individuazione;
6. dove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
7. una descrizione generale delle misure di sicurezza tecniche e organizzative così come richieste dall’articolo 32 del GDPR.

Per redigere un valido Registro dei trattamenti sarà opportuno creare un template in forma tabellare dove, per ogni trattamento, andranno inserite tutte le informazioni richieste:

• scopo del trattamento;
• ufficio/funzione competente;
• finalità del trattamento;
• tipo di dati;
• categorie di interessati;
• consenso (ove esistente);
• informativa (se presente);
• tempo di conservazione dei dati;
• misure di sicurezza tecniche e organizzative;
• destinatari delle comunicazioni dei dati;
• Paesi terzi e/o organizzazioni internazionali;
• garanzie adeguate per il trattamento (se necessarie).

Così strutturato, il Registro diviene, quindi, uno strumento importante per mappare i flussi di dati all’interno dell’organizzazione aziendale, anche in considerazione del fatto che può essere implementato, aggiungendo ulteriori voci in altre colonne, secondo necessità, indicando, ad esempio:

• quali database contengono le informazioni trattate;
• quali software le processano;
• quali server sono coinvolti;
• l’indicazione della necessità o meno, per un determinato trattamento, di essere sottoposto a una Valutazione d’impatto sulla protezione dei dati (DPIA) e se questa è stata fatta e quando è prevista una nuova valutazione.

E’ comunque importante comprendere che il Registro è un documento in divenire, non statico, che deve essere costantemente aggiornato e mantenuto attuale (diversamente da certi DPS del passato che ho avuto modo di esaminare, tanto perfetti nella forma quanto inutili nella sostanza).

Per garantire questo risultato occorrerà, quindi, individuare all’interno dell’organizzazione aziendale i soggetti che hanno la più ampia visione delle attività di trattamento dell’impresa, coinvolgendoli nella redazione, implementazione ed aggiornamento del Registro, sensibilizzandoli adeguatamente sull’importanza di tale attività.

Considerata la natura dinamica del Registro, un semplice foglio excel, per quanto valido, non potrà probabilmente offrire – per intrinseci limiti strutturali – la necessaria elasticità di adattamento nel tempo e, quindi, sarà assolutamente da prediligere, compatibilmente con i costi, un prodotto software specificamente progettato per svolgere questa cruciale funzione di documentazione dei trattamenti.