L’estate è trascorsa, perlomeno quella di noi professionisti, nell’attesa dell’ormai “mitico” “decreto del Governo che sarà pubblicato in G.U.” , che dovrebbe chiarire i molti dubbi in merito all’applicazione del GDPR sul suolo italiano.
Nel frattempo, prosegue l’applicazione pratica delle misure previste dal GDPR da parte delle imprese e, nel confronto con clienti e colleghi, si evidenziano ancora ancora molti spazi interpretativi da colmare con le giuste soluzioni.
Uno dei quesiti che mi è stato posto durante l’estate è se un Responsabile del trattamento che svolge la medesima tipologia di trattamenti per tutti i propri clienti (pensiamo, ad esempio, ad un centro elaborazione paghe):
- debba redigere un Registro per ciascun cliente oppure
- può tenere un unico Registro, elencando i nomi di tutti i propri clienti nella sezione dedicata al nominativo del Titolare del trattamento, semplificando, così, l’onere a suo carico.
Non è la prima volta che mi soffermo sul Registro dei trattamenti previsto dall’art. 30 del GDPR (uno per tutti, il mio articolo di febbraio 2018 “come si predispone il Registro dei trattamenti“), data la sua importanza e centralità come strumento destinato (anche ma non solo) all’accountability prescritta dal GDPR.
Ricordo brevemente che l’obbligo di tenuta del Registro grava sul Titolare del trattamento e sul Responsabile del trattamento e permette di assolvere l’onere probatorio di documentazione della conformità della propria organizzazione alle prescrizioni del GDPR.
E’ sicuramente opportuno e utile, a mio avviso, che anche chi non è normativamente obbligato alla tenuta del Registro provveda, comunque, a dotarsi di tale strumento, dato che il Registro dei trattamenti permette di:
a) sviluppare un’idonea analisi del rischio;
b) descrivere l’organizzazione aziendale sotto il profilo delle attività di trattamento a fini di informazione, consapevolezza e condivisione interna;
c) pianificare e controllare la sicurezza di dati e banche di dati, garantendone la loro integrità, riservatezza e disponibilità.
Anche il nostro Garante della Protezione dei Dati, nella sua “Guida all’applicazione del GDPR” (che potete leggere, se ancora non lo avete fatto, cliccando qui), sostiene che “il registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali” e suggerisce a tutti i Titolari, nessuno escluso, di adottare tale Registro.
In merito al quesito che mi è stato posto, occorre, innanzitutto, osservare che l’art. 30, comma 2, GDPR prescrive che “ogni Responsabile del trattamento (…) tiene un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento” (potete leggere il testo dell’articolo nella sezione “Documenti utili” del Blog, cliccando qui).
Se adottassimo un’interpretazione un po’ rigida e formalistica della norma dovremmo, quindi, propendere per la soluzione “tanti Titolari, tanti Registri”.
Questa soluzione sembra, a mio avviso, un po’ eccessiva quando, di fatto, i trattamenti svolti per conto di più Titolari sono del medesimo tipo e riguardano le medesime categorie di attività.
Già prima dell’entrata in vigore del GDPR, Assoftware si era posta un quesito simile con riferimento alla posizione delle imprese di categoria produttrici di software, concludendo che le software house possono semplificare la struttura del proprio Registro dei trattamenti mediante “semplice indicazione delle categorie di trattamenti effettuati dalla software house in relazione a ciascun prodotto o servizio erogato“.
In questo caso, la semplificazione veniva giustificata “in considerazione del fatto che le software house possono svolgere il ruolo di responsabili del trattamento per moltissimi titolari e diverrebbe, dunque, impossibile gestire il Registro tenendo conto di ogni tipologia di trattamento svolto per ciascun cliente” (per maggiori approfondimenti sulle posizioni di Assosoftware su questo ed altri temi relativi all’applicazione del GDPR, richiamo il mio articolo “Software House e GDPR“).
A mio parere, la soluzione di un unico Registro dei trattamenti anche in presenza di più Titolari è possibile se:
- le categorie di attività relative al trattamento sono effettivamente le medesime per tutti i Titolari, senza alcuna differenziazione di genere, categoria, quantità e qualità dei dati trattati;
- il Registro dei trattamenti conserva la sua finalità informativa in modo chiaro e trasparente, senza creare ambiguità o difficoltà di analisi;
- non vi sono altri motivi di opportunità che sconsigliano questa soluzione.
In merito all’ultimo punto, pensiamo, ad esempio, ad un Titolare del trattamento che, nell’ambito dei suoi poteri di vigilanza e controllo sul Responsabile del trattamento, decida di svolgere un audit nei suoi confronti per verificare se quest’ultimo adempia alle prescrizioni di legge come dichiarato e che, nel verificare la tenuta del Registro dei trattamenti, venga a conoscenza del fatto che il suo fornitore svolge attività anche per i suoi diretti concorrenti sul mercato.
Per rispondere, pertanto, alla domanda posta nel titolo dell’articolo, possiamo affermare che:
- non avere un Registro dei trattamenti è sbagliato anche quando non si è tenuti per legge ad adottarlo, considerata l’oggettiva utilità dello strumento;
- avere un Registro è sicuramente un’indice importante di conformità alla normativa;
- avere più Registri dipende da scelte di opportunità connesse ad una valutazione a 360 gradi della propria posizione, da valutarsi caso per caso, possibilmente con l’aiuto di un valido professionista che possa ponderare in modo appropriato costi (presenti, futuri ed anche imprevisti) e benefici di questa opzione.