Pochi giorni fa il nostro Garante per la Protezione dei dati Personali ha pubblicato sul proprio sito alcune istruzioni sul Registro dei trattamenti, sotto forma di FAQ (che potete reperire anche nella sezione della documentazione utile del Blog, cliccando qui).
Già in precedenti occasioni mi sono soffermato sul Registro dei trattamenti (“Come si predispone il registro dei trattamenti“; “Registro dei trattamenti: chi ne può fare a meno?“), sottolineando che redigere il Registro dei trattamenti costituisce uno dei principali elementi di accountability del Titolare, dato che si tratta dello strumento più idoneo per fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione.
Inoltre, il Registro dei trattamenti è il presupposto indispensabile per svolgere l’attività di risk assessment richiesta dal GDPR al Titolare.
Come sappiamo, l’art. 30 del GDPR prescrive che sono tenuti a redigere il Registro dei trattamenti tutte le imprese o le organizzazioni con almeno 250 dipendenti.
Tale indicazione quantitativa, però, non deve trarre in inganno perché, spesso, l’obbligo sussiste anche sotto la soglia dei 250 dipendenti: ciò accade quando, ad esempio, i trattamenti possono presentare rischi, anche non elevati, per i diritti e le libertà delle persone o quando il Titolare effettua trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.).
In relazione a questo aspetto, nelle proprie FAQ, il Garante ha precisato, tra le altre cose, che sono tenuti a redigere il Registro dei trattamenti:
- esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
- liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
- associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (per esempio, organizzazioni di tendenza; associazioni a tutela di soggetti vulnerabili, perché malati o persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
- il condominio, quando tratta “categorie particolari di dati” (delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
Il Garante autorizza, comunque, le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del Registro dei trattamenti, a redigerlo in forma semplificata, limitandosi a indicare nel Registro le sole specifiche attività di trattamento che danno origine all’obbligo.
A mio parere, così posto, l’obbligo di tenuta del Registro per le micro-imprese diventa di fatto un adempimento puramente formale, perché questi imprenditori dovranno predisporre e custodire un documento composto di pochissimi elementi, con il verosimile effetto di una proliferazione di documenti “copia/incolla” tutti uguali, custoditi in un cassetto solo per avere un foglio da esibire in caso di controllo.
Tutto il contrario, insomma, della ratio dell’art. 30 GDPR, finalizzata a far svolgere al Titolare una seria analisi dei rischi connessi ai propri trattamenti.
Per quanto riguarda le modalità di conservazione e di aggiornamento, il Garante ha precisato che “Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute. Il Registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo: “- scheda creata in data XY”; “- ultimo aggiornamento avvenuto in data XY”.
Anche in questo caso, le istruzioni del Garante lasciano un po’ perplessi, soprattutto per la genericità di quell’inciso sulla data di redazione e di aggiornamento, che deve essere apposta sul documento “in maniera verificabile”.
Cosa si intende con questa espressione? Basterà un documento in formato .pdf? Occorrerà una marca temporale? La copia cartacea dovrà essere vidimata da qualche autorità o ufficio (magari postale, come si faceva per il vecchio DPS) perché possa ritenersi possedere il requisito della “data verificabile”?
Personalmente tengo traccia delle variazioni nei trattamenti svolti dai miei clienti nel tempo (e, di conseguenza, delle misure di sicurezza applicate ai singoli asset coinvolti, anche con finalità di risk assessment) attraverso uno specifico software realizzato da una giovane società di esperti programmatori che hanno tenuto conto dell’importanza di avere una visione dinamica del Registro: il software, cioè conserva – in modo cronologico, verificabile, attendibile e non alterabile – ogni modifica intervenuta nel tempo, revisione dopo revisione, così da poter sempre reperire la situazione esistente in un dato momento storico.
Non tutti, però, potranno avvalersi di strumenti del genere; penso, ad esempio, ai piccoli imprenditori con uno/due dipendenti: come faranno questi soggetti ad essere certi che la modalità prescelta per la tenuta del Registro sarà ritenuta adeguata dal Garante sotto il profilo della verificabilità della datazione?
Altro punto interessante è quello del Registro dei Responsabili del trattamento.
Il Garante ha precisato, tra le altre cose, che “nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti titolari (es. società di software house), le informazioni di cui all’art. 30, par. 2 del RGPD dovranno essere riportate nel registro con riferimento a ciascuno dei suddetti titolari. In questi casi il responsabile dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce (…)“.
Anche questa istruzione del Garante non mi convince fino in fondo perché, come illustrato in un mio precedente intervento sul tema (“Registro dei trattamenti: uno, nessuno, centomila”), a mio parere l’adozione di un solo Registro sarebbe possibile, a certe condizioni, senza svilire il suo scopo ma permettendo un’opportuna semplificazione per chi svolge un unico trattamento, sempre identico, per moltissimi Titolari diversi.
In ogni caso, le istruzioni del Garante sul Registro dei trattamenti aiutano senz’altro a colmare opportunamente alcuni aspetti di dettaglio del GDPR rimasti inespressi nel testo del Regolamento.
Speriamo che altri ne arrivino presto per aiutare tutti noi nell’applicazione quotidiana del GDPR.