Il Registro delle attività di trattamento: un nuovo adempimento dettato dal Regolamento europeo

Il Regolamento generale UE sulla protezione dei dati personali (GDPR n. 679/2016) è già in vigore, sebbene concretamente non sia ancora applicabile. Tuttavia, il 25 maggio 2018 (data entro la quale occorrerà adeguarvisi) non è poi così lontano se si pensa alla mole di adempimenti, verifiche e nuove attività a cui saranno chiamate le aziende e le pubbliche amministrazioni per raggiungere, entro quel termine, un sufficiente grado di conformità ed evitare così le pesanti sanzioni previste.

Per tale motivo, in questo articolo prenderemo in esame proprio uno di questi nuovi adempimenti, ovvero l’obbligo di tenuta del Registro delle attività di trattamento.

A ben vedere, non si tratta poi di un adempimento totalmente nuovo: in effetti, i suoi contenuti rievocano adempimenti precedenti – alcuni obsoleti, altri ancora attuali – come quelli del Documento Programmatico sulla Sicurezza (per la forma e i contenuti) o la Notificazione del trattamento ex art. 37 del Codice privacy (per i contenuti). Rispetto ad essi, però il Registro delle attività di trattamento ha il pregio di riportare a una visione più dinamica e completa dei trattamenti e delle misure organizzative e tecniche adottate i soggetti che saranno obbligati alla sua adozione, ovvero il Titolare e del Responsabile del trattamento.

L’articolo 30, paragrafo 1, del GDPR, infatti, dispone che ogni titolare del trattamento debba tenere un “Registro delle attività di trattamento” svolte sotto la propria responsabilità.

Tale registro deve contenere, tassativamente, una serie di informazioni indicate[1]:

a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati (compresi i destinatari di paesi terzi od organizzazioni internazionali);

e) i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale (ove ciò sia applicabile e, quindi, qualora di fatto si realizzi un trasferimento in paesi extra UE), compresa la documentazione delle garanzie adeguate adottate;

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative (di cui all’articolo 32, paragrafo 1, del GDPR).

Come anticipato, essendo questo un obbligo posto in capo anche ai Responsabili del trattamento, il paragrafo 2 del medesimo articolo 30 dispone che ogni responsabile del trattamento debba tenere un registro di tutte le categorie di attività, relative al trattamento, svolte per conto di un titolare del trattamento, il cui contenuto anche qui è tassativamente definito (sebbene leggermente ridotto):

a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

c) i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale (ove ciò sia applicabile e, quindi, se di fatto si realizzi un trasferimento in paesi extra UE), compresa la documentazione delle garanzie adeguate;

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative (articolo 32, paragrafo 1, del GDPR).

Rispetto a questi ultimi obblighi, possiamo pertanto notare come il Responsabile del trattamento non dovrà preoccuparsi di stabilire i termini ultimi per la cancellazione dei dati, in quanto si tratta di dati personali non di sua titolarità e tale decisione spetterà, invece, a ogni titolare del trattamento per conto del quale il Responsabile agisce ed è stato designato[2]. Rimane di dubbia interpretazione, invece, la locuzione riportata al punto b) laddove si indicano le “categorie dei trattamenti” non essendo chiaro se ci si riferisca all’indicazione delle sole operazioni di trattamento che saranno effettuate sui dati (come da definizione contenuta nel GDPR) oppure all’indicazione delle categorie di interessati, categorie di dati personali e categorie di destinatari a cui i dati personali sono stati o saranno comunicati (come invece specificato per gli obblighi di cui al paragrafo 1 dell’art. 30 relativi ai Titolari del trattamento).

A entrambi i soggetti (Titolare e Responsabile) viene lasciata inoltre la possibilità di scegliere liberamente di mantenere tali registri in forma scritta o in forma elettronica, optando per la forma organizzativa preferita[3].

L’articolo conclude con una deroga, specificando che tali obblighi non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, “a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (articolo 9 DGPR) o il trattamento di dati relativi a condanne penali e a reati (articolo 10 GDPR)”.

Per tali motivi, un trattamento di dati che presenti un rischio più elevato, che non sia occasionale o (da intendersi quale congiunzione alternativa) che riguardi l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, dati biometrici o dati relativi alla salute o alla vita sessuale e all’orientamento sessuale, così come i dati personali relativi alle condanne penali e ai reati (ovvero per i c.d. detti dati sensibili e giudiziari) non ricade nelle deroga suindicata e, pertanto, deve ritenersi assoggettato all’obbligo di adozione di tale documentazione.

Nessun dubbio, pertanto, che la tenuta del registro delle attività di trattamento rientri a pieno titolo tra i nuovi obblighi di compliance a cui sono tenuti i titolari e i responsabili del trattamento (quale misura organizzativa adeguata ed efficace) e che, di fatto, l’adozione di tale documento aiuti anche tali soggetti a realizzare quel nuovo principio dell’accountability (responsabilizzazione) di cui è permeato il Regolamento europeo.

Sicuramente chi ha dato continuità alla gestione della privacy mantenendo un DPS o un Manuale privacy interno sarà agevolato, ma non bisogna sottovalutare che l’analisi organizzativa da effettuare sarà dispendiosa – anche in termini di tempo – e i contenuti da inserire sono tanti; per tale motivo le aziende e le pubbliche amministrazioni dovrebbero iniziare da subito a pianificare un percorso, definendo gli step necessari per la realizzazione del registro.

[1] Come del resto avveniva già in passato con la tenuta del Documento Programmatico sulla Sicurezza, i cui contenuti obbligatori erano stabili dall’Allegato B al Codice privacy in otto distinte sezioni.

[2] Il responsabile, infatti, agisce per conto del titolare che lo ha nominato, perché l’esecuzione dei trattamenti su commissione è disciplinata da un contratto o altro atto giuridico e le relative indicazioni circa la retention dei dati affidati dovranno essere stabiliti nel relativo atto di designazione.

[3] Molti Titolari e Responsabili del trattamento potranno scegliere anche di adottare forme di tenuta e conservazione a norma di tali documenti, per fornire una garanzia ulteriore circa la loro affidabilità e opponibilità verso terzi, oltre che per adempiere in maniera più forte all’onere probatorio innanzi all’Autorità di controllo (che in qualunque momento ne può ordinare l’esibizione in sede di ispezione o di qualunque attività istruttoria preliminare).

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Il Registro delle attività di trattamento: un nuovo adempimento dettato dal Regolamento europeo

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA