Tra gli strumenti a disposizione del titolare del trattamento al fine di dimostrare la propria “accountability”, ossia la sua piena consapevolezza nel trattamento dei dati personali c’è, oltre al principio di privacy by design (art. 25 del GDPR) e all’analisi dei rischi (Considerando 75 del GDPR), anche il registro delle attività di trattamento (regolamentato dall’articolo 30) che rappresenta un indice di corretta gestione dei trattamenti effettuati all’interno dell’organizzazione.
Ma è proprio sul registro dei trattamenti che vorrei soffermarmi in quanto, secondo la mia esperienza da Privacy Officer, rappresenta ancora un argomento ostico e molto confuso per le aziende e per tanti consulenti, sicuramente per la sua capillarità nella redazione e grazie anche a qualche spazio interpretativo lasciato dal Garante.
Indice degli argomenti
Registro delle attività di trattamento e PMI: le regole
Il registro delle attività di trattamento è un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento. Viene indentificato dal Garante come unico strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.
Il registro può essere creato in forma scritta o elettronica e al suo interno dovranno essere riportati i dettagli delle attività svolte in merito ai dati personali. Ad esempio, dovranno essere indicate le modalità e gli scopi del trattamento, le categorie di dati trattati, le misure di sicurezza adottate eccetera.
Dal momento che i processi che riguardano il trattamento dei dati di un’organizzazione sono sempre in mutazione, il registro dovrà anche recare “in maniera verificabile” sia la data della sua prima redazione sia la data dell’ultimo aggiornamento.
Non si tratta di altro che di una attività di mappatura dei dati trattati, anche questa una chiara dimostrazione di accountability.
Registro delle attività di trattamento e PMI: gli obblighi
Effettivamente l’art.30 comma 1 del Regolamento cita che “ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”, ma al comma 5 viene invece indicato “Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.
Ringraziamo pertanto le Autorità che hanno pensato sia opportuno sgravare le piccole e medie imprese da questo onere, ma nonostante sembrasse del tutto chiaro il concetto in verità non lo è stato, motivo per cui il Gruppo di Lavoro WP 29 ha pubblicato una position paper ad aprile 2018 e poiché probabilmente, ancora non estremamente chiaro a tutti, ad ottobre 2018 viene anche pubblicata una FAQ sul sito Garante Privacy chiarendo che (cito solo il punto 1):
Sono tenuti all’obbligo di redazione del registro:
- esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori, ecc.).
Pertanto, la “e” di congiunzione vuol chiarire che ogni attività commerciale, anche con un solo dipendente che comunque non tratti dati altamente rischiosi e sanitari, è obbligato a tenere un registro dei trattamenti.
Protagoniste diventano anche le piccole attività commerciali come il bar, la parruccherìa di borgata nonché il piccolo panificio di zona e posso assicurarvi che da Consulente non ho il cinismo, la sfrontataggine e l’ardimento di presentarmi al fornaio e spiegargli l’onere e l’utilità di questo documento, solo perché ha da poco assunto una dipendente che gli farà da cassiera, banconista, aiutante panificatore e all’occorrenza anche da addetta alle pulizie sempre e chiaramente sottopagata.
Dobbiamo, a mio avviso, contestualizzare gli adempimenti perché ogni piccolo artigiano sopravvive già a stento tra leggi e tasse con davvero tante difficoltà economiche e burocratiche e non credo, o semplicemente spero, che in caso di verifiche da parte delle Autorità qualcuna possa infliggergli una sanzione amministrativa.
Inoltre, il Garante Privacy all’interno della stessa FAQ suggerisce che “Al di fuori dei casi di tenuta obbligatoria del registro, anche alla luce del Considerando 82 del RGPD, ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamento svolto, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”.
Quindi non c’è scampo per nessuno.
Conclusioni
Certamente il registro dei trattamenti fa parte di quelle misure “tecniche e organizzative” citate nell’art. 5 del GDPR che, insieme ad altri adempimenti, consentono davvero di avere il controllo e prevedere le cose piuttosto che attendere che qualcosa accada per poi porvi rimedio, ma è anche vero che le PMI in Italia secondo Confcommercio costituiscono una realtà significante e addirittura pari a circa il 99,9% dell’intero tessuto economico imprenditoriale, con il 95% di attività con realtà davvero piccole sotto i 10 dipendenti e addirittura il 65% circa solo con 1 dipendente (escludendo chiaramente tutto il sommerso).
Insomma, è chiara la finalità della redazione del registro dei trattamenti e pertanto non deve essere trattata come una sterile scrittura di dati bensì andrebbe nobilitato e utilizzato come documento strategico per un vero sistema organizzativo compliance. Rimangono gap incalcolabili per le PMI mono dipendente.
Il registro dei trattamenti è davvero necessario in una realtà imprenditoriale nella quale ogni giorno si lotta per concretizzare un misero ricavo a fine mese solo perché si trattano Nome, Cognome, indirizzo, Codice Fiscale e documenti personali di un dipendente?
