Il registro delle attività di trattamento, o registro dei trattamenti, è uno strumento richiesto dal GDPR che risulta utile anche al DPO. Da questo documento scaturiranno tutte le ulteriori azioni compiute dal titolare del trattamento, eventualmente coadiuvato dal consulente privacy, che si renderanno necessarie al raggiungimento del principio di accountability. Approfondiamo il tema capendo le caratteristiche di questo strumento.
Indice degli argomenti
Caratteristiche del registro delle attività di trattamento
Il registro delle attività di trattamento è un adempimento di nuova introduzione previsto dall’articolo 30 del GDPR, che indica: “Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità…”. Lo si può considerare come il primo e fondamentale step verso la compliance aziendale, così come specificato anche dal Considerando 74: “… Il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure…”.
La sua importanza va ricercata nei contenuti: nel registro, infatti, il titolare dovrà prima di tutto mappare ogni trattamento effettuato (rilevante dal punto di vista della protezione dei dati personali) e, per ognuno di essi, indicare le ulteriori informazioni richieste dallo stesso articolo 30 quali ad esempio: le categorie degli interessati e dei destinatari dei dati, finalità ed eventuali basi giuridiche che legittimino il trattamento, le tipologie di dati trattati, il periodo di conservazione eccetera.
Realizzando un documento come questo, il titolare del trattamento può già trarne un iniziale beneficio in termini di consapevolezza del proprio operato poiché verrà a conoscenza di ogni attività posta in essere e delle relative “pedine in gioco”.
Dal registro delle attività di trattamento, come detto, scaturiscono poi una serie di misure “accessorie” come stabilito dall’art. 32 comma 1: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio…il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio…”, un esempio di misure tecniche sono la pseudonimizzazione e la cifratura dei dati personali mentre per misure organizzative si intende per esempio la procedura per la gestione del data breach, codice di comportamento sul trattamento di dati personali.
Queste attività potranno essere effettuate: ex post, nel caso il titolare abbia già posto in essere determinati trattamenti e debba adeguarsi nell’immediato alle disposizioni del GDPR o ex ante come richiesto dallo stesso GDPR all’articolo 25 “Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita” nel caso in cui il titolare, nell’intenzione di effettuare un trattamento, considera già in fase di progettazione tutte le misure attuabili per porlo in sicurezza. Si potrebbe quindi paragonare questo insieme di operazioni come un abito sartoriale cucito su misura secondo le esigenze del cliente (titolare) che tradotto significa una molteplicità di misure create ed attuate ad hoc sulla base della natura del titolare del trattamento.
L’utilità per il DPO
Il registro delle attività di trattamento, però, non produce benefici solo internamente, risulta infatti essere un valido strumento anche per il DPO in occasione di verifica poiché anche per lui rappresenta il primo mattoncino sul quale fondare un’analisi completa e corretta.
Una delle prime attività che svolgerà il DPO, per esempio, sarà quella di definire un assessment iniziale cioè un’analisi generale, potremmo definirla di primo livello, finalizzato ad ottenere un quadro generale ed individuare quelle che sono le realtà più esposte a rischio e di conseguenza quelle su cui concentrare le proprie attenzioni; questo assessment iniziale può essere eseguito attraverso l’adozione di una checklist autoprodotta dallo stesso DPO o estrapolata per esempio dall’allegato 2 alle Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679 o ancora utilizzarne una già esistente come per esempio quella creata dal Garante spagnolo (Listado de Cumplimiento Normativo), in entrambi i casi tra le domande iniziali vi sarà quella che chiederà riscontro circa l’adozione o meno del registro delle attività di trattamento; poiché molti degli adempimenti imposti dal GDPR sono documentali, una valida alternativa a questa verifica preliminare di carattere generale potrebbe essere un assessment di tipo documentale cioè un’analisi finalizzata esclusivamente al controllo di questo tipo di adempimenti, in entrambi i casi comunque, l’esistenza e la relativa adozione del registro rappresenta un requisito fondamentale per procedere con l’ispezione.
Accertata l’esistenza di tutti gli adempimenti richiesti, il passo successivo sarà quello di verificarne la correttezza e la completezza delle informazioni contenute, superato anche questo step il DPO, procederà ad una verifica delle fattispecie poste in essere attraverso una “tabella di marcia” bene definita che viene scandita dai flussi di informazioni mappati all’interno del registro, verifica che sarà ovviamente tanto approfondita quanto più complessa sarà la realtà in esame.
Questa analisi approfondita consisterà nella raccolta delle evidenze che avverrà attraverso delle interviste al personale dipendente (l’esito di una intervista è da considerarsi attendibile quando le informazioni raccolte trovano riscontro nella documentazione collegata al processo esaminato, alla corrispondenza con altre interviste svolte e ogni altra evidenza oggettiva), l’osservazione delle attività con priorità alle aree più soggette a rischio (il riscontro sulle aree di maggior esposizione a rischio viene fornito dalla valutazione d’impatto (P. I. A. – Private Impact Assessment) così come richiesto dall’art. 35 del GDPR “Valutazione d’impatto sulla protezione dei dati”), l’analisi dei log, estrazione dei dati dal sistema informativo.
Il DPO nello svolgere ognuna di queste attività deve sempre partire dalle informazioni contenute all’interno del registro delle attività di trattamento. Lo si potrebbe considerare quindi come una bussola il cui ago, puntando verso nord, traccia la rotta da seguire per raggiungere la destinazione dell’accountability.
