Il registro delle attività di trattamento previsto dal GDPR: più di uno strumento di mera compliance

  1. I registri delle attività di trattamento

L’obbligo di predisporre un registro dei trattamenti si configura come una chiara applicazione del principio di accountability, ovverol’obbligo per il titolare del trattamento di mettere in atto tutte le misure ritenute adeguate a garantire il rispetto di principi e obblighi dettati dal regolamento europeo sulla protezione dei dati personali (General Data Protection Regulation, da qui in poi “GDPR)[1]agli artt. 5 e 24, sia nella normale fase di raccolta dei dati personali (privacy by default) che in quella di sviluppo di nuovi prodotti e servizi (privacy by design), ma anche di darne chiara evidenza e dimostrazione.

Il registro dei trattamenti è quindi innanzitutto un documento, tenuto a cura del titolare e del responsabile, con il quale si dà evidenza di tutte le attività di trattamento svolte e si fornisce un quadro completo delle misure adottate.

Il registro è, peraltro, anche una preziosa fonte di informazioni per l’azienda ed è ragionevole ritenere che rivestirà sempre più un ruolo di rilievo anche al di fuori della mera tutela dei diritti dell’interessato. Se infatti il valore di un’azienda è dato, inter alia, dai beni e dai rapporti giuridici ad essa riconducibili, scontato per i debiti ed eventuali oneri derivanti da responsabilità attuali o potenziali nei confronti dei terzi (incluse le sanzioni comminate da autorità di vigilanza), al pari, l’indicazione delle banche dati utilizzate, delle finalità del trattamento e dei possibili destinatari dei dati raccolti, potrà fornire un contributo significativo nella determinazione del valore di un’azienda, in particolare nell’ambito delle operazioni di fusione e acquisizione.

Il registro dei trattamenti si candida quindi ad essere uno strumento necessario per cooperare con l’autorità di controllo, ma a divenire nel tempo un documento cardine dal quale desumere sia il valore dei dati raccolti sia i rischi connessi con il loro utilizzo in tutti i casi cui sia dubbio che la raccolta o il loro trattamento sia stato svolto nel pieno rispetto degli obblighi di legge[2].

 

  1. I registri nel Regolamento UE 2016/679

Il GDPR disciplina i registri delle attività di trattamento nel considerando 82 e nell’art. 30.

Il considerando prevede che i titolari e i responsabili del trattamento siano tenuti, oltre alle menzionate predisposizione e conservazione dei registri, ad una collaborazione attiva con l’autorità di controllo affinché sia data dimostrazione di aver implementato tutte le misure disposte dal Regolamento[3].

L’art. 30, par. 1, del GDPR dispone che «ogni titolare del trattamento e, ove applicabile, il suo rappresentante, tengono un registro delle attività di trattamento svolte sotto la propria responsabilità»[4].

Con riferimento al contenuto del registro, l’art. 30, par. 1, prescrive la necessità di indicare il nome e i dati di contatto del titolare e degli eventuali contitolari del trattamento, del rappresentante e, qualora nominato, del Data Protection Officercon lo scopo di rendere più agevole l’esercizio dei diritti da parte degli interessati.

È inoltre richiesta l’indicazione: delle finalità del trattamento, delle categorie di interessati e di quelle relative ai dati personali oggetto del trattamento, delle categorie di destinatari dei dati e, in caso di trasferimento extra Ue, delle garanzie adeguate adottate. Il trasferimento non può, in ogni caso, riguardare la totalità dei dati o intere categorie degli stessi presenti nel registro.

A tal punto, potrebbe essere legittimo chiedersi quale sia il significato dell’espressione “documentazione delle garanzie adeguateindicata tra i requisiti del registro dei trattamenti, o meglio, se sia sufficiente la menzione delle garanzie adottate o sia invece opportuno allegare al registro gli elementi documentali a supporto della legittimità del trasferimento di cui all’art. 46 del GDPR[5]. L’art. 46 sul tema di trasferimento soggetto a garanzie adeguate, non fa alcun riferimento specifico all’eventuale documentazione da allegare al registro dei trattamenti. Inoltre, l’art. 30, par. 1, nel prevedere i contenuti obbligatori del registro utilizza la seguente dicitura «tale registro contiene tutte le seguenti informazioni…».

Appare più incline al dettato del GDPR, desumere che la norma si riferisca esclusivamente alle informazioni atte a provare tale adeguatezza e non specificamente alla documentazione richiesta a tal fine.

In ultimo, è previsto che il registro contenga una descrizione generale delle misure di sicurezza tecniche e organizzative poste in essere dal titolare del trattamento, nonché, alla lett.f)del medesimo articolo, l’indicazione dei termini ultimi previsti per la cancellazione dei dati.

Con riferimento a quest’ultima fattispecie, che si riferisce alle categorie di dati e non alle attività di trattamento, vale la pena di sottolineare che, all’interno del GDPR non vi è un’espressa previsione che imponga al titolare di determinare in via preliminare il termine, trascorso il quale, dovrà provvedere alla cancellazione dei dati oggetto del trattamento. L’assenza di tale disposizione va tuttavia contemperata con la previsione dell’art. 13, par. 2, lett. a),il quale prevede come contenuto obbligatorio dell’informativa da fornire all’interessato anche l’indicazione del «periodo di conservazione dei dati personali o, se non è possibile, i criteri utilizzati per determinare tale periodo».

Deve pertanto desumersi dal combinato disposto degli artt. 30, par. 1, lett. f)e 13, par. 2, lett. a)che nel registro dei trattamenti dovrà essere indicato, ove possibile, il periodo di conservazione dei dati o quantomeno i criteri utilizzati per determinare tale periodo, coerentemente a quanto disposto dall’art. 13, par. 2, lett. a).

L’art. 30, par. 2, del GDPR, disciplina invece il contenuto dei registri dei responsabili del trattamento. Le differenze tra i due registri saranno oggetto di specifica analisi nel corso di questo elaborato.

Nei paragrafi successivi dell’articolo, vale a dire il 3, 4 e 5sono previste prescrizioni valide per entrambi i tipi di registri. Esse riguardano, in particolare, la forma dei registri (supporto cartaceo o anche elettronico), l’obbligo di collaborazione per i soggetti sopra menzionati con le autorità di controllo, che si sostanzia nella messa a disposizione dei registri qualora richiesto e l’esonero nella tenuta dei registri per le imprese con meno di 250 dipendenti «a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, non sia occasionale o includa il trattamento di categorie particolari di dati»[6]vale a dire quelli sensibili o giudiziari[7].

Il progressivo svuotamento dell’iniziale esonero previsto nell’incipitdel paragrafo, sembrerebbe ridimensionarne molto l’effettiva applicabilità, visto che la non occasionalità del trattamento di dati (ad esempio dei clienti ai quali si forniscono beni e servizi) o la natura sensibile dei dati trattati (ad esempio dei dipendenti, per l’espletamento di tutte le procedure inerenti l’assenza per malattia dal luogo di lavoro) possono configurarsi come requisiti comuni a molte realtà aziendali anche di dimensioni inferiori ai 250 dipendenti. Ad ogni modo, per le suddette imprese, non viene meno l’obbligo di dimostrabilità exart. 24, par. 1, della conformità del trattamento al GDPR, dunque la tenuta del registro dei trattamenti si configura come difficilmente eludibile. A conferma di quanto indicato, l’Article 29 Working Partysi è espresso il 19 aprile 2018[8]affermando che le suindicate eccezioni alla tenuta del registro devono intendersi come alternative ed è pertanto sufficiente che l’attività di trattamento (i) comporti un rischio (non soltanto un “alto rischio”) per i diritti e le libertà degli interessati, o (ii) non sia occasionale[9], o (iii) preveda il trattamento di dati sensibili o giudiziari perché si configuri l’obbligo di tenuta del registro. Tuttavia, il titolare del trattamento dovrà mantenere il registro soltanto per quelle attività che rientrano nei criteri elencati. Ad esempio, continua l’Article 29 Working Party, un’impresa di piccole dimensioni tratta regolarmente i dati dei propri dipendenti e pertanto, tale trattamento non potrà essere considerato “occasionale” e dovrà essere incluso nel registro.

Inoltre, come anticipato nelle premesse, ci sembra che il registro dei trattamenti debba essere considerato un utile strumento capace di esprimere in modo sintetico i dati raccolti dall’azienda e di consentire la loro verifica e valorizzazione nella fase di due diligenceche precede eventuali operazioni straordinarie finalizzate all’acquisizione o alla fusione di società.

Da ultimo, vale la pena sottolineare che il mancato rispetto delle suddette prescrizioni previste per i registri è soggetto a sanzione amministrativa pecuniaria che può arrivare fino a 10.000.000 di euro, o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore[10].

 

  1. Affinità e differenze fra i registri del titolare e del responsabile

Nel GDPR, la figura del responsabile del trattamento dei dati personali assume una dimensione maggiormente significativa.

Difatti, come indicato nel precedente paragrafo, il legislatore europeo ha stabilito anche per questi l’obbligo di tenuta dei registri. Proprio questo obbligo, sembrerebbe rafforzare l’idea che il legislatore europeo intenda la figura del responsabile come esterna rispetto alla struttura aziendale del titolare. Diversamente, se il responsabile rientrasse nell’organizzazione interna del titolare, la tenuta dei registri da parte di entrambi comporterebbe l’inutile sdoppiamento di tale procedura.

Al fine di cogliere le affinità e le differenze tra i registri previsti dai due paragrafi dell’art. 30, vale la pena esaminarne il contenuto.

In primo luogo, sono riscontrabili alcune ovvie differenze, insite nella natura dei ruoli dei due soggetti, come ad esempio quelle nell’incipit del primo paragrafo rispetto al secondo dell’art. 30, dove si legge che il titolare svolge l’attività di trattamento “sotto la propria responsabilità” mentre il responsabile lo fa “per conto di un titolare”.

Inoltre, mentre la norma che si sofferma sul registro del titolare prevede un contenuto obbligatorio estremamente dettagliato (lettere dallaa) allag)del paragrafo 1), con riferimento al contenuto del registro del responsabile, sono richiamati soltanto quattro dei sette punti precedentemente menzionati ossia quelli riferiti a: a) nomi e dati di contatto del responsabile o dei responsabili[11]e dei titolari di riferimento, b) categorie dei trattamenti, c) eventuali trasferimenti e garanzie adeguate adottate, d) misure di sicurezza tecniche e organizzative.

Difatti, la richiesta al responsabile del trattamento di redigere un registro «di tutte le categorie di attivitàrelative al trattamento svolte per conto di un titolare» contenente tra le altre voci l’indicazione delle «categorie dei trattamenti effettuati»[12],impone allo stesso responsabile un contenuto meno stringente rispetto al registro del titolare, dovendo fornire questi solo le informazioni corrispondenti alle lettere b),c)e d)previste nell’art. 30, par. 1, ovvero le finalità del trattamento, le categorie di interessati, nonché quelle degli eventuali destinatari a cui i dati personali sono stati o saranno comunicati.

Con riferimento al requisito di cui all’art. 30, par. 1, lett. f), inerente l’indicazione del termine di cancellazione, la scelta del legislatore europeo di escludere tale condizione all’interno del registro del responsabile del trattamento conferma che sarà il titolare a dover determinare i tempi di conservazione dei dati.

Di fatto spetta a quest’ultimo disporre in merito a tale attività nell’atto di nomina, indicando se al termine della prestazione il responsabile dovrà cancellare i dati, con che modalità dovrà comprovare di averlo fatto, nonché i poteri di controllo spettanti al titolare in tal senso. Quindi la cancellazione è da ritenersi operazione che spetta al titolare e sarà questi, nel caso, ad affidarla espressamente al responsabile. Tale assunto può essere dedotto dall’art. 28, par. 3, lett. g)che prevede che il contratto o il diverso atto contenente l’incarico a responsabile includa «su scelta del titolare del trattamento», la cancellazione o la restituzione di tutti i dati personali dopo che è terminata la prestazione dei servizi[13].

Passando oltre, troviamo rispettivamente all’art 3, par. 1, lett. g)e all’ art. 30, par. 2, lett. d)uno dei principali elementi del registro, vale a dire la «descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 31, par. 1».

Tale attività implica per entrambi i soggetti obbligati un’attenta analisi dei rischi, da valutare in relazione a diversi fattori tra cui: il contesto in cui le attività avvengono, la tipologia di trattamento effettuato, le modalità di trattamento, le finalità di trattamento, gli strumenti utilizzati e in ultimo anche il luogo di conservazione[14].

Per concludere, alla luce del dato normativo analizzato, si ritiene che i due registri seppur collegati attraverso l’atto di nomina, non avranno identico contenuto e non indicheranno le medesime misure di sicurezza. I mutamenti dei fattori appena elencati comporteranno, inevitabilmente, una valutazione del rischio diversa per ogni attività con differenti misure di sicurezza adeguate.

 

Tabella riassuntiva delle affinità-differenze fra i due registri

Registro del Titolare Registro del Responsabile
a) nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le finalità del trattamento; ________________________
________________________ b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali; ________________________
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; ________________________
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49, la documentazione delle garanzie adeguate; c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;  ________________________
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, paragrafo 1. d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, paragrafo 1.

 

  1. Il Data Protection Officer e i registri

Come visto nei paragrafi precedenti, in merito ai registri dell’attività di trattamento di dati personali, l’art. 30 del GDPR stabilisce che l’obbligo di tenerli ricade sul titolare o sul responsabile, ma nulla prevede per il Data Protection Officer (DPO).

Tale figura, disciplinata dagli articoli che vanno dal 37 al 39, costituisce una novità assoluta nel panorama italiano della privacy, ma non in quello europeo e mondiale. Il DPO èconsiderato dal legislatore europeo uno degli elementi chiave all’interno del nuovo sistema di governance dei dati e rappresenta anch’esso un elemento fondante del principio di accountability.

Al Data Protection Officer «saranno affidati compiti sostanziali, per assicurare il rispetto della normativa in materia di privacy da parte della società o ente nell’ambito del quale viene designato. Sarà affidato a questo nuovo soggetto, dotato di una specifica professionalità nel settore della protezione dei dati personali, il ruolo di “presidio avanzato” del rispetto dei princìpi e degli adempimenti in materia nonché di interlocutore ed elemento di connessione tra i titolari del trattamento e l’Autorità»[15].

Non essendoci nel GDPR però alcuna prescrizione per il DPO inerente i registri delle attività di trattamento, si può desumere che non vi siano particolari obblighi o impedimenti affinché, nell’espletamento di tale compito, il titolare o il responsabile del trattamento possano avvalersi del suo ausilio o addirittura affidino direttamente a lui tale compito. Invero «niente vieta al titolare o al responsabile del trattamento di affidare al RPD (DPO) il compito di tenere il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile stesso»[16].

Infatti, tali registri devono essere considerati come uno degli strumenti che consentono al Data Protection Officer di adempiere agli obblighi espressamente previsti nel Regolamento, vale a dire quelli di sorveglianza del rispetto delle norme privacy e di informazione e consulenza nei riguardi del titolare e del responsabile.

Resta tuttavia aperta la questione su quale, tra i soggetti del trattamento, debba sorvegliare in merito alla coerenza tra i registri del responsabile e del titolare, se quest’ultimo o il DPO. Una prima ipotesi, prevede che, in virtù dell’art. 39, par. 1, lett. b), qualora vi sia la nomina del Data Protection Officer, questi abbia l’onere di verificare la non contraddittorietà dei registri proprio in virtù dei compiti di sorveglianza poc’anzi menzionati intrinsecamente connessi a tale figura[17].

Un’applicazione letterale del principio di accountability, suggerirebbe invece che sia il titolare ad avere tale compito, in quanto egli «deve essere in grado di dimostrare che il trattamento è effettuato in conformità al presente regolamento (GDPR)»[18]. Seppure non sia possibile dare una risposta univoca a tale quesito, vale la pena ricordare che«nella realtà sono spesso i RPD (DPO) a realizzare l’inventario dei trattamenti e a tenere un registro di questi sulla base delle informazioni fornite loro dai vari uffici o unità, che trattano dati personali. È una prassi ormai consolidata e fondata sulle disposizioni di numerose leggi nazionali, nonché sulla normativa in materia di protezione dei dati applicabile alle istituzioni e agli organismi dell’Unione europea»[19].

In virtù del principio di accountabilityla responsabilità ricadrebbe sul titolare, risulta pertanto opportuno prevedere all’atto della nomina una specifica clausola che disciplini l’obbligo di sorveglianza sulla coerenza dei registri in capo al DPO.

 

  1. Affinità e differenze fra i registri del titolare e il Documento Programmatico sulla Sicurezza

Si è detto che il principio di accountability,così come la conseguente introduzione dell’obbligo per titolari e responsabili di tenuta dei registri dell’attività di trattamento, costituiscono alcune fra le più importanti novità introdotte dal GDPR.

In realtà, fino al 2012 era previsto per i titolari che effettuavano trattamenti di dati personali con l’ausilio di strumenti elettronici in Italia, l’obbligo di tenuta di un documento dal contenuto simile: il documento programmatico sulla sicurezza (DPS)[20].

Infatti, il par. 19 oggetto di abrogazione nel 2012, stabiliva che il titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici era tenuto, entro il 31 marzo di ogni anno, a redigere un documento programmatico sulla sicurezza del trattamento medesimo[21].

Il contenuto dei DPS nella prassi è stato sempre ritenuto estensibile, ma non ovviamente obbligatorio, anche per quei trattamenti effettuati con strumenti elettronici che non hanno ad oggetto specificamente dati sensibili e giudiziari. Dunque, alla luce di quanto sopra esposto, le nuove disposizioni previste dal Regolamento inerenti la tenuta dei registri, seppur innovative, non hanno certo una portata rivoluzionaria per i titolari che fino al 2012 effettuavano trattamenti di dati sensibili e giudiziari con l’ausilio di strumenti elettronici ed erano quindi obbligati a redigere il DPS.

Tra queste, vale la pena menzionare l’obbligo per il titolare di dover indicare nei registri ulteriori elementi del trattamento, quali ad esempio: il Paese o l’organizzazione destinatari in caso di trasferimenti di dati personali e le relative misure di garanzia adottate (exart. 30, par. 1, lett. e)del GDPR), ed i termini ultimi previsti per la cancellazione dei dati (exart. 30, par. 1, lett. f)del GDPR).[22]

L’art. 30 del GDPR non dispone però né una data, come il canonico «entro il 31 marzo di ogni anno» del paragrafo 19 dell’Allegato B, né un vero e proprio obbligo di aggiornamento. È da ritenersi assodato, a parere del sottoscritto, che il legislatore europeo abbia inteso che a ogni novità riguardante un elemento del registro corrisponda un obbligo di modifica del medesimo, a cura del titolare e/o del responsabile del trattamento, nei campi di rispettiva competenza.

È possibile notare, inoltre, come «l’analisi dei rischi che incombono sui dati» di cui al par. 19, c. 3, dell’Allegato B sia stata assorbita dalla valutazione d’impatto sulla protezione dei dati prevista dall’art. 35 del GDPR.

In ultimo, vale la pena rilevare che per i registri vi è la totale assenza della previsione della formazione per il personale come invece previsto nel par. 19, c. 6, dell’Allegato B, ma tale obbligo è stato riassorbito nelle disposizioni di carattere generale dell’art. 24 del GDPR, vale a dire nelle misure minime di sicurezza che il titolare deve obbligatoriamente adottare per porre in essere un trattamento di dati personali.

 

Tabella riassuntiva delle affinità-differenze fra i registri e il dps

Registri delle attività di trattamento exart. 30, par. 1, del Regolamento Documento Programmatico per la Sicurezza ex par. 19 dell’Allegato B del Codice privacy
il nome e i dati di contatto del titolare e, nel caso presenti, del rappresentante, del contitolare e del DPO (lett. a) ); elemento non obbligatorio;
le finalità del trattamento (lett. b) ); elemento non obbligatorio;
ove applicabile, una descrizione delle categorie degli interessati e delle categorie di dati personali (lett. c) ); l’elenco dei trattamenti di dati personali

(c. 1);

le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali (lett. d) ); elemento non obbligatorio;
ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49, la documentazione delle garanzie adeguate (lett. e) ); elemento non obbligatorio;
ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati (lett. f) ); elemento non obbligatorio;
una descrizione generale delle misure di sicurezza tecniche ed organizzative (lett. g) ); la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati (c. 2);
una descrizione generale delle misure di sicurezza tecniche ed organizzative (lett. g) ); le misure da adottare per garantire l’integrità e ladisponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità (c. 4);

 

una descrizione generale delle misure di sicurezza tecniche ed organizzative (lett. g) ); la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento (c. 5);

 

6. L’introduzione dei registri in relazione all’eliminazione dell’obbligo di notificazione di specifici trattamenti all’Autorità Garante

Secondo il quadro giuridico attuale, nella vigenza dell’art. 21 della direttiva 95/46/CE e dell’art. 37 del Codice privacy, è il Garante per la protezione dei dati che detiene il registro pubblico dei trattamenti, vale a dire il registro delle notificazioni in cui sono conservati, ai fini di pubblicità, tutti i trattamenti notificati all’Autorità medesima[23].

Invero, in base all’art. 37 del Codice privacy, rubricato come “notificazione del trattamento”, devono essere notificati dai titolari al Garante, secondo le modalità di cui all’art. 38[24], tutti quei trattamenti che hanno per oggetto: dati genetici, biometrici o idonei a rivelare la posizione geografica; dati sensibili (quelli idonei a rivelare lo stato di salute, la vita sessuale, l’orientamento religioso, politico e sindacale di un soggetto); dati oggetto di profilazione (dati idonei a rivelare le scelte di consumo ecc.) e i dati economico-bancari. Tali trattamenti hanno infatti ad oggetto categorie di dati personali particolari o sono effettuati con modalità specifiche che possono generare un elevato rischio di pregiudizio dei diritti e delle libertà degli interessati.

L’art. 37, c. 4, stabilisce inoltre che «il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio».

Con il GDPRperò l’obbligo di notificare questi trattamenti verrà meno.

Il legislatore europeo ha difatti osservato nel considerando 89 che «tale obbligo comporta oneri amministrativie finanziari[e]nonha sempre contribuito a migliorarela protezionedei dati personali. È pertanto opportuno aboliretali obblighigeneralie indiscriminatidi notificae sostituirlicon meccanismie procedureefficaciche si concentrino piuttosto su quei tipi di trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità.»

Ciò però non sottrae alcun potere alle autorità di protezione dei dati, bensì apporta loro vantaggi nell’applicazione dell’art. 58, par. 1, lett. b)relativo al potere di indagine «sotto forma di attività di revisione». Lo svolgimento di azioni di verifica viene agevolato proprio dal fatto che l’attuazione da parte del titolare, del principio di responsabilizzazione fornisce all’autorità, proattivamente, informazioni utili per monitorare i livelli di conformità dei trattamenti posti in essere[25].

A parere di chi scrive, invero, proprio nell’ottica di una piena responsabilizzazione dei titolari dei trattamenti, il legislatore europeo ha ritenuto ultroneo mantenere un registro pubblico detenuto dall’Autorità, che avesse le medesime informazioni contenute nei registri di cui all’art. 30, in quanto, proprio con la previsione di questo nuovo strumento, saranno gli stessi titolari a documentare le attività che riguardano i trattamenti effettuati, secondo quel meccanismo già menzionato di cosiddetta “inversione dell’onere probatorio”.Questo peraltro permetterà di sgravare sia il Garante dalla tenuta del registro pubblico delle notificazioni dei trattamenti, onere non da poco, sia i titolari dal pagamento dei diritti di segreteria.

I registri delle attività di trattamento costituiscono il primo passo per l’effettiva attuazione del principio di accountability da parte del titolare. Infatti, mappando e definendo il contesto dei trattamenti posti in essere, il titolare è in grado di decidere in modo più consapevole se sia necessario o meno compiere una valutazione d’impatto privacy e procedere alla nomina di un Data Protection Officer.

 

[1] Regolamento (UE) del Parlamento europeo e del Consiglio 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

[2] Dal registro dei trattamenti si potrebbe ad esempio comprendere che un certo database non è stato correttamente incrementato perché assente un’idonea informativa, oppure che la conservazione dei dati debba ritenersi non più possibile con riferimento a certe finalità. La circolazione del database unitamente all’azienda porrà quindi temi in relazione al valore dei dati trasferiti, ben sapendo che la loro utilizzabilità è pregiudicata. In questi casi, ancorché le soluzioni della prassi non siano univoche, è da ritenersi che il valore del database non possa che essere scontato per il numero di entryraccolte in violazione della normativa, ovvero pari a zero nel caso in cui riguardi tutti i dati inseriti.

[3] Cfr. considerando 82, GDPR:«Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti».

[4] Per quanto riguarda la figura del rappresentante, questa viene menzionata solo in maniera facoltativa perché la sua nomina sarà necessaria solo qualora il titolare del trattamento sia stabilito in un Paese extra UE.

[5] Cfr. art. 46, par. 1, GDPR: «In mancanza di una decisione ai sensi dell’art. 45, paragrafo 3, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un Paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi».

[6] Cfr. art. 30, par. 5, GDPR.

[7] A tal proposito, si vedano in particolare gli artt. 9, par. 1 e 10 del citato GDPR.

[8] Article 29 Working Party, Position Paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30, par. 5 GDPR, adottato il 19 aprile 2018.

[9] L’Article 29 Working Partyconsidera che un’attività di trattamento possa essere definita come “occasionale” se non è svolta regolarmente ed è effettuata al di fuori del regolare svolgimento dell’attività di business dell’impresa (“the regular course of business”) o dell’attività del titolare o del responsabile del trattamento. Per maggiori informazioni si vedano le Linee Guida dell’Article 29 Working Partysull’art. 49 del GDPR.

[10] Si veda, con riferimento alle sanzioni indicate, l’art. 83, par. 4, lett.a), del GDPR.

[11] Si noti come, prevedendo l’obbligo di indicazione di tutti i responsabili (compresi i sub-responsabili) il legislatore abbia dato al titolare la possibilità di avere sempre traccia di tutti i soggetti che effettuano il trattamento per conto del responsabile e, indirettamente, per suo conto come ad esempio i subappaltatori o altre società del gruppo del responsabile, manifestando ancora una volta l’importanza del principio di accountability.

[12] Come previsto espressamente dall’art. 30, par. 2, lett. b)del GDPR.

[13] P. Marini, – Regolamento Privacy UE: come, quando e perché si compila il registro del trattamento del titolare e del responsabile, in Pluris – Quotidiano giuridico, Wolters Kluwer, 18 novembre 2016.

[14] Si veda per l’appunto l’articolo 32(1).

[15] Relazione dell’Autorità Garante per la protezione dei dati personali del 2015, pag. 135. I compiti del DPO sono espressamente menzionati all’art. 39 del Regolamento e sono fra gli altri quelli di: informare e fornire consulenza in materia privacy al titolare e al responsabile del trattamento; sorvegliare all’interno dell’azienda l’osservanza del Regolamento; fornire un parere in merito alla valutazione d’impatto e sorvegliarne lo svolgimento; cooperare con l’autorità di controllo; fungere da punto di contatto fra detta autorità e l’azienda di appartenenza.

[16] Article 29 Working Party, WP 243 rev. 01, Linee-guida sui responsabili della protezione dei dati – Adottate il 13 dicembre 2016 – Versione emendata e adottata in data 5 aprile 2017, pag. 20.

[17] Cfr. art. 39, par. 1, lett. b), GDPR: «Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali».

[18] Cfr. art. 24, par. 1, GDPR.

[19] Article 29 Working Party, op. cit.,20.

[20] L’art. 34, lett. g)del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, “Codice privacy”) rimandava al par. 19 dell’Allegato B (denominato “Disciplinare tecnico in materia di misure minime di sicurezza”) per la definizione del suo contenuto. Questo richiedeva l’indicazione espressa: dell’elenco dei trattamenti dei dati personali effettuati dal titolare; della distribuzione dei compiti e delle relative responsabilità; dell’analisi dei rischi del trattamento, delle misure di garanzia  per l’integrità, la disponibilità dei dati e la protezione delle aree e dei locali dove essi erano custoditi; della descrizione dei criteri e delle modalità per il ripristino dei dati in caso di danneggiamento o distruzione; della formazione degli incaricati; dei criteri per l’adozione delle misure minime di sicurezza; dei criteri per la cifratura e per la separazione dagli altri dati in caso di trattamento di dati sensibili inerenti alla salute e alla vita sessuale.

[21] Obbligo appunto abrogato dall’art. 45, c. 1, lett. d),del d.l. 9 febbraio 2012, n. 5, convertito con modificazioni, dalla l. 4 aprile 2012, n. 35.

[22] Tali novità sono anche la logica conseguenza di ciò che di nuovo è stato introdotto dal Regolamento, ad esempio il diritto alla cancellazione ex art. 17.

[23] Si veda quanto specificato nella nota n.2.

[24] L’art. 38 prescrive le modalità con le quali la notificazione deve avvenire. Questa deve essere presentata al Garante prima dell’inizio del trattamento ed una sola volta a prescindere dal numero delle operazioni e della durata del trattamento, potendo riguardare uno o più trattamenti con finalità correlate. Inoltre, la notificazione deve avvenire trasmettendo direttamente al sito dell’Autorità l’apposito modello compilato in tutte le sue parti. Detto modello richiede l’indicazione dei seguenti elementi del trattamento: i dati identificativi del titolare, dell’eventuale rappresentante e del responsabile; le finalità; le categorie di interessati e di dati; i destinatari oggetto di eventuale comunicazione degli stessi; i trasferimenti extra Ue, una descrizione generale delle misure di sicurezza adottate.

[25] C. Bistolfi, Le obbligazioni di compliance in materia di protezione dei dati, in AA. VV., L. Bolognini – E. Pelino – C. Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016, 327.

Share this article!
Share.