Tutti i Titolari e i Responsabili di trattamento, eccetto gli organismi con meno di 250 dipendenti, sono obbligati a tenere un registro delle operazioni di trattamento. Per le eccezioni di cui all’articolo 30.5 rimando al mio precedente articolo.
Dunque, il Regolamento prevede due distinti regolamenti : uno del Titolare del trattamento e uno del Responsabile.
La scelta del legislatore europeo di descrivere in modo diligente i contenuti di entrambi i registri, mi ha indotto inevitabilmente a delle riflessioni in merito alle differenze contenutistiche e alla portata di questi.
Procedo con illustrarvi in modo schematico i requisiti che la normativa richiede per uno e per l’altro registro.
Da una prima lettura superficiale si può dedurre che, cosi come sopra esposto, esistono (sulla carta) delle differenze contenutistiche:
- i punti b) c) d) ed f) elencati nel registro del Titolare del trattamento non sono previsti nel registro del Responsabile
- il punto b) presente nel registro del Responsabile non è invece specificato nel registro del Titolare.
Divergenze, che a parere di chi scrive ( 8condivise da soggetti autorevoli in materia) sono “apparenti” nonchè facilmente superabili all’atto pratico della redazione del Registro.
Cosa intendo dire.
La richiesta al Responsabile del Trattamento, di redigere un registro di tutte le “categorie di attività” relative al trattamento svolte per conto di un titolare contentente tra le altre voci la descrizione delle “categorie dei trattamenti effettuati” (punto b) impone allo stesso Responsabile di procedere con una descrizione dei trattamenti.
Una descrizione del trattamento esaustiva, completa, puntuale e dettagliata avviene fornendo le stesse informazioni corrispondenti ai punti b) c) d) par.1. ovvero le finalità, una descrizione delle categorie di interessati e le categorie di destinatati a cui i dati personali sono stati o saranno comunicati.
Ne approfitto per riportare, quanto scritto recentemente in un articolo di Cesare Gallotti (https://blog.europrivacy.org/it/2017/03/07/how-to-engage-processors/) “l’atto di nomina deve contenere ai sensi dell’articolo 28, punto 3 “la materia , la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati” al fine di sottolineare che le informazioni di cui sopra sono contenute obbligatoriamente all’interno dell’atto di nomina.
Analogo discorso vale per il requisito di cui al punto f) del registro del TItolare inerente all’indicazione del termine di cancellazione.
La scelta del legislatore di escludere tale condizione all’interno del Registro del Responsabile del Trattamento sottolinea (secondo parere di chi scrive) l’importanza decisionale di questo trattamento in capo al Titolare.
Di fatto spetta a quest’ultimo disporre in merito a tale attività nell’atto di nomina, indicando se al termine della prestazione oggetto di nomina il responsabile debba cancellare o restituire i dati, e non solo, secondo parere di chi scrive il titolare dovrà disporre in merito anche alle modalità di cancellazione, alla eventuale esibizione di una dichiarazione di avvenuta cancellazione nonchè al potere di questo di verificarne l’avvenuta cancellazione.
Passando oltre, troviamo rispettivamente al punto g) par 1. e al punto d) par. 2, ciò che a mio parere rappresenta il cuore del registro: la “descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32.1”.
Tale attività implica per entrambi i soggetti obbligati un’attenta analisi dei rischi da valutare in relazione a diversi fattori tra cui:
- il contesto in cui le attività avvengono,
- la tipologia di trattamento effettuato;
- dalle modalità di trattamento;
- le finalità di trattamento
- dagli strumenti utilizzati,
- dal luogo di conservazione;
I due registri seppur collegati attraverso l’ atto di nomina, non avranno identico contenuto e non indicheranno le medesime misure di sicurezza. I mutamenti dei fattori appena elencati comporteranno inevitabilmente ad una valutazione del rischio diversa per ogni attività con differenti misure di sicurezza adeguate al rischio riscontrato.
Interessante tematica quella da te affrontata sulla tenuta dei registri delle attività di trattamento.
In aggiunta segnalo che nelle linee guida sul Data Protection Officer adottate il 13 dicembre 2016 – versione emendata e adottata in data 5 aprile 2017 il WP29, in base alla prassi operativa, riconosce la possibilità per i titolari e i responsabili del trattamento di affidare al DPO il compito di tenere il registro delle attività di trattamento. Sottolinea che tale registro va considerato uno degli strumenti che consentono al DPO di adempiere agli obblighi di sorveglianza del rispetto del regolamento, informazione e consulenza nei riguardi del titolare o del responsabile. Infine viene ripreso il principio di Accountability considerando la tenuta del registro un’efficace misura di responsabilizzazione (trattamento dei dati conforme alle norme).
Per estratto dalle linee guida del WP29:
“4.5. Il ruolo del RPD nella tenuta del registro delle attività di trattamento
L’art. 30, primo e secondo paragrafo, prevede che sia il titolare o il responsabile del trattamento, e non il RPD, a “ten[ere] un registro delle attività di trattamento svolte sotto la propria responsabilità” ovvero “un registro di tutte le categorie di trattamento svolte per conto di un titolare del trattamento”.
Nella realtà, sono spesso i RPD a realizzare l’inventario dei trattamenti e tenere un registro di tali trattamenti sulla base delle informazioni fornite loro dai vari uffici o unità che trattano dati personali. È una prassi consolidata e fondata sulle disposizioni di numerose leggi nazionali nonché sulla normativa in materia di protezione dati applicabile alle istituzioni e agli organismi dell’Ue.
L’art. 39, primo paragrafo, contiene un elenco non esaustivo dei compiti affidati al RPD. Pertanto, niente vieta al titolare o al responsabile del trattamento di affidare al RPD il compito di tenere il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile stesso. Tale registro va considerato uno degli strumenti che consentono al RPD di adempiere agli obblighi di sorveglianza del rispetto del regolamento, informazione e consulenza nei riguardi del titolare o del responsabile.
In ogni caso, il registro la cui tenuta è obbligatoria ai sensi dell’art. 30 deve essere considerato anche uno strumento che consente al titolare e all’autorità di controllo, su richiesta, di disporre di un quadro complessivo dei trattamenti di dati personali svolti dallo specifico soggetto. In quanto tale, esso costituisce un presupposto indispensabile ai fini dell’osservanza delle norme e, pertanto, un’efficace misura di responsabilizzazione.”