Che sia o meno obbligatoria, la raccolta delle informazioni elencate nell’articolo 30 per la compilazione del registro delle attività di trattamento è comunque una necessità imprescindibile per chiunque debba rispettare il GDPR.
L’esperienza di questi primi mesi dedicati alla implementazione del GDPR ha evidenziato come siano importanti alcuni aspetti che qui sintetizzo.
USO DI UNA CORRETTA TERMINOLOGIA
Nell’affrontare questo tema è doveroso utilizzare una corretta terminologia.
Si parla infatti di attività di trattamento e non di trattamenti, in quanto questi ultimi sono ben definiti dall’articolo 4 del GDPR che così li declina:
«trattamento»:qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
È importante distinguere sempre il concetto di trattamento da quello di attività di trattamento, per mantenere una coerenza con la normativa e per garantire l’uso di un linguaggio comune fra tutti i soggetti coinvolti nel processo di gestione dei dati.
Al riguardo non aiutano gli errori che lo stesso legislatore o le autorità Garanti compiono nel disinvolto uso di tali termini, visto che anche il CNIL nel suo modello utilizza il termine trattamento in luogo di attività di trattamento. Non è tuttavia una semplice questione di termini vista l’esperienza passata.
Ad esempio l’attuale normativa recitava che il DPS dovesse contenere un:
Elenco dei trattamenti di dati personali
mentre il modello di DPS proposto dall’Autorità Garante (pur con lo stesso uso disinvolto dei termini) portava a intuire che con tale accezione si richiedeva un elenco delle attività di trattamento.
Alcune guide alla realizzazione del DPS tuttavia, realizzate anche da importanti associazioni di categoria, liquidava questo adempimento con un elenco dei possibili trattamenti e quindi con una lista di questo tipo:
□ raccolta
□ registrazione
□ organizzazione
□ conservazione
□ consultazione
□ elaborazione
□ modificazione
□ selezione
□ estrazione
□ raffronto
□ utilizzo
□ interconnessione
□ blocco
□ comunicazione
□ diffusione
□ cancellazione
□ distruzione
svuotando di fatto di qualunque significato un adempimento considerato puramente burocratico e non, quale era, un utilissimo strumento per comprendere come una organizzazione trattava il proprio patrimonio informativo.
DA DOVE PARTIRE
Chiarito che parliamo di attività di trattamento e non di trattamenti riprendiamo il vecchio DPS.
La Guida del Garante alla compilazione del DPS riportava:
Per ciascun trattamento vanno indicate le seguenti informazioni secondo il livello di sintesi determinato dal titolare:
Descrizione sintetica: menzionare il trattamento dei dati personali attraverso l’indicazione della finalità perseguita o dell’attività svolta (es., fornitura di beni o servizi, gestione del personale, ecc.) e delle categorie di persone cui i dati si riferiscono (clienti o utenti, dipendenti e/o collaboratori, fornitori, ecc.).
Analogamente per la compilazione del registro delle attività di trattamento è possibile partire da fonti diverse:
• dalle finalità del trattamento (perché cioè sto trattando quei dati)
• dalle attività di trattamento (il che porta a considerare un approccio ad esempio per processi)
o anche:
• dai dati elementari presenti negli archivi, individuando successivamente quelle che sono le attività e finalità per le quali tali dati sono trattati.
Comunque si parta è opportuno ricordare che alla fine si devono avere come minimo tutte le informazioni richieste dall’articolo 30.
È evidente che una piccola organizzazione potrà agevolmente mappare le proprie attività di trattamento con un approccio misto, al tempo stesso top-down e bottom-up, riprendendo in molti casi il contenuto del DPS ed ampliandolo dove occorra fino ad arrivare al dettaglio del dato sul singolo archivio.
A tal riguardo è importante ricordare che per archivi non si devono intendere solo quelli presenti sul sistema informativo centrale, ma anche quelli presenti sul pc dei singoli utenti. Al riguardo la presenza di policy che vietano l’archiviazione in locale dei dati non esime il Titolare dalla responsabilità derivante dalla loro presenza e dal loro uso.
L’abitudine degli utenti di estrarre anche grandi quantità di dati dal sistema informativo per effettuare elaborazioni in locale con strumenti di produttività individuale è talmente radicata che nell’ambito bancario è specificatamente normata da Banca d’Italia nella sua Circolare 285.
Il mancato presidio di tali estrazioni ed elaborazioni è contrario ai principi base previsti sia dall’attuale normativa sia dal GDPR che impongono ad esempio (D.Lgs 196/03)
in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi … di trattamento non consentito o non conforme alle finalità della raccolta
Possono aiutare nell’attività di mappatura elenchi precostituiti, come quello delle finalità di trattamento che accompagnava la Notifica dei trattamenti prevista dalla 675/96, o per le organizzazioni che hanno certificazioni in qualche ambito (qualità, ambiente…) la relativa mappatura dei processi (sono disponibili in letteratura elenchi di processi per i vari settori produttivi).
Per una grande organizzazione questo doveroso approccio plurimo può rivelarsi alquanto difficoltoso, in particolare là dove non si disponga di un modello dati precostituito e/o di strumenti di mappatura automatica dei dati presenti nei vari database.
DECISIONI DA PRENDERE
Fra le decisioni che una organizzazione deve prendere nell’approcciare la redazione del registro delle attività di trattamento vi è il livello di dettaglio con cui effettuare tale mappatura ed il livello di astrazione che la stessa deve avere.
Una possibile soluzione è la valutazione della capacità della organizzazione di manutenere nel tempo un registro che, per sua natura, non è per nulla stabile. Il livello di dettaglio dovrebbe essere quindi quello che l’organizzazione è in grado di mantenere con relativa facilità.
A questo proposito tuttavia va fatta una distinzione sul tipo di approccio che l’organizzazione può avere nei confronti del registro delle attività di trattamento e sul fatto che lo consideri un mero adempimento burocratico o uno strumento di lavoro.
Come accennavo all’inizio le informazioni contenute nel registro devono comunque essere raccolte e gestite dall’organizzazione per poter rispettare il GDPR e devono essere aggiornate quasi in tempo reale.
Difficile in caso contrario poter dimostrare (accountabilty) di operare secondo un principio di privacy by design. Avere un registro non aggiornato evidenzierebbe di fatto la mancanza di un presidio nel continuo del proprio modello privacy.
DALLA TEORIA ALLA PRATICA
La compilazione del registro può essere fatta con vari strumenti; dal semplice foglio di carta ad un foglio excel ad un vero e proprio database.
Tuttavia già il modello semplificato proposto dal CNIL (che assolve di fatto la sola prescrizione normativa) pur non entrando nel dettaglio ad esempio, di quali siano le relazioni fra categoria di interessati e categoria di dati trattati, evidenzia come non esista un rapporto univoco fra attività di trattamento, categoria di dati trattati e categoria di interessati.
Nella pratica questa relazione esiste ed è determinante.
La stessa tipologia di dato (prendiamo ad esempio i dati anagrafici di un interessato) può avere dei tempi di conservazione diversi in funzione dell’interessato a cui si riferisce ed alla relativa finalità di trattamento.
Quindi le relazioni che si devono costruire fra i vari componenti del registro non sono del tipo uno a uno o uno a molti, ma molti a molti.
Consideriamo che l’interessato sia un cliente.
I suoi dati anagrafici potranno avere un tempo di conservazione diverso in funzione del tipo di finalità (adempimento contrattuale, adempimento fiscale o legale, attività di marketing…).
È importante ricordare che nella compilazione del registro si sta parlando non di un dato fisico, ma di una sua astrazione, cioè di un modello.
Il reale tempo di conservazione sui sistemi o sui documenti di tale dato varierà in funzione della configurazione fisica ad esempio del sistema informativo.
Se lo stesso dato sarà replicato su database diversi in funzione della finalità del trattamento si potrà realmente procedere ad esempio alla sua cancellazione fisica una volta terminato il tempo previsto di conservazione.
Ma se il dato è presente su un solo database sarà necessario procedere tecnicamente in altro modo, diverso dalla cancellazione, se i tempi di conservazione previsti dalle varie finalità sono diversi. Ad esempio sarà necessario inibire il trattamento del dato, fisicamente ancora presente, per quelle finalità per le quali il tempo di conservazione è scaduto.
Ecco quindi che il passaggio dal dato astratto al dato fisico ha degli impatti non indifferenti, dei quali è necessario tener conto nella propria attività di mappatura.
Le informazioni da raccogliere quindi, per adempiere correttamente alle prescrizioni del GDPR aumentano esponenzialmente, motivo per cui è bene considerare un approccio con approfondimenti progressivi, che consentano di essere pienamente conformi per la data di piena efficacia del GDPR.
REGISTRO O REGISTRI
Da ultimo è opportuno considerare che troppo spesso un’organizzazione approccia i propri adempimenti con la sola ottica del Titolare di trattamento, dimenticando che a volte può ricoprire contemporaneamente anche ruoli diversi, in particolare quello di Responsabile di trattamento.
È ad esempio piuttosto comune che una banca sia designata responsabile di trattamento da parte degli enti per i quali svolge attività di tesoreria.
Tale fattispecie potrà ampliarsi notevolmente con il GDPR che appare più prescrittivo circa i casi nei quali la designazione di tale soggetto si renda necessaria.
Tale eventualità porta un’organizzazione non solo a dovere redigere il registro delle attività di trattamento che svolge in qualità di Titolare, ma anche i registri di quelle svolte in qualità di Responsabile.
Ovviamente questo non è il solo impatto della contemporanea pluralità di ruoli svolti da un soggetto (tale aspetto impatta notevolmente ad esempio anche sulla redazione di contratti con outsourcer che al tempo stesso possono apparire come fornitori o subfornitori).
CONCLUSIONE
Considerando che la compilazione del registro delle attività di trattamento o comunque della mappatura dei dati trattati è uno dei primi passi necessari per poter adempiere alle prescrizioni del GDPR è utile approcciarlo con il giusto livello di attenzione, evitando semplificazioni che si rivelerebbero incompatibili con il corretto adempimento delle stesse.
Mi riallaccio alla conclusione di Giancarlo solo per segnalare che la ns Autorità Garante nella “Guida all’applicazione del Regolamento UE 2016 679 ” http://194.242.234.211/documents/10160/0/Guida+all+applicazione+del+Regolamento+UE+2016+679.pdf
richiama l’attenzione sulla sostanziale coincidenza fra i contenuti della notifica dei trattamenti di cui all’art. 38 comma 2 D. Lgs 196/03 e quelli che devono costituire il registro dei trattamenti ex art. 30 Reg. Ue. 2016/679.
Questa puntualizzazione da parte della ns autorità Garante e la possibilità, da quest’ultima paventata di mettere a disposizione un modello di registro dei trattamenti sul proprio sito istituzionale, potrebbe essere utile spunto per ulteriori considerazioni sul lavoro che ci aspetta.
Laura