Che sia o meno obbligatoria, la raccolta delle informazioni elencate nell\u2019articolo 30 per la compilazione del registro delle attivit\u00e0 di trattamento \u00e8 comunque una necessit\u00e0 imprescindibile per chiunque debba rispettare il GDPR.
\nL\u2019esperienza di questi primi mesi dedicati alla implementazione del GDPR ha evidenziato come siano importanti alcuni aspetti che qui sintetizzo.<\/p>\n
USO DI UNA CORRETTA TERMINOLOGIA<\/strong> \u00abtrattamento\u00bb:qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;<\/em><\/p>\n \u00c8 importante distinguere sempre il concetto di trattamento da quello di attivit\u00e0 di trattamento, per mantenere una coerenza con la normativa e per garantire l\u2019uso di un linguaggio comune fra tutti i soggetti coinvolti nel processo di gestione dei dati. Elenco dei trattamenti di dati personali<\/em><\/p>\n mentre il modello di DPS proposto dall\u2019Autorit\u00e0 Garante (pur con lo stesso uso disinvolto dei termini) portava a intuire che con tale accezione si richiedeva un elenco delle attivit\u00e0 di trattamento. svuotando di fatto di qualunque significato un adempimento considerato puramente burocratico e non, quale era, un utilissimo strumento per comprendere come una organizzazione trattava il proprio patrimonio informativo.<\/p>\n DA DOVE PARTIRE<\/strong> Per ciascun trattamento vanno indicate le seguenti informazioni secondo il livello di sintesi determinato dal titolare: <\/em> Analogamente per la compilazione del registro delle attivit\u00e0 di trattamento \u00e8 possibile partire da fonti diverse: Comunque si parta \u00e8 opportuno ricordare che alla fine si devono avere come minimo tutte le informazioni richieste dall\u2019articolo 30. in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi \u2026 di trattamento non consentito o non conforme alle finalit\u00e0 della raccolta<\/em><\/p>\n Possono aiutare nell\u2019attivit\u00e0 di mappatura elenchi precostituiti, come quello delle finalit\u00e0 di trattamento che accompagnava la Notifica dei trattamenti prevista dalla 675\/96, o per le organizzazioni che hanno certificazioni in qualche ambito (qualit\u00e0, ambiente\u2026) la relativa mappatura dei processi (sono disponibili in letteratura elenchi di processi per i vari settori produttivi). DECISIONI DA PRENDERE<\/strong> DALLA TEORIA ALLA PRATICA<\/strong> REGISTRO O REGISTRI<\/strong> CONCLUSIONE<\/strong> <\/p>","protected":false},"excerpt":{"rendered":" Che sia o meno obbligatoria, la raccolta delle informazioni elencate nell\u2019articolo 30 per la compilazione del registro delle attivit\u00e0 di trattamento \u00e8 comunque una necessit\u00e0 imprescindibile per chiunque debba rispettare il GDPR. L\u2019esperienza di questi primi mesi dedicati alla implementazione del GDPR ha evidenziato come siano importanti alcuni aspetti che qui sintetizzo. USO DI UNA\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":42,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-3201","post","type-post","status-publish","format-standard","hentry","category-legal-framework"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3201","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=3201"}],"version-history":[{"count":4,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3201\/revisions"}],"predecessor-version":[{"id":3205,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3201\/revisions\/3205"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=3201"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=3201"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=3201"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nNell\u2019affrontare questo tema \u00e8 doveroso utilizzare una corretta terminologia.
\nSi parla infatti di attivit\u00e0 di trattamento e non di trattamenti, in quanto questi ultimi sono ben definiti dall\u2019articolo 4 del GDPR che cos\u00ec li declina:<\/p>\n
\nAl riguardo non aiutano gli errori che lo stesso legislatore o le autorit\u00e0 Garanti compiono nel disinvolto uso di tali termini, visto che anche il CNIL nel suo modello utilizza il termine trattamento in luogo di attivit\u00e0 di trattamento. Non \u00e8 tuttavia una semplice questione di termini vista l\u2019esperienza passata.
\nAd esempio l\u2019attuale normativa recitava che il DPS dovesse contenere un:<\/p>\n
\nAlcune guide alla realizzazione del DPS tuttavia, realizzate anche da importanti associazioni di categoria, liquidava questo adempimento con un elenco dei possibili trattamenti e quindi con una lista di questo tipo:
\n\u25a1\u00a0raccolta
\n\u25a1\u00a0registrazione
\n\u25a1\u00a0organizzazione
\n\u25a1\u00a0conservazione
\n\u25a1\u00a0consultazione
\n\u25a1\u00a0elaborazione
\n\u25a1\u00a0modificazione
\n\u25a1\u00a0selezione
\n\u25a1\u00a0estrazione
\n\u25a1\u00a0raffronto
\n\u25a1\u00a0utilizzo
\n\u25a1\u00a0interconnessione
\n\u25a1\u00a0blocco
\n\u25a1\u00a0comunicazione
\n\u25a1\u00a0diffusione
\n\u25a1\u00a0cancellazione
\n\u25a1\u00a0distruzione<\/p>\n
\nChiarito che parliamo di attivit\u00e0 di trattamento e non di trattamenti riprendiamo il vecchio DPS.
\nLa Guida del Garante alla compilazione del DPS riportava:<\/p>\n
\nDescrizione sintetica: menzionare il trattamento dei dati personali attraverso l\u2019indicazione della finalit\u00e0 perseguita o dell\u2019attivit\u00e0 svolta (es., fornitura di beni o servizi, gestione del personale, ecc.) e delle categorie di persone cui i dati si riferiscono (clienti o utenti, dipendenti e\/o collaboratori, fornitori, ecc.).<\/em><\/p>\n
\n\u2022\u00a0dalle finalit\u00e0 del trattamento (perch\u00e9 cio\u00e8 sto trattando quei dati)
\n\u2022\u00a0dalle attivit\u00e0 di trattamento (il che porta a considerare un approccio ad esempio per processi)
\no anche:
\n\u2022\u00a0dai dati elementari presenti negli archivi, individuando successivamente quelle che sono le attivit\u00e0 e finalit\u00e0 per le quali tali dati sono trattati.<\/p>\n
\n\u00c8 evidente che una piccola organizzazione potr\u00e0 agevolmente mappare le proprie attivit\u00e0 di trattamento con un approccio misto, al tempo stesso top-down e bottom-up, riprendendo in molti casi il contenuto del DPS ed ampliandolo dove occorra fino ad arrivare al dettaglio del dato sul singolo archivio.
\nA tal riguardo \u00e8 importante ricordare che per archivi non si devono intendere solo quelli presenti sul sistema informativo centrale, ma anche quelli presenti sul pc dei singoli utenti. Al riguardo la presenza di policy che vietano l\u2019archiviazione in locale dei dati non esime il Titolare dalla responsabilit\u00e0 derivante dalla loro presenza e dal loro uso.
\nL\u2019abitudine degli utenti di estrarre anche grandi quantit\u00e0 di dati dal sistema informativo per effettuare elaborazioni in locale con strumenti di produttivit\u00e0 individuale \u00e8 talmente radicata che nell\u2019ambito bancario \u00e8 specificatamente normata da Banca d\u2019Italia nella sua Circolare 285.
\nIl mancato presidio di tali estrazioni ed elaborazioni \u00e8 contrario ai principi base previsti sia dall\u2019attuale normativa sia dal GDPR che impongono ad esempio (D.Lgs 196\/03)<\/p>\n
\nPer una grande organizzazione questo doveroso approccio plurimo pu\u00f2 rivelarsi alquanto difficoltoso, in particolare l\u00e0 dove non si disponga di un modello dati precostituito e\/o di strumenti di mappatura automatica dei dati presenti nei vari database.<\/p>\n
\nFra le decisioni che una organizzazione deve prendere nell\u2019approcciare la redazione del registro delle attivit\u00e0 di trattamento vi \u00e8 il livello di dettaglio con cui effettuare tale mappatura ed il livello di astrazione che la stessa deve avere.
\nUna possibile soluzione \u00e8 la valutazione della capacit\u00e0 della organizzazione di manutenere nel tempo un registro che, per sua natura, non \u00e8 per nulla stabile. Il livello di dettaglio dovrebbe essere quindi quello che l\u2019organizzazione \u00e8 in grado di mantenere con relativa facilit\u00e0.
\nA questo proposito tuttavia va fatta una distinzione sul tipo di approccio che l\u2019organizzazione pu\u00f2 avere nei confronti del registro delle attivit\u00e0 di trattamento e sul fatto che lo consideri un mero adempimento burocratico o uno strumento di lavoro.
\nCome accennavo all\u2019inizio le informazioni contenute nel registro devono comunque essere raccolte e gestite dall\u2019organizzazione per poter rispettare il GDPR e devono essere aggiornate quasi in tempo reale.
\nDifficile in caso contrario poter dimostrare (accountabilty) di operare secondo un principio di privacy by design. Avere un registro non aggiornato evidenzierebbe di fatto la mancanza di un presidio nel continuo del proprio modello privacy.<\/p>\n
\nLa compilazione del registro pu\u00f2 essere fatta con vari strumenti; dal semplice foglio di carta ad un foglio excel ad un vero e proprio database.
\nTuttavia gi\u00e0 il modello semplificato proposto dal CNIL (che assolve di fatto la sola prescrizione normativa) pur non entrando nel dettaglio ad esempio, di quali siano le relazioni fra categoria di interessati e categoria di dati trattati, evidenzia come non esista un rapporto univoco fra attivit\u00e0 di trattamento, categoria di dati trattati e categoria di interessati.
\nNella pratica questa relazione esiste ed \u00e8 determinante.
\nLa stessa tipologia di dato (prendiamo ad esempio i dati anagrafici di un interessato) pu\u00f2 avere dei tempi di conservazione diversi in funzione dell\u2019interessato a cui si riferisce ed alla relativa finalit\u00e0 di trattamento.
\nQuindi le relazioni che si devono costruire fra i vari componenti del registro non sono del tipo uno a uno o uno a molti, ma molti a molti.
\nConsideriamo che l\u2019interessato sia un cliente.
\nI suoi dati anagrafici potranno avere un tempo di conservazione diverso in funzione del tipo di finalit\u00e0 (adempimento contrattuale, adempimento fiscale o legale, attivit\u00e0 di marketing\u2026).
\n\u00c8 importante ricordare che nella compilazione del registro si sta parlando non di un dato fisico, ma di una sua astrazione, cio\u00e8 di un modello.
\nIl reale tempo di conservazione sui sistemi o sui documenti di tale dato varier\u00e0 in funzione della configurazione fisica ad esempio del sistema informativo.
\nSe lo stesso dato sar\u00e0 replicato su database diversi in funzione della finalit\u00e0 del trattamento si potr\u00e0 realmente procedere ad esempio alla sua cancellazione fisica una volta terminato il tempo previsto di conservazione.
\nMa se il dato \u00e8 presente su un solo database sar\u00e0 necessario procedere tecnicamente in altro modo, diverso dalla cancellazione, se i tempi di conservazione previsti dalle varie finalit\u00e0 sono diversi. Ad esempio sar\u00e0 necessario inibire il trattamento del dato, fisicamente ancora presente, per quelle finalit\u00e0 per le quali il tempo di conservazione \u00e8 scaduto.
\nEcco quindi che il passaggio dal dato astratto al dato fisico ha degli impatti non indifferenti, dei quali \u00e8 necessario tener conto nella propria attivit\u00e0 di mappatura.
\nLe informazioni da raccogliere quindi, per adempiere correttamente alle prescrizioni del GDPR aumentano esponenzialmente, motivo per cui \u00e8 bene considerare un approccio con approfondimenti progressivi, che consentano di essere pienamente conformi per la data di piena efficacia del GDPR.<\/p>\n
\nDa ultimo \u00e8 opportuno considerare che troppo spesso un\u2019organizzazione approccia i propri adempimenti con la sola ottica del Titolare di trattamento, dimenticando che a volte pu\u00f2 ricoprire contemporaneamente anche ruoli diversi, in particolare quello di Responsabile di trattamento.
\n\u00c8 ad esempio piuttosto comune che una banca sia designata responsabile di trattamento da parte degli enti per i quali svolge attivit\u00e0 di tesoreria.
\nTale fattispecie potr\u00e0 ampliarsi notevolmente con il GDPR che appare pi\u00f9 prescrittivo circa i casi nei quali la designazione di tale soggetto si renda necessaria.
\nTale eventualit\u00e0 porta un\u2019organizzazione non solo a dovere redigere il registro delle attivit\u00e0 di trattamento che svolge in qualit\u00e0 di Titolare, ma anche i registri di quelle svolte in qualit\u00e0 di Responsabile.
\nOvviamente questo non \u00e8 il solo impatto della contemporanea pluralit\u00e0 di ruoli svolti da un soggetto (tale aspetto impatta notevolmente ad esempio anche sulla redazione di contratti con outsourcer che al tempo stesso possono apparire come fornitori o subfornitori).<\/p>\n
\nConsiderando che la compilazione del registro delle attivit\u00e0 di trattamento o comunque della mappatura dei dati trattati \u00e8 uno dei primi passi necessari per poter adempiere alle prescrizioni del GDPR \u00e8 utile approcciarlo con il giusto livello di attenzione, evitando semplificazioni che si rivelerebbero incompatibili con il corretto adempimento delle stesse.<\/p>\n