Il Registro delle attività di trattamento è un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile, come disciplinato dall’Art. 30 del Regolamento UE 679/2016.
La tenuta del registro, non costituisce un adempimento formale, bensì è parte integrante di un sistema di corretta gestione dei dati personali e costituisce uno dei principali elementi di accountability del titolare, in quanto è lo strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto ad ogni sviluppo di adempimento.
Rispetto ad ogni trattamento, il registro deve descrivere:
- le finalità di ogni trattamento: deve essere precisato per quale ragione trattiamo i dati. E’ importante considerare che anche l’archiviazione costituisce un trattamento;
- la base giuridica: il dato può essere trattato in esecuzione di un contratto in essere o di un consenso raccolto, oppure per legittimo interesse del titolare del trattamento. La corretta individuazione della base giuridica è fondamentale per la successiva individuazione delle procedure di informazione e gestione dei dati trattati;
- le tipologie di interessati: devono essere indicati per gruppi i soggetti coinvolti dal trattamento dei dati;
- Quali dati vengono trattati e per quanto tempo: l’individuazione della durata del trattamento deve poggiare sia su esigenze specifiche dell’organizzazione che su elementi di adempimento ad altre norme, ad esempio civilistiche e fiscali;
- A chi possono essere trasferiti i dati e con quale ruolo: contitolare, responsabile esterno, autorizzato. I soggetti che entrano in disponibilità, più o meno autonoma, dei dati, devono ricevere e sottoscrivere adeguati modelli di nomina.
La principale difficoltà riscontrata per i titolari e i responsabili del trattamento è quella di individuare le attività di business effettuate dalla propria organizzazione che presuppongono la raccolta ed elaborazione di dati personali e, successivamente, di distinguerli in base alle finalità perseguite, alla base giuridica che ne legittimano il trattamento ed alle categorie di interessati coinvolti.
Questo è dovuto alle competenze del personale delegato dal titolare o dal responsabile del trattamento ad effettuare le attività di censimento dei trattamenti, in quanto, rispondono, come ovvio, più alla conoscenza del proprio business piuttosto che alle attività effettuate dall’organizzazione nei termini e definizioni previste dalla disciplina in materia di protezione dei dati personali.
Altro fattore di differenziazione tra i modelli di Registro dei trattamenti riguarda l’interpretazione degli scopi di utilizzo dello strumento, dove spesso viene interpretato come mero obbligo formale. Infatti, l’indicazione, ad esempio, dello strumento cartaceo o informatico utilizzato per ciascun trattamento censito può risultare un’importante informazione nelle fasi successive di valutazione dei rischi per la sicurezza del trattamento, come anche della necessità di designare un fornitore di servizi di gestione e manutenzione dei sistemi IT come responsabile esterno dei trattamenti ai sensi dell’Art. 28 del Regolamento.
La consulenza GDPR si rivela particolarmente utile proprio nell’individuazione delle responsabilità esterne collegate all’organizzazione e nell’utilizzo di opportuni strumenti utili a tutelare il titolare del trattamento riguardo situazioni in cui i dati vengono gestiti da terzi e fuori dal suo controllo.Rispetto ad ogni trattamento, devono inoltre essere indicate le condizioni tecniche e organizzative adottate per gestire la sicurezza dei dati trattati.
Misure tecniche:
- ☒autenticazione
- ☐autorizzazione
- ☐cifratura dati
- ☒firewall
- ☒antivirus
- ☒allarme
- ☐videosorveglianza esterna
- ☒backup.
Misure organizzative:
- ☐nomina per iscritto personale
- ☒istruzioni per il trattamento
- ☒accesso controllato
- ☐armadi chiusi
- ☒procedure modifica credenziali
- ☐policy aziendali
- ☒formazione
- ☒nomina per iscritto responsabili esterni.
L’analisi delle misure di sicurezza adottate costituisce la base di intervento in base alle evidenze della valutazione di impatto e analisi del rischio che, anche dove non venga formalizzata in un modello strutturato di DPIA, introduce la possibilità di prevedere future azioni di miglioramento della sicurezza dei dati.
Qualsiasi organizzazione, procedendo a questo tipo di analisi, non solo riguardo i dati rilevanti GDPR, ma in generale, rispetto a tutti i dati trattati, in primo luogo se strategici, ha modo di evidenziare rischi e carenze strutturali. Scoprire che i propri dati sono a rischio significa poter intervenire minimizzando i costi di intervento e la quantificazione dei danni.