Che cos’è il Registro delle attività di trattamento dei dati personali?
A Maggio 2016, è entrato in vigore il Regolamento Europeo per la protezione dei dati personali o GDPR (Regolamento EU 679/2016), che, da una parte abroga la direttiva 95/46/CE – che fino a oggi ha costituito il fondamento per la regolamentazione della tutela dei dati personali in Europa – insieme a tutte le normative nazionali da essa derivate; dall’altra, prevede l’introduzione di una serie di misure tecniche e organizzative.
Il GDPR avrà piena applicazione il 24 Maggio 2018: fino a tale data, le società che trattano dati personali devono adottare le misure tecniche e organizzative previste.
Tra le misure che tale atto legislativo comunitario introduce vi è il Registro delle Attività di Trattamento, disciplinato all’art. 30 del Regolamento che, per molti versi, ricorda il Documento Programmatico sulla Sicurezza (DPS). Vediamo perché.
Un breve excursus sul DPS
Il DPS era un adempimento introdotto dal D. Lgs. 196/2003 (Codice della Privacy) che, all’articolo 34, comma 1 lett g), prevedeva a carico del Titolare del trattamento l’adozione di un aggiornato Documento Programmatico sulla Sicurezza, qualora il trattamento fosse svolto con strumenti elettronici.
Nell’Allegato B, al punto 19, erano, poi, disciplinati i requisiti che doveva avere il DPS, in particolare, tale Documento doveva contenere:
- l’elenco dei trattamenti di dati personali;
- l’indicazione della distribuzione dei compiti e delle responsabilità relativamente alla tutela dei dati personali;
- l’analisi dei rischi sui dati oggetto del trattamento;
- l’indicazione delle misure, tecniche e organizzative, adottate per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali;
- la descrizione dei criteri e delle modalità di ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
- l’erogazione della formazione a quanti svolgessero trattamenti sui dati personali e sensibili;
- l’adozione e le modalità di adozione delle misure minime di sicurezza previste dalla normativa privacy.
Tale documento doveva essere redatto o aggiornato dal Titolare del trattamento entro il 31 marzo di ciascun anno.
L’adozione e aggiornamento del DPS permettevano a un’azienda di tenere sotto controllo i trattamenti di dati effettuati, garantendone la sicurezza e prevenendo – o almeno cercando di limitare – la perdita di dati e, di conseguenza, le eventuali sanzioni da parte dell’Autorità Garante.
Il Decreto Legge 5/2012 (Decreto Monti) ha abrogato l’obbligo di tenuta e aggiornamento di tale Documento, creando alle aziende una serie di complicazioni, prima fra tutte la decisione sul continuare a tenerlo aggiornato o meno…
E chi ha deciso di continuare a adottarlo, a parer mio, ben ha fatto, data l’introduzione, nel GDPR, del Registro dei trattamenti.
Novità e requisiti previsti per il nuovo Registro delle attività di trattamento
Il nuovo Regolamento Europeo della Privacy menziona questo nuovo adempimento sia nel considerando 82 sia nel testo all’articolo 30. Vediamoli nel dettaglio.
Il considerando 82 introduce la prima novità, prevedendo – in presenza di specifiche condizioni di trattamento dei dati – un obbligo di tenuta a carico sia del Titolare (Data Controller) sia del Responsabile (Data Processor) di un “registro delle attività di trattamento effettuate sotto la sua responsabilità”. L’art. 30 precisa, inoltre, che il Data Processor deve tenere un “registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento”. Viene introdotto, quindi, anche a carico del Data Processor l’obbligo di tenuta di un Registro relativo ai trattamenti effettuati per conto del Data Controller, diverso da quello adottato dal Data Controller, ma contenente, oltre ai requisiti previsti, il nome e i dati di contatto del/i Data Controller per il/i quale/i effettua il/i trattamento/i.
Al contrario, la redazione e aggiornamento del DPS era un obbligo previsto solo a carico del Titolare del trattamento.
Entrambi i Registri devono essere obbligatoriamente redatti per iscritto e essere a disposizione dell’Autorità Garante.
L’art. 30 disciplina, al primo comma, i requisiti che deve avere il suddetto Registro, introducendo la seconda novità rispetto al “vecchio” DPS, richiedendo una compiuta indicazione delle finalità del trattamento, dei data subject e delle categorie di dati personali oggetto del trattamento; una precisa indicazione delle categorie di terze parti cui i dati possono essere comunicati o dei trasferimenti extra UE e, per ultimo, i termini di conservazione dei dati.
Inoltre, non è prevista una data perentoria entro il quale il Registro delle attività di trattamento debba essere aggiornato o redatto (diversamente dal DPS, la cui scadenza originaria era il 31 marzo di ciascun anno).
Infine, a differenza del DPS, il cui obbligo di redazione era ancorato al trattamento svolto con strumenti elettronici, il Registro è obbligatorio per le aziende con più di 250 dipendenti, salvo la presenza di particolari trattamenti.
Cosa fare quindi, dato che la redazione del Registro si prospetta come un compito faticoso per le aziende?
Certamente è necessario avviare il prima possibile gli adempimenti per arrivare alla redazione di questo documento e, a parer mio, l’aver redatto a tempo debito un DPS ben strutturato e averlo tenuto aggiornato nonostante l’eliminazione dell’obbligo, potrebbe essere un valido aiuto.
Dal 2004 si occupa di Privacy (D. Lgs.196/2003 e ora Regolamento Europeo sulla tutela dei ddati personali 679/2016), Salute e Sicurezza sul lavoro (D. Lgs. 81/08) e Responsabilità delle società (D. Lgs.231/01): inizialmente come dipendente, dal 2009 come libera professionista collaborando anche con primarie aziende di consulenza. Svolge la propria attività di consulenza sia in grandi aziende sia in società medio piccole offrendo sia supporto nella predisposizione e adozione delle misure tecnico e organizzative richieste dalla normative sia attività di formazione.