di Luca Leone
Già la Regola 19.1 dell’Allegato B al Codice Privacy (ormai abrogata) obbligava il Titolare del trattamento ad “elencare” i trattamenti di dati personali.
L’elenco dei trattamenti, da molti ritenuto superfluo, da altri confuso con l’elenco delle banche dati, costituiva, anche se a livello embrionale, un primo elemento che, se opportunamente sviluppato, avrebbe condotto gli “addetti ai lavori” (oggi “Privacy Officer”) ad una vera e propria Analisi dei trattamenti.
Fu il Garante, attraverso la Guida Operativa per la redazione del DPS, a introdurre il tema dell’Analisi, anche se non esplicitamente, iniziando a tracciare il sentiero per una corretto censimento dei trattamenti. Una Guida non obbligatoria ma utile che avrebbe portato le aziende ad interrogarsi, con metodo, sui trattamenti effettuati, a volte anche inconsapevolmente.
Per condurre un’attenta Analisi dei trattamenti è necessario individuare i singoli componenti. Un primo gruppo, costituito dalla finalità del trattamento, dagli interessati e dalla natura dei dati trattati, costituisce il nucleo minimo (potremo definirlo “Censimento di 1 livello”).
Andando oltre nell’individuazione degli altri elementi costitutivi del trattamento il Titolare riuscirà ad individuare il processo sotteso al trattamento stesso; questo gli permetterà di evidenziare eventuali criticità che saranno poi tenute in debito conto nell’analisi gemella: l’Analisi dei Rischi.
L’esercizio (cioè l’Analisi), per le aziende che hanno colto la sfida, e lo hanno mantenuto anche dopo la riforma che ha abolito l’obbligo di redazione del DPS, ora si rivela un asset strategico: il Nuovo Regolamento Privacy UE (GDPR), all’art. 30 obbliga il Titolare e il Responsabile del trattamento alla tenuta dei Registri delle Attività di Trattamento.
Anche in questo caso ci saranno Titolari del trattamento che vedranno l’adempimento come mero obbligo burocratico/legale e altri che si spingeranno oltre, utilizzando il Registro come base per una migliore e più dettagliata Analisi dei trattamenti che contempli ad esempio: il flusso informativo, i trattamenti oggetto di Data Breach, i trattamenti che devono essere sottoposti a Valutazione d’impatto, le Strutture che effettuano il trattamento al fine della stesura dei Mansionari Incarichi.
Trasformare il Registro in un vero e proprio “gestionale” del processo Privacy si può. L’aiuto ai Titolari del trattamento verrà dai TOOL, o software automatizzati, che supporteranno il DPO nelle attività di mantenimento e aggiornamento dei Registri (soprattutto se si pensa ai Responsabili del trattamento che dovranno tenere traccia di tutti i trattamenti per ogni singolo Titolare) e lo aiuteranno nei calcoli sottesi all’Analisi dei Rischi.
I TOOL saranno in grado di supportare/agevolare il Privacy Officer e dimostrare quello che a tutti sembra ancora un elemento di difficile interpretazione: l’Accountability.
(*) estratto da: Luca Leone, L’Analisi dei trattamenti nel Nuovo Regolamento Privacy UE, di prossima pubblicazione.