La tenuta del Registro dei trattamenti è ormai considerata un adempimento valevole per tutti. Ecco che la sua automazione diventa un’opportunità assoluta che solo un gestionale di eccellenza può soddisfare.
Chiara Ponti
Il Registro delle Attività di Trattamento
Tra gli adempimenti principali del Titolare e del Responsabile del trattamento ricorre la tenuta di un Registro delle Attività di trattamento. Si tratta di un adempimento previsto dall’art. 30 paragrafo 1 conformemente al quale, ogni Titolare del trattamento è chiamato a tenere «…un registro delle attività di trattamento svolte sotto la propria responsabilità»; ed al paragrafo 2 si legge che, in pari modo, ogni Responsabile deve avere «…un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento». (In un articolo precedente abbiamo visto come poterlo migliorare. Qui approfondiremo il discorso dell’automatizzazione.)
Come adempimento
La tenuta del Registro dei trattamenti non costituisce soltanto un mero adempimento formale, è molto di più. Costituisce, infatti, parte integrante di un sistema che garantisca una corretta gestione dei dati personali.
Per tale motivo, da una lettura attenta delle “Raccomandazioni” ufficiali, l’Autorità Garante invita tutti —sia Titolari che Responsabili del trattamento a prescindere dalle dimensioni dell’Organizzazione— di dotarsi, dopo un’accurata analisi dei trattamenti effettuati, di tale Registro.
A livello interpretativo
Merita precisare che, dal punto di vista squisitamente interpretativo, l’art. 30 del GDPR conclude dicendo che gli “obblighi”, tra cui il Registro, «non si applicano alle imprese o organizzazioni con meno di 250 dipendenti».
In ordine alle (eventuali) deroghe, ricordiamo che il WP29 si è espresso con un position paper nel quale viene sostanzialmente chiarito che quella soglia non sia “assoluta” dal momento che il Legislatore europeo si è espresso con una congiunzione disgiuntiva (“o“) con il preciso intento di concepire, detto obbligo, in chiave alternativa. Ne consegue che al verificarsi di uno solo dei requisiti[1] sarà necessario avere un Registro delle attività di trattamento, esattamente come quando il contesto è oltre quella soglia.
Come misura di Accountability
In ogni caso come spesso si sente ancora dire da autorevoli esponenti dell’Autorità Garante, è bene intendere il Registro in questione, come un “…obbligo generalizzato” suggerendo a tutte le Realtà anche quelle di piccole/medie dimensioni di dotarsene. Per queste ultime, rammentiamo —per completezza— che il Garante ha messo a disposizione —come da FAQ— un Registro semplificato.
Poiché si tratta di un documento dinamico che deve contenere le principali informazioni relative alle operazioni di trattamento svolte dal Titolare e, se nominato, dal Responsabile del trattamento, esso rappresenta una delle principali misure di accountability a dimostrazione della corretta gestione del Sistema privacy di cui l’Organizzazione si è dotata.
Rappresenta infatti e come si legge tra le già citate “Raccomandazioni”, uno degli strumenti fondamentali «non solo ai fini dell’eventuale supervisione da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e analisi del rischio.»
[1] Nella fattispecie:
- Trattamento che potrebbe comportare un rischio per i diritti e le libertà degli interessati.
- Elaborazione non occasionale.
- Trattamento che include categorie speciali di dati o dati personali relativi a condanne penali e reati.
La gestione del Registro
La dinamicità del Registro impone una “gestione” altrettanto dinamica e corretta, specie per quelle Realtà medio/grandi o dai molteplici trattamenti di dati personali impattanti, perciò, sui diritti e le libertà delle persone fisiche.
Per tali motivi, è bene predisporre una Procedura di Gestione del Registro delle attività di trattamento che contempli “chi fa e che cosa”, come inserire/indicare/modificare i singoli trattamenti di dati personali affinchè l’Organizzazione possa dimostrare una mappatura congrua e coerente del proprio contesto.
Per la tenuta dei registri specie laddove non sia una tantum ma costante nel tempo, ecco che occorrono strumenti di supporto (tool o gestionali) efficaci ed efficienti che garantiscano un’adeguata “manutenzione”, proprio come GoPrivacy.
GoPrivacy con i suoi molteplici punti di forza
Molteplici sono i punti di forza di un Gestionale come GoPrivacy.
É anzitutto uno strumento integrato in virtù del quale i dati del Registro vengono adoperati per effettuare, ad esempio, l’analisi dei rischi aggiornata ai parametri da un lato di Enisa con un processo guidato e tradotto in semplici domande&riposte per PMI, dall’altro secondo i parametri dello Standard ISO/IEC 31000:2018.
In secondo luogo, un Tool bene istruito, dunque, che sfrutta l’organigramma privacy a dimostrazione della perfetta aderenza al contesto alimentando contestualmente i contenuti del Registro.
Un software poi che consente all’operatore di effettuare un import-export dei dati agevolmente, con un controllo completo e dotato di reportistiche avanzate.
Ancora, un gestionale popolato da ricche tabelle che suggeriscono opzioni precostituite (come la funzione “Library” raffigurata nell’immagine sottostante) ma non imposte all’Utente, sempre libero di inserire la descrizione che ritiene più opportuna.
In poche battute non è certo dato possibile esprimerne tutto il potenziale, ma forse è bastato per ritenerlo già la scelta vincente per qualunque Organizzazione.