Il Regolamento europeo UE n. 2016/679 (GDPR) prevede, all’articolo 30, una delle necessarie attività di compliance aziendale, la tenuta del registro delle attività del trattamento. È un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento. Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività. Il registro, che è un documento interno, deve essere tenuto in forma scritta, anche in formato elettronico e va esibito all’autorità di controllo (il Garante sulla privacy) in caso di verifiche. Fondamentale è che il registro sia costantemente aggiornato e rechi “in maniera verificabile” sia la data della sua prima istituzione o creazione sia la data dell’ultimo aggiornamento.
Tipologie e contenuto necessario dei registri
È bene specificare che esistono diversi tipi di registri ai sensi del GDPR. Oltre al più celebre registro del titolare dei trattamenti, a seconda della complessità dell’Ente o dell’azienda, possono essere necessari anche altri due tipi di registri. Il primo tipo di registro è simile a quello del titolare, ma viene redatto dal Responsabile dei trattamenti e riguarda proprio i compiti che deve assolvere questa figura spesso presente nelle aziende private. Altro tipo di registro, è quello degli accessi, sicuramente la tipologia più tecnica (riguarda la sfera informatica, ma può essere importante a seconda della complessità dell’Ente o azienda).
In questo articolo ci concentreremo sulla tipologia più diffusa di registro, quella del Titolare dei Trattamenti che deve essere sempre presente sia in Enti, che aziende private. Negli Enti locali e in particolare nei Comuni, la nomina del Titolare dei trattamenti e la nomina del Responsabile della protezione dei dati (Data Protection Officer, semplificato DPO) è avvenuta nel giorno dell’entrata in vigore del GDPR, ovvero il 25 maggio 2018. È stata dunque rispettata perfettamente la norma e venne identificato nell’Ente stesso (es. Comune, Regione, INPS ecc.) il soggetto denominato Titolare dei Trattamenti. Quindi è certamente possibile identificare in tale soggetto una persona giuridica e dunque anche in aziende private accade che sempre venga identificato il titolare nella srl o spa stessa, ma ciò non basta perché il Garante richiede ulteriormente che venga individuata una persona fisica che rappresenti sempre la società o l’Ente esternamente. Ciò è abbastanza ovvio, se si pensa che diverse notifiche (es. comunicazione Data Breach) devono essere inviate proprio dal titolare, oltre che dal DPO. Nei Comuni, è il Sindaco pro tempore che rappresenta il titolare esternamente, anche nei rapporti con il Garante (nelle società private invece viene nominato il rappresentante legale della società).
La compilazione del registro è una fase determinante e spesso delicata. In quanto novità della novella normazione europea, esso risulta essere lo strumento certamente più controllato dagli organi preposti perché rappresenta in maniera puntuale l’organizzazione dell’Ente e consente di identificare i soggetti coinvolti nel trattamento dei dati, le categorie dei dati trattati, per cosa sono utilizzati i dati, chi accede agli stessi, a chi vengono comunicati, per quanto tempo sono conservati e quanto sono sicuri.
Le informazioni da inserire nel Registro
Quali informazioni deve necessariamente contenere il registro per rispettare il GDPR? Il Regolamento individua tali elementi nell’art. 30 par.1-2 del GDPR:
- il nome e i dati di contatto del titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- le finalità del trattamento, differenziate per tipologie diverse (esempio fornitori, dipendenti, responsabili esterni);
- la descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali siano stati o saranno comunicati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi);
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale (es. norme vincolanti d’impresa);
- i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- una descrizione generale delle misure di sicurezza tecniche e organizzative.
Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. In quanto tale, quindi deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.
Come compilare un registro in un Ente Locale
Il Registro dei trattamenti dei dati personali del Titolare, deve essere modellato a seconda delle caratteristiche del Comune o della PA interessata. È ovvio che a un Comune complesso corrisponde un’organizzazione differente. Ad esempio la compilazione di un Registro in un Comune come Milano, sarà certamente più complesso di un Comune di pochi abitanti, il perché è facilmente intuibile dalle dimensioni diverse degli uffici, nonché dal trattamento dei dati su larga scala. In una grande città infatti, all’interno del Registro dovranno essere riportati tutti i vari dipartimenti e uffici, a cui dovrà corrispondere un relativo trattamento. Quindi fondamentale, sarà la raccolta delle informazioni concernente l’organizzazione dell’Ente, per capirne la complessità generale.
Dopodiché il Titolare dovrà individuare, il programma informatico migliore possibile, a seconda del Comune rappresentato. Esistono programmi a pagamento, importante è per il Titolare, che vengano consultati dei professionisti, che possano consigliarlo adeguatamente (nel mercato infatti esistono molteplici programmi completi, ma anche assolutamente superflui). Per i Comuni più grandi, esistono appositi Software creati ad hoc, che raccolgono una serie di spunte che possono essere selezionate o deselezionate molto velocemente (es. misure tecniche o organizzative). Sarà dunque rapido in questo caso il processo, in quanto il Titolare (o come accade spesso, su delega, il DPO), dovrà solamente spuntare la relativa casella in presenza di una determinata caratteristica presente o assente nel proprio Comune. Le parti scritte possono meglio specificare una data cosa, la parte delle Note servono invece a voler precisare un argomento più complesso ad es. sulla parte della sicurezza informatica.
Nei Comuni meno abbienti, altra soluzione, nettamente più pratica ed economica può essere la redazione di un documento, utilizzando programmi molto comuni e conosciuti da molteplici persone. Ad esempio Microsoft Word (attraverso le tabelle) o meglio ancora utilizzando Excel (grazie alla capacità di calcolo immediata può essere molto pratico, ad es. attraverso la raccolta dei nomi e del numero di dipendenti di un ufficio). Proprio quest’ultimo programma è molto utilizzato nella elaborazione dei Registri, grazie alla capacità di poter continuamente aggiornare le tabelle. Il Garante privacy si è più volte raccomandato di mantenere aggiornato il Registro e al contempo di conservare accuratamente tutti i vari aggiornamenti. Molto importante è la tenuta dei Registri passati, perché in più casi può risultare decisivo capire le possibili lacune (es. in caso di data breach avvenuto 3 anni prima, Registro redatto in tempi passati aiuta Garante e Titolare a capire le possibili cause della violazione dei dati).
I Comuni pertanto, possono dotarsi anche di strumenti apparentemente semplici, proprio come il già citato Microsoft Excel, una buona soluzione nel rapporto costi/benefici. Il DPO delegato dal Titolare, dovrà elaborare un foglio iniziale in cui dovranno essere indicati i seguenti dati, che schematicamente indichiamo di seguito:
- denominazione “Registro dei trattamenti del Titolare” (può anche avvenire che sia raccolto in un unico Registro, relativamente ai trattamenti di Titolare e Responsabile, in tal caso ci sarebbe la denominazione di “Registro Unico dei trattamenti”);
- riferimento normativo, relativo a norma GDPR (in questo caso il celebre art.30) e la delibera comunale;
- individuazione del Titolare del trattamento (es. Comune di Milano) e della persona fisica che lo rappresenta, ossia il Sindaco eletto. Indicazione precisa di indirizzo e-mail, pec, telefono, indirizzo ufficio;
- individuazione dell’eventuale Responsabile o dell’incaricato del trattamento;
- Nome, cognome, pec, e-mail istituzionale, telefono, indirizzo ufficio del DPO;
- Data creazione e ultimo aggiornamento del Registro, individuazione dell’organo che effettua la tenuta del Registro dei trattamenti (DPO è incaricato).
Successivamente nella seconda parte del Registro, dovranno essere elaborate delle tabelle, schematiche, che possono essere anticipate da parte scritta che spieghi suddivisione adottata. Non esiste un modo univoco di realizzazione del Registro, conditio sine qua non, è che vi siano tutti gli elementi enunciati nell’art. 30 GDPR e dalle indicazioni contenute nel sito istituzionale del Garante. Esistono anche Registri totalmente formati da tabelle, ma suddivisi con estrema precisione a seconda del tipo di organizzazione.
Il DPO dovrà suddividere il Registro in maniera ragionata. Come più volte ricordato non esiste unico modo, tuttavia vengono di seguito riassunti gli elementi che non devono mai mancare in un Registro quando si tratta di PA o Comune.
- Parte organizzativa: intesa come struttura organizzativa. Quindi viene specificata in questa sezione chi effettua materialmente i trattamenti. All’interno della parte organizzativa devono essere specificati i vari Uffici (es. Segreteria, Ufficio ragioneria, Turismo, Urbanistica ecc.), i relativi Responsabili (nome e cognome e carica ricoperta, es. Dirigente), i compiti della struttura, i trasferimenti operati (es. dati fornitori, dipendenti, utenti);
- Categorie di interessati e di dati personali trattati: deve assolutamente rimanere aggiornato continuamente ad ogni variazione dell’elenco delle tipologie di trattamenti effettuati. In questa parte la tabella dovrà essere divisa in almeno 8 parti.
- Trattamento eseguito (es. buste paghe dipendenti, Anagrafica utenti) e relativa finalità di trattamento (a buste paghe si ricollega pagamento delle prestazioni);
- Descrizione precisa del trattamento (es. nella banca dati sono raccolti documenti contabili, finanziari e commerciali);
- Categorie di interessati (dipendenti, utenti, fornitori);
- Categorie di dati personali (dati identificativi, dati comuni, dati sensibili e medici);
- Categorie di destinatari (enti pubblici, commercialisti);
- Trasferimenti a paesi terzi o organizzazioni internazionali (indicazione SI o NO a seconda del caso);
- Termini di cancellazione dei dati (ai fini della legge o se diverso tipo, indicazione certa);
- Misure di sicurezza tecniche (protocollo sicuro).
- Misure di sicurezza tecniche e organizzative generali: l’art. 32 GDPR si occupa nello specifico della sicurezza del trattamento dei dati personali (“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”), che dovrà essere garantita attraverso l’adozione di una serie di misure concrete. Tale parte è meglio specificarla a parte perché richiede puntualizzazioni, in maniera precisa dovranno essere inserite delle note tecniche. La sicurezza informatica è divenuta ancora più importante in seguito all’inasprimento delle pene e dei controlli, della novella normativa (oltre che la tutela di un bene come la riservatezza dei dati personali finalmente considerato come fondamentale e non più marginale).
La tabella di questa sezione del Registro relativa all’Ente, dovrà essere divisa in almeno 3 parti (specificando se si tratta di misura organizzativa o tecnica).
- Misura adottata o adottabile (es. policy aziendale). Suddivisione tra misure organizzative (formazione dipendenti) e misure tecniche (procedure data breach);
- Stato misura (attiva o non attiva);
- Descrizione semplificata della misura presa.
- Presenza eventuale di ulteriori tecnici o dipendenti con specifici compiti: anche in questo caso è determinante stabilire il numero di dati trattati e le dimensioni del Comune interessato. Certamente la parte informatica richiede più tecnici, un errore comune può essere quello di delegare a tutto il DPO (ma tale professionista, ha compiti di raccordo con il Garante, non di tappabuchi) per questioni di economicità e risparmio della spesa pubblica.
Potranno perciò essere presenti a seconda delle esigenze:
- Amministratore di sistema: figura molto importante, è colui che sovrintende alla gestione delle infrastrutture informatiche e aziendali, ivi comprese le banche dati oggetto del trattamento dei dati personali. Suo è il compito di attivare le credenziali di autenticazione agli incaricati del trattamento e di prendere tutti i provvedimenti necessari ad evitare la perdita o la distruzione dei dati. Si dovrà poi occupare anche di creare backup ad intervalli continui e proteggere i computer dal rischio di intrusione (violazione del sistema da parte di hacker) e dal rischio di virus mediante idonei programmi;
- Addetti al trattamento dei dati: ossia i Data Processor (es. inserire nuove informazioni nella banca di dati personali);
- Addetti alla formazione: il titolare del trattamento può individuare delle figure eventuali che si possano occupare della formazione del personale. I dipendenti saranno dunque edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. Per ogni dipendente o gruppi di dipendenti il Responsabile del trattamento dei dati definisce, sulla base dell’esperienza e delle sue conoscenze, ed in funzione anche di eventuali variazioni della normativa, le necessità di formazione. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni;
- Trattamento dei dati personali affidato a un soggetto esterno: il Titolare del trattamento può decidere di affidare il trattamento dei dati in tutto o in parte a soggetti terzi che siano stati individuati quali responsabili del trattamento in esterno. Devono quindi essere specificati i soggetti interessati e i luoghi dove fisicamente avviene il trattamento dei dati stessi.
- Adesione eventuale a codici di condotta: per ora sono pochi i casi di creazione di codici di condotta, in futuro tuttavia è molto probabile che siano creati anche in Enti locali o in generale in Comuni.
Il Registro dovrà essere continuamente aggiornato dal DPO, in quanto è facile comprendere che i dati raccolti sono molti e sono sempre in continuo cambiamento e sviluppo (es. assunzione nuovo impiegato, licenziamento dipendente, acquisto nuovi PC, cambiamento responsabile esterno ecc.).
Il Registro, uno strumento indispensabile
L’innovazione portata dalla normativa europea in materia di protezione dei dati personali, inizialmente fu criticata sia dagli Enti locali, sia dai privati. Veniva visto ciò, come un ennesimo gravame, un ulteriore costo che doveva essere impegnato e che avrebbe portato confusione in un impianto burocratico già piuttosto complesso. Passati ormai oltre 2 anni dall’entrata in vigore del GDPR, finalmente ci si sta rendendo sempre più conto dei miglioramenti che la norma ha portato in ambito di protezione dei dati e il Registro in particolare viene visto con minor diffidenza. Proprio il Registro, risulta essere lo strumento più utile ed efficiente, a stabilire esattamente l’organizzazione del Comune o dell’Ente, elemento indispensabile non solo per fini giuridici. Prima dell’entrata in vigore del GDPR, i meno giovani ricorderanno il Documento Programmatico sulla sicurezza, che rappresenta l’antenato dell’attuale registro dei trattamenti. Fu un’innovazione del celebre d.lgs 196/03, tuttavia è certo che il R.to UE ha introdotto molte più novità dell’antenato codice privacy e dato un carattere indubbio di semplicità all’azienda o Ente con il Registro.
Conclusioni
Se dei passi in avanti sono stati indubbiamente fatti, dobbiamo tuttavia specificare che non è tutto oro ciò che luccica. Infatti le PA e in particolare i Comuni sono praticamente sempre piuttosto lente a recepire le novità, le carenze organizzative non possono essere giustificate da mere questioni di bilancio. La privacy infatti nei Comuni spesso non è per nulla tutelata, il rischio può proprio essere il fatto che l’Ente elabori si il Registro, ma che non venga per nulla aggiornato. Facendo una ricerca nei motori di ricerca si può trovare facilmente molti siti istituzionali di Comuni con Registri compilati male, in modo sommario o aggiornati molto tempo prima (in data 25 maggio 2018, ovvero dal giorno dell’entrata in vigore del GDPR). Sul web è davvero facile constatare l’esiguo aggiornamento dei vari Registri pubblicati e si può notare anche lo scarso aggiornamento dei siti comunali, con news anche di anni fa.
Passando gli anni, la situazione indubbiamente si evolverà in meglio, mediamente possiamo affermare che a oggi non tutti i Comuni hanno realmente compreso la portata innovativa del GDPR e soprattutto la vera utilità portata dal Registro, obbligatorio ma anche uno strumento produttivo. Come in altri ambiti enunciati nel celebre Regolamento UE n. 2016/679, ad es. data breach o Dpia, le sanzioni probabilmente sproneranno i Comuni e le PA ad un continuo aggiornamento e alla realizzazione di Registri sempre più accurati. Oltre che le sanzioni, sarebbe bello constatare a breve, anche nei cittadini, un richiamo a una tutela sempre più piena della protezione dei dati personali e una piena applicazione del principio costituzionale della trasparenza della azione amministrativa.