Tempo di lettura stimato: 7'
La prima cosa che il Nucleo Speciale della Guardia di Finanza chiede quando fa una visita ispettiva è il registro dei trattamenti. È una richiesta che fa sia quando controlla il titolare del trattamento che il responsabile esterno. E non accetta ritardi!
Il registro dei trattamenti è alla base del principio di accountability, che vuol dire responsabilità piena e rendicontazione obbligatoria. Perché il titolare deve essere in grado di dimostrare e di documentare di aver fatto il trattamento in conformità del Regolamento. E lo fa attraverso il registro. Una volta c’erano le misure minime di sicurezza. Ma oggi non è più così: ogni titolare deve implementare delle misure adeguate ed è sua la responsabilità.
Cos’è il registro dei trattamenti e cosa contiene
Il registro dei trattamenti è uno strumento che consente di tracciare e monitorare le attività di trattamento dei dati personali fatta dal titolare o dal responsabile del trattamento, sotto la propria responsabilità. Può essere elaborato in forma cartacea o in forma elettronica e deve essere messo a disposizione dell’Autorità Garante, nel caso lo richieda.
Deve mappare non solo i trattamenti elettronici, ma anche quelli cartacei, contenere le misure di sicurezza e indicare i dati personali trattati. Quali?
Solo quelli che servono effettivamente per portare avanti l’attività.
Non ha senso chiedere a Peppino se è laureato, sposato, se ha figli e cosa fanno.
Anche perché se si acquisiscono ulteriori dati rispetto alle finalità, la sanzione è fino a 20 milioni di euro!
Anche perché se si acquisiscono ulteriori dati rispetto alle finalità, la sanzione è fino a 20 milioni di euro!
Le informazioni minime da inserire nel registro sono:
- Le finalità del trattamento, cioè il motivo per cui raccogli i dati personali. Per fare pubblicità? Per fare altro? Per cosa?
- Le categorie di dati trattati (dati personali comuni, particolari, di credito e così via).
- Le categorie di interessati, cioè delle persone fisiche: sono dipendenti, clienti, prospect?
- I tempi di conservazione: per quanto tempo tratti quei dati?
- Le misure di sicurezza: quali soluzioni fisiche, tecnologiche ed organizzative hai adottato per garantire la protezione dei dati? Esempio. Oggi tutti accedono a tutto: non va bene. Perché poi può succedere quello è che accaduto di recente con la TIM - un caso che è uscito su tutti i giornali - in cui si è scoperto che alcuni dipendenti infedeli sono entrati nel database con le loro password e hanno scaricato centinaia di migliaia di dati personali dei clienti per rivenderli ad altre società. Se mi occupo dei clienti, devo accedere solo ai dati dei clienti. Se mi occupo dei fornitori, devo accedere solo ai dati dei fornitori. Se mi occupo di geolocalizzazione, accedo solo a quei dati. Ai dati dei dipendenti devono accedere solo i dipendenti dell’HR. Ognuno accede ai dati che gli servono per la sua attività lavorativa. E la Guardia di Finanza ci guarda!
- I trasferimenti: i destinatari (persone fisiche o giuridiche) a cui saranno comunicati i dati e il Paese di destinazione. Devi sapere a chi hai comunicato i dati di Peppino, Antonio e Giulia.
- I dati di DPO e Cotitolari
Quando viene fatto un controllo, il Nucleo speciale guarda tutti questi dati e li incrocia.
Registro, informativa, sistemi informatici: tutto deve essere allineato
Nell’informativa, cosa hai messo? Corrisponde a quello che hai inserito nel registro e a come gestisci poi i dati?
Poniamo che tu faccia un’informativa corretta. Dove chiedi il consenso al trattamento per ogni finalità – profilazione, trasferimento dei dati all’estero, trasferimento dei dati fuori dall’UE – poi vai a vedere il registro dei trattamenti e vedi che l’unica finalità indicata è il marketing.
È inconcepibile. Tutto deve essere coerente.
Tutti i documenti devono essere coerenti: quello che risulta nell’informativa deve essere presente anche nel registro dei trattamenti.
Se nell’informativa dici che i tempi di conservazione per le attività di marketing sono di 2 anni e per quelli di profilazione sono di 1 anno, lo stesso deve risultare nel registro dei trattamenti.
E questo è il primo match.
Poi i dati riportati nell’informativa e nel registro dei trattamenti, devono corrispondere anche alle implementazioni sulle banche dati. Quindi, se nell’informativa e nel registro dici che conservi i dati per 2 anni per le finalità di marketing e per 1 anno per la profilazione, non è possibile che poi sui sistemi li conservi per periodi diversi.
E queste cose la Guardia di Finanza le va a guardare.
Il registro dei trattamenti deve essere aggiornato, altrimenti non è adeguato
È fondamentale che il registro dei trattamenti sia aggiornato. Perché è fondamentale? Perché, se un interessato chiede a te, titolare del trattamento, di cancellare un dato – anche se ovviamente ci sono dei limiti alle sue richieste: non può chiederti di cancellare una fattura, per esempio – tu devi sapere dov’è quel dato e a chi l’hai dato. L’hai dato ad un partner? L’hai dato al responsabile esterno? Se non hai un registro dei trattamenti, come fai a sapere a quali partner e a quali responsabili esterni l’hai dato?
Oppure, hai acquisito il consenso alla cessione dei dati personali: devi sapere a chi li hai ceduti, altrimenti il diritto dell’interessato che ti ha lasciato il dato non può essere esercitato.
Il registro deve essere una mappatura aggiornata dei trattamenti.
Non basta istituirlo e poi lasciarlo lì.
Magari il 25 maggio del 2018 hai istituito il registro, poi l’hai lasciato perdere e non l’hai più aggiornato. Ma in 2 anni dall’entrata in vigore del Regolamento, che cosa hai fatto? Magari hai ampliato il trattamento. Se prima facevi solo marketing, adesso forse fai la profilazione.
Questa attività la devi riportare nel registro dei trattamenti.
Forse hai chiesto il consenso per la comunicazione di dati a terzi, anche questo va inserito nel registro. Oppure hai deciso di cambiare tutti i collaboratori esterni, tutti i partner, di affidare la gestione e le banche dati ad altri soggetti.
Tutto questo deve essere riportato nel registro dei trattamenti. Quindi è uno degli strumenti che non dico che deve essere aggiornato giornalmente, ma più o meno ci siamo. In qualsiasi momento, quando apri il registro dei trattamenti, devi avere una visione immediata dell’attività.
Se non è aggiornato, non è adeguato e quindi sei comunque sanzionabile.
Può essere cartaceo o in digitale, l’importante è che sia immediatamente consultabile
Il Regolamento non prevede particolari formati, quindi il titolare può scegliere liberamente se usare un foglio cartaceo, un foglio Excel, un documento elettronico, un software o altro per redigerlo e aggiornarlo. L’importante è che dia una visione immediata dei trattamenti che vengono fatti. E allora qui anche la scelta del formato ha le sue conseguenze.
Prendiamo il caso di una grossa società che tiene il registro dei trattamenti su dei fogli. Se la società aggiorna regolarmente il registro, il documento può arrivare anche a centinaia di pagine.
Come può dare una visione immediata dei trattamenti, di chi vede quei dati, di quali sono le misure di sicurezza adottate? È vero che il cartaceo è previsto, ma poi quello strumento deve essere consultato anche piuttosto velocemente. Non si possono perdere dei giorni solo per vedere chi sono i clienti e i partner.
E poi come si fa a garantire i diritti dell’interessato?
Se Peppino vuole sapere come tratti i suoi dati e a chi li hai dati, non puoi metterci dei giorni per reperire le informazioni. La legge ti dà 30 giorni per l’esercizio dei diritti e solo nei casi più gravi, che devi motivare, puoi utilizzare ulteriori 30 giorni. Ma se Peppino ti fa una richiesta d’accesso, gli devi rispondere immediatamente. Anche perché, se non rispondi, fa un reclamo all’Autorità Garante. Poi non è che l’Autorità ti scrive e ti obbliga a dare i dati che Peppino ti ha richiesto e non ti dà la sanzione.
Ti dà la sanzione eccome!
Per il semplice fatto di non aver garantito il diritto d’accesso, sei sanzionabile con la sanzione più alta, che è quella fino a 20 milioni di euro. Perché tutta la parte del GDPR che riguarda l'informativa e l'esercizio dei diritti, se non viene rispettata, rientra nella massima sanzione.
Quindi il registro dei trattamenti deve essere sempre aggiornato e di immediata consultazione. Se hai una piccola attività con un solo dipendente, puoi anche tenere un registro cartaceo. Diverso è il caso di un’azienda più grande, che di trattamenti ne fa moltissimi.
Chi è obbligato a istituire il registro dei trattamenti?
Tutti i titolari e responsabili con meno di 250 dipendenti, ma solo se non fanno trattamenti di rischio. Che cosa vuol dire? Vuol dire che possono essere rischiosi per i diritti e le libertà dell’interessato, che il trattamento non sia occasionale o che non riguardi dati particolari (ex sensibili). Quindi, sostanzialmente, sono tenuti all’obbligo di redazione del registro esercizi commerciali, esercizi pubblici o artigiani che hanno almeno un dipendente - bar, ristoranti, officine, negozi e così via - o che trattano dati sanitari dei clienti: parrucchieri, estetisti, ottici, odontotecnici, tatuatori. Ma anche i liberi professionisti con almeno un dipendente o che trattano dati sanitari o relativi a condanne penali o reati: commercialisti, avvocati, medici in generale, fisioterapisti, farmacisti, osteopati e così via. Sono obbligati anche associazioni, fondazioni, comitati che trattano dati particolari - associazioni che tutelano malati, persone con disabilità, associazioni sportive, partiti, sindacati e così via – e anche i condomini che trattano categorie particolari di dati, per esempio in caso di delibere per l’abbattimento di barriere architettoniche.
I soggetti con meno di 250 dipendenti possono optare per la forma semplificata di registro. Per esempio, un negozio che ha un solo dipendente, può tenere il registro solo per il trattamento dei dati di quel dipendente. Però il Garante consiglia di compilare il registro completo.
In generale, il Garante raccomanda la redazione del registro – in forma completa - a tutti i titolari e responsabili del trattamento.
Articolo tratto dall’intervento del Dottor Giuseppe Giuliano, Funzionario del Dipartimento Attività Ispettive del Garante per la protezione dei dati, su RAISE Academy
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.