Registro delle Attività di Trattamento

Accountability nel GDPR e Obbligatorietà del Registro delle Attività di Trattamento

A cura di:Massimo Ippoliti Ore

In questo primo contenuto, ci concentreremo su due aspetti fondamentali: il principio di accountability nel GDPR, oltre che della funziona e dell’obbligatorietà del Registro delle Attività di Trattamento. L’articolo fa parte di una serie di approfondimenti dedicati al Registro dei trattamenti introdotto dal Regolamento Generale sulla Protezione dei Dati (GDPR).

Il Principio di Accountability nel GDPR

L’innovazione principale introdotta Reg. UE 679/2016 (di seguito “GDPR” o “Regolamento”) è relativa al principio di accountability che viene declinato in differenti modalità operative. Il rango delle innovazioni che il principio di accountability ha introdotto determina una modifica sistematica dell’approccio che viene richiesto al titolare del trattamento (“Titolare”) oppure al responsabile del trattamento (“Responsabile”) per poter procedere al trattamento dei dati personali, divenendo esso un approccio sostanziale e non più meramente formale. Detta innovazione ha così determinato nuovo approccio per il trattamento dei dati in ogni sua fase (dalla progettazione, al trasferimento, alla cancellazione oppure alla conservazione permanente qualora prevista).

La progettazione del trattamento nonché il trattamento stesso sono diventate attività che devono essere documentate accuratamente in ogni loro fase avendo cura il Titolare oppure il Responsabile di descrivere e, ove necessario, altresì motivare ex ante le scelte operate al fine di verificare l’adeguatezza delle stesse anche ex post in presenza di eventi avversi quali i “data breach” oppure nel caso di audit dell’Autorità Garante (“Autorità”) che si avvale della Guardia di Finanza giusto Regolamento n. 1/2019 emanato dalla menzionata Autorità.

Il ruolo dell’Autorità

In coerenza con l’obbligo di collaborazione con l’Autorità e su richiesta di quest’ultima, il Titolare o il Responsabile e, ove applicabile, il Rappresentante del Titolare o del Responsabile mettono il registro delle attività di trattamento, a disposizione dell’autorità di controllo a norma dell’art. 30, par. 4 del GDPR.

La necessità di dover documentare i trattamenti, pur potendo avvenire con differenti modalità a scelta del Titolare, non può prescindere dall’obbligo della compilazione del documento introdotto e disciplinato dell’art. 30 del GDPR e rubricato “Registro delle attività di trattamento” (“Registro”). Più in particolare la forma richiesta dall’art. 30 par. 3 del GDPR per la tenuta del Registro (art 30 GDPR par. 1 e par. 2) è quella scritta, anche in formato elettronico.

Definizioni Utili per la Compilazione del Registro delle Attività di Trattamento

Di seguito sono elencate alcune definizioni tratte dall’art. 4 del GDPR, a cui comunque si rinvia, utili alla compilazione del Registro.

  1. Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
  2. Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
  3. Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
  4. Destinatario: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;
  5. Terzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;
  6. Rappresentante: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

La funzione del Registro delle Attività di Trattamento

Il Registro è un documento che sia il Titolare sia il Responsabile, se presente, sono tenuti a compilare con un contenuto, che seppur necessariamente variabile in ragione della specificità del trattamento descritto, si compone di alcuni elementi minimi previsti dall’art. 30 del GDPR par. 1 e 2 e si configura come un processo vivo e continuativo nel tempo.

L’art. 30 del GDPR “Registri delle attività di trattamenti” elenca il contenuto minimo del registro ed opera una distinzione tra il registro del Titolare al paragrafo 1 e registro del Responsabile esterno ex art. 28 del GDPR al paragrafo 2.

Esso è una delle misure che il Titolare, in materia di protezione dei dati personali, è tenuto ad adottare per poter dimostrare l’aderenza alle disposizioni contenute nel GDPR in quanto coerenti con il principio di accountability, art. 5 del GDPR “principi applicabili al trattamento dei dati personali”, par 2, nonché strumento di cooperazione con l’Autorità a norma del combinato disposto di cui agli artt. 30, par. 4 e 31 del GDPR.

Implicitamente la compilazione del registro è anche strumento idoneo a consentire il monitoraggio sia al Titolare sia per all’Autorità come sarà di seguito meglio precisato. Anche i trattamenti svolti in regime di contitolarità devono essere annotati nel Registro unitamente al loro differente “status”.

La definizione di contitolare del trattamento si ricava dalla lettura dell’art. 26 del GDPR, rubricato “Contitolari del trattamento”, che così recita: allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. (omissis).

L’Autorità nella “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali” ha sancito che “il registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali”.

Obbligatorietà e Contenuto del Registro delle Attività di Trattamento

L’obbligo di compilazione del Registro non è assoluto ma è suscettibile di deroghe limitate che sono elencate nell’art. 30, par. 5 del GDPR. Si tratta di deroghe alla compilazione del Registro dal cui tenore si evince come le deroghe contemplate non trovano applicazione per i soggetti pubblici ma solo a soggetti privati e solo in assenza di specifici elementi. Il trattamento per lo svolgimento dell’attività lavorativa non è stato ritenuto occasionale.

Ruolo del Titolare e del Responsabile nella Compilazione del Registro

Premesso quindi che le informazioni richieste dall’art. 30 del GDPR sono quelle minime, al Titolare non è precluso l’inserimento di informazioni ulteriori se utili a rappresentare il trattamento in una forma maggiormente definita essendo il Registro uno strumento dinamico. Esso deve essere tempestivamente aggiornato al mutare dei singoli dati in esso contenuti. Sono fatte salve le informazioni precedentemente inserite che rappresentano lo storico del registro, utili, tra l’altro per agevolare eventuali controlli.

A norma dell’art. 30, par. 1 e par. 2 del GDPR, è previsto che a “tenere un registro delle attività di trattamento svolte sotto la propria responsabilità” ovvero “un registro di tutte le categorie di trattamento svolte per conto di un titolare del trattamento” siano rispettivamente il Titolare o il Responsabile e non il RPD.

Nella realtà, sono spesso anche i RPD a realizzare l’inventario dei trattamenti e tenere un Registro sulla base delle informazioni fornite loro dai vari uffici o unità che trattano dati personali in ragione degli accordi tra il titolare e il RPD all’atto della nomina. È una prassi consolidata e fondata sulle disposizioni di numerose leggi nazionali nonché sulla normativa in materia di protezione dati applicabile alle istituzioni e agli organismi dell’UE.

Esenzioni alla Compilazione del Registro delle Attività di Trattamento

L’art. 30 par. 5 del GDPR, che individua le esimenti alla compilazione del Registro, prevede la non applicabilità di tale obbligo alle imprese o organizzazioni con meno di 250 dipendenti, a meno che:

  1. a) Il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato; b) Il trattamento non sia occasionale; c) Includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

Il “WORKING PARTY 29 POSITION PAPER on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR”, a cui comunque si rinvia, si è espresso sul punto relativo circa la natura alternativa o cumulatoria delle esimenti, e quindi la modalità di applicazione delle stesse, ed ha stabilito che la natura debba essere intesa come alternativa e quindi anche la sola presenza di una delle tre condizioni ostative sopra richiamate debba essere intesa come idonea a precludere l’applicazione delle deroghe di cui all’art. 30 par. 5 del GDPR. È disponibile documento predisposto dall’Autorità ha redatto un documento contenente FAQ specifiche sul registro delle attività di trattamento.

Abstract conclusivo: In questo primo approfondimento, abbiamo analizzato il principio di accountability e l’obbligo di mantenere il Registro delle Attività di Trattamento all’interno del contesto normativo del GDPR. Nel prossimo articolo, ci concentreremo sugli elementi minimi richiesti a Titolari e Responsabili per la corretta compilazione del Registro, approfondendo anche il ruolo centrale della documentazione nel GDPR.

In questo primo approfondimento, abbiamo analizzato il principio di accountability e l’obbligo di mantenere il Registro delle Attività di Trattamento all’interno del contesto normativo del GDPR. Nel prossimo articolo, ci concentreremo sugli elementi minimi richiesti per la corretta compilazione del Registro delle attività di Trattamento, esaminando nel dettaglio le informazioni necessarie per garantire la conformità. Approfondiremo anche il ruolo centrale della documentazione nel GDPR, sottolineando come un Registro delle attività di Trattamento ben strutturato possa facilitare il monitoraggio e la cooperazione con le Autorità competenti. Per ulteriori approfondimenti, vi invitiamo a scaricare il white paper dal titolo “La compilazione del Registro dei trattamenti nel nuovo quadro normativo del Reg. UE 679/2016“.

Articolo a cura di Massimo Ippoliti

Condividi sui Social Network:

Ultimi Articoli

sanità digitale Stormshield

Sanità: Come proteggere un settore vulnerabile agli attacchi informatici

A cura di:Andrea Scattina Ore Pubblicato il

In Italia, come nel resto del mondo, il settore della sanità e la sua catena di approvvigionamento sono obiettivi privilegiati per i cybercriminali. Secondo l’ultimo rapporto Clusit, i cyber attacchi ai danni del comparto sono cresciuti nel 2023 fino a quasi raddoppiare rispetto al 2018. Tuttavia, almeno per il primo trimestre del 2024, si è…

information leakage italia

I recenti Information Leakage in Italia: perché non è stato un hacking e perché avrebbe dovuto esserlo

A cura di:Fabrizio Baiardi Ore Pubblicato il

L’ultimo scandalo informatico italiano è stato generato da un information leakage che ha coinvolto politici e altre persone esposte socialmente. Alcune organizzazioni pubbliche e private sono state bersaglio del leakage o ne hanno sfruttato i risultati, amplificando la portata del danno e portando alla luce debolezze strutturali nei sistemi di sicurezza, tanto che queste informazioni…

GPS spoofing nei droni

Il rilevamento del GPS spoofing nei droni

A cura di:Fabrizio D'Amore Ore Pubblicato il

Il controllo di un UAV (Unmanned Aerial Vehicle[1], cioè velivolo senza pilota umano a bordo) rappresenta una sfida tecnologica apparentemente gestibile e alla portata di un pubblico sempre più esteso; se non fosse soggetto ad attacchi di GPS spoofing, che hanno il potere di alterare la percezione dell’UAV in merito al posizionamento corrente. Si capisce…

Industry 5.0: le Sfide per la Cybersecurity nella Convergenza Uomo-Macchina - forum ict security 2024

Industry 5.0: le Sfide per la Cybersecurity nella Convergenza Uomo-Macchina

A cura di:Redazione Ore Pubblicato il

Nel corso della Tavola Rotonda “Industry 5.0: Sfide e Strategie per la Cybersecurity nell’Era della Convergenza Uomo-Macchina”, tenutasi in conclusione del 22° Forum ICT Security, sono emerse riflessioni cruciali circa le sfide emergenti dell’industria contemporanea e la crescente convergenza tra sistemi IT (Information Technology) e OT (Operational Technology). Moderato da Federica Maria Rita Livelli –…

NIS 2, CER, DORA, Sicurezza Informatica e Resilienza: le Infrastrutture Critiche e la Normativa Europea

NIS 2, CER, DORA, Sicurezza Informatica e Resilienza: le Infrastrutture Critiche e la Normativa Europea

A cura di:Redazione Ore Pubblicato il

La Tavola Rotonda “Direttive NIS 2 e CER e Regolamento DORA, Sicurezza informatica e resilienza per le infrastrutture critiche”, che ha aperto la seconda giornata di lavori del Forum ICT Security 2024, è stata un’opportunità preziosa per analizzare i più recenti sviluppi normativi europei in materia. Moderato da Paola Girdinio (Presidente del Centro di Competenza…

Cloud Security e Zero Trust: la chiave per la cyber-resilienza nelle organizzazioni italiane

Cloud Security e Zero Trust: la chiave per la cyber-resilienza nelle organizzazioni italiane

A cura di:Redazione Ore Pubblicato il

Durante il Forum ICT Security 2024, la tavola rotonda intitolata “Cloud Security e Zero Trust: Una strategia integrata per gestire la cyber-resilienza delle organizzazioni” ha riunito alcuni tra i principali esperti italiani nel settore della sicurezza informatica. Sotto la moderazione di Alberto Manfredi, cofondatore e presidente di CSA Italy, il panel ha visto la partecipazione…