Il Registro del trattamento come strumento di analisi del rischio – Parte III

registro-trattamento-dati

Le misure di sicurezza e il Registro del Responsabile del trattamento

Parte III

In tema di Registro del trattamento, è fondamentale sottolineare rispetto a tale documento la sua funzione di strumento di analisi e di valutazione del rischio del trattamento.

Pertanto, tale sezione, dedicata proprio all’analisi delle misure di sicurezza da inserire nel Registro 

nonché alla descrizione del sistema di protezione del trattamento dei dati personali scelto con discrezionalità da parte del Titolare (e non più imposto da un mero elenco statico come avveniva sotto la vigenza dell’Allegato B al vecchio Codice privacy). 

Il tema merita senz’altro un maggior approfondimento.

Ed invero, sappiamo che l’acronimo GDPR “va a braccetto” con il termine sicurezza.

E’ pertanto imprescindibile, proprio partendo dalla compilazione del Registro individuare le misure di sicurezza, ossia le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. 

Come appena anticipato, rispetto all’Allegato B del d.lgs. 196/2003 non novellato, ed oggi abrogato, che elencava tassativamente le misure di sicurezza minime, e qualora non fossero state spuntate sarebbe derivata sanzione certa, la descrizione richiesta dall’art 32 GDPR ha un carattere “dinamico, dovendo il Titolare, costantemente, aggiornare e implementare questa voce anche mediante il confronto con il proprio Responsabile IT e in base agli investimenti che la società intende fare al fine di essere conforme alle misure di sicurezza necessarie ad assicurare che il trattamento dei dati personali avvenga in grande sicurezza e certezza.

Come espressamente dichiarato dal Garante “Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).”

Oltre alle voci fin qui commentate, il Registro può contenere qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

Il Registro dei trattamenti, essendo un documento di censimento dei trattamenti effettuati dal titolare o responsabile.

Naturalmente, è importante mantenere aggiornato il documento ogni volta che si debba riportare un aggiornamento delle informazioni sul trattamento dei dati personali, a seguito delle modifiche apportate dal Titolare.

Sotto questo profilo, il registro deve essere mantenuto costantemente aggiornato perché quanto indicato deve effettivamente corrispondere ai reali trattamenti posti in essere dal Titolare. 

Altro aspetto da sottolineare è il fatto di dover conferire al Registro, sia che sia tenuto in forma cartacea sia che sia tenuto in forma scritta, deve recare, in maniera verificabile, la data della sua iniziale predisposizione e via via le successive copie aggiornate.

Non può inoltre non descrivere il Registro del Responsabile del trattamento, il quale, ai sensi dell’art. 30, par. 2 GDPR deve tenere un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare”.

Rispetto alle concrete modalità di compilazione dello stesso è importante evidenziare i seguenti punti.

Ogni informazione prescritta dall’art 30, par. 2 dovrà riguardare ciascun Titolare del Trattamento qualora uno stesso soggetto agisca in qualità di responsabile del trattamento (ad es. società di software house, Studio elaborazione paghe, RSPP esterno) per conto di più clienti quali autonomi e distinti titolari.

Ed invero, il Responsabile dovrà inserire nel proprio Registro tante sezioni quanti sono i titolari per conto dei quali agisce.

Il Garante, sul punto, ha espressamente affermato che “ove, a causa dell’ingente numero di titolari per cui si operi, l’attività di puntuale indicazione e di continuo aggiornamento dei nominativi degli stessi nonché di correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile potrebbe riportare il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2 del GDPR”.

Ancora, il Responsabile dovrà fornire nel proprio registro anche una descrizione delle categorie di trattamenti effettuati, come precisato dalla lettera b) del noto art 30, par. 2.

Rispetto a questa sezione, il Responsabile potrà attingere dall’oggetto della nomina ex art 298 GDPR con la quale quest’ultimo è stato designato responsabile, la quale dovrà inoltre indicare non solo la natura e lo scopo dell’attività avente ad oggetto il trattamento dei dati personali ma anche la categoria dei soggetti interessati cui tali dati si riferiscono nonché, la categoria di eventuali destinatari del trattamento, la propria policy retention dei dati che tratta per colpa del Titolare

 e prime fra tutte le misure di sicurezza che il Responsabile si impegna a rispettare per essere conforme alla nomina.

Infine, qualora il Responsabile si avvalga di un sub-responsabile, anche in questo caso dovrà redigersi apposito Registro con inserite le attività di trattamento svolte da quest’ultimo e in questo caso, rispetto alla descrizione delle attività di trattamento bisognerà prendere come riferimento l’oggetto   della nomina ex art 28, par 2 e 4 GDPR sottoscritta dal Responsabile e dal Sub-responsabile. 

GRAZIE PER LA TUA RICHIESTA.

Contattaci tramite email, telefono
o compila il form così da capire come aiutarti al meglio.