Privacy (Registro delle attività di trattamento)

In questo articolo ci occuperemo di inquadrare la normativa generale del così detto “Registro delle attività di trattamento” nonché di analizzare le modalità operative per una corretta redazione e tenuta di tale registro.

Il Regolamento Europeo 679/2016 ha introdotto l'utilizzo del “Registro delle Attività di Trattamento”. Tale nuovo documento rappresenta un elenco di tutte le attività di trattamento svolte sotto la responsabilità del Titolare. Per attività di trattamento, in virtù del disposto dell'art. 4 del suddetto Regolamento, deve intendersi: “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”. In buona sostanza, quindi, qualsiasi tipo di attività venga compiuta con i dati personali forniti al nostro studio legale, dovrà essere oggetto di specifica annotazione all'interno del Registro delle Attività di Trattamento. In primis, in ogni caso, è bene chiarire in quali casi tale registro debba considerarsi obbligatorio ed in quali meramente facoltativo.L'art. 30 comma 5 del Regolamento 679/2016, prevede tre specifiche condizioni al verificarsi delle quali sarà obbligatoria la tenuta del Registro:1) qualora il trattamento sia effettuato da imprese o organizzazioni con più di 250 dipendenti2) qualora il trattamento effettuato possa presentare un rischio per i diritti e le libertà dell'interessato3) qualora il trattamento non sia occasionale o includa di categorie particolari di dati (articolo 9, paragrafo 1 del Regolamento) o di dati personali relativi a reati o condanne penali (articolo 10 del Regolamento) Il Garante per la Protezione dei Dati Personali ha recentemente chiarito che tali tre condizioni devono considerarsi alternative e basterà, quindi, il verificarsi anche solo di una delle tre per far scattare l'obbligo di tenuta del Registro.Allo stato, quindi, il Registro delle attività di trattamento rappresenta – come specificato anche dal Garante – uno dei principali elementi dell'accountability del Titolare, nonché il documento maggiormente significativo di tutta l'attività di trattamento effettuata in virtù del GDPR, posto che – anche in ossequi al “Considerando” n. 82 contenuto nel medesimo Regolamento – tale Registro si rende necessario al fine di dimostrare alle autorità di controllo, non solo che ci si è conformati alla nuova normativa ma anche il come lo si è fatto.

In virtù del disposto dell'art. 30 Regolamento Europeo 679/2016, il Registro delle Attività di Trattamento deve contenere le seguenti informazioni:• il nome e i dati di contatto del titolare del trattamento;• il nome e i dati di contatto del contitolare del trattamento (se presente);• il nome e i dati di contatto del rappresentante del titolare del trattamento (se presente);• il nome e i dati di contatto del responsabile della protezione dei dati (detto anche Data Protection Officer);• le finalità del trattamento;• la descrizione delle categorie di interessati al trattamento;• la descrizione delle categorie di dati personali trattati;• l'indicazione delle categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;• l'eventuale intenzione di trasferire i dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale;• ove possibile l'indicazione dei termini ultimi previsti per la cancellazione delle diverse categorie di dati;• ove possibile una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo adottate per il trattamento. Nel prossimo paragrafo ci occuperemo, nello specifico, delle modalità operative per la compilazione del registro, per quanto relativo al merito di questo paragrafo, invece, dobbiamo obbligatoriamente sottolineare come l'Avvocato non dovrà quasi mai nominare un così detto “DPO” poiché, in virtù del disposto dell'art. 37 del Regolamento Europeo, il Responsabile della Protezione dei Dati (DPO o RPD) dovrà essere obbligatoriamente designato solo quando: a) il trattamento sia effettuato da un'autorità pubblica o da un organismo pubblico;b) le attività principali del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;c) le attività principali del titolare del trattamento o del responsabile del trattamento consistano nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'art. 9 o di dati relativi a condanne penali e a reati di cui all'art. 10. Se è pur vero che gli Avvocati trattano numerosi dati relativi a condanne penali ed a reati, è altrettanto vero che tale trattamento non sarà quasi mai svolto su larga scala.Il Considerando 91 del Regolamento, infatti, precisa che sono “trattamenti su larga scala, [quelli] che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”, definizione – quest'ultima – nella quale non sembrano rientrare i normali studi legali. Oltre a ciò si segnala che il gruppo di studio europeo “Article 29” ha, nella propria analisi sul ruolo del DPO, chiarito come non rientri nel concetto di larga scala il “trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato.”; opinione riportata anche all'interno delle FAQ rilasciate dal Consiglio Nazionale Forense che, in ogni caso, consiglia agli avvocati di valutare caso per caso la nomina di un DPO in funzione dei seguenti criteri:• numero di persone interessate dal trattamento di dati personali;• volume dei dati trattati;• durata e permanenza delle attività del trattamento;• estensione geografica dell'attività di trattamento;• trattamento di categorie particolari di dati di cui all'art. 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'art. 10.

Passando ad analizzare le modalità operative per la compilazione del registro dei trattamenti, va innanzitutto evidenziato come lo stesso possa essere tenuto sia in formato cartaceo che in formato digitale; a tal proposito sia il Consiglio Nazionale Forense che il Garante per la Protezione dei Dati Personali, hanno messo a disposizione degli schemi di registro reperibili ai seguenti indirizzi:• Registro CNF: https://www.consiglionazionaleforense.it/documents/20182/445621/All.+2+-+Registro+Attivita%CC%80-Categorie+Di+Trattamento.xlsx/0ffbd43c-c8ee-4c0a-9af6-5b8c5222e7ac• Registro Garante (versione semplificata): https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9048342 Posto che, in ogni caso, gli schemi sopra riportati non debbono essere intesi come obbligatori ma come meri esempi di tenuta di tale documento, il Titolare potrà comunque sempre scegliere in piena autonomia la forma grafica e lo schema generale per la tenuta del Registro.Vediamo quindi adesso cosa deve essere effettivamente riportato all'interno del Registro de quo. In primis dovremo indicare i nostri dati di recapito e poi provvedere ad individuare tutte le tipologie di trattamento del Titolare. Uno studio legale normalmente effettua trattamenti che si possono esemplificare come di seguito (l'elenco è da intendersi non vincolante e non esaustivo): • Trattamento per assistenza legale giudiziale e stragiudiziale;• Trattamento per consulenza;• Trattamento per assistenza nella conclusione di affari;• Trattamento per gestione del rapporto di lavoro nei confronti dei propri dipendenti;• Trattamento per adempimento degli obblighi fiscali;• Trattamento per adempimento degli obblighi legati alla normativa in materia di antiriciclaggio;• Trattamento per finalità di controllo e videosorveglianza;• Trattamento per marketing o promozione;• Trattamento relativo alla gestione di siti internet;• Etc…. Per ciascuna tipologia di trattamento dovremo provvedere ad alimentare le seguenti aree di informazioni: 1) Finalità del trattamentoIn questa sezione dovranno essere inserite le ragioni che determinano il trattamento nonché la base giuridica a sostegno della liceità dello stesso. In buona sostanza dovranno essere indicate almeno una delle specifiche previsioni dell'art. 6 del GDPR e, qualora siano trattati dati particolari, almeno una di quelle di cui all'art. 9 paragrafo 2 del medesimo testo. 2) Categorie di interessati e di dati personaliIn quest'area andranno inserite le categorie di soggetti dei quali si trattano i dati e le tipologie di dati trattati. Ad esempio, nel caso del trattamento per assistenza legale, la categoria di soggetti interessati sarà quella dei “clienti”, mentre nel caso di trattamento per gestione del rapporto di lavoro, la categoria sarà quella dei “dipendenti”. In merito, invece, alla tipologia di dati trattati, dovremo provvedere ad indicare quali dati vengano registrati e se questi siano dati comuni, particolari oppure giudiziari.Ad esempio: “Dati anagrafici→Dati di tipo comune; Dati sanitari→Dati di tipo particolare…etc…” 3) Categoria di destinatariIn tale campo dovranno essere inseriti i soggetti (indicati anche solo come categoria e non necessariamente in modo specifico) a cui i dati oggetto del trattamento saranno inviati; ad esempio: l'agenzia delle entrate (per i trattamenti fiscali), gli enti previdenziali (per i trattamenti relativi ai dipendenti), etc… In questa sezione il Garante consiglia di indicare anche gli eventuali Responsabili (art. 4 n. 8 e art. 28 del GDPR) che si occupino dello specifico trattamento oggetto di descrizione. 4) Trasferimento dei dati verso un paese terzoIn quest'area andranno riportate eventuali informazioni relative al trasferimento dei dati personali trattati verso paesi non appartenenti alla Comunità Europea. Oltre a ciò dovranno essere indicate eventuali garanzie particolari adottate in virtù dei trasferimenti de quibus.Ad esempio alcune grandi società che operano sul web – ma con sede negli Stati Uniti – hanno aderito al così detto “privacy shield”, ossia, un accordo che regolamenta il trasferimento di dati tra Unione europea e USA. 5) Termine ultimo per la cancellazione dei datiIn questa sezione dovremo provvedere ad individuare i tempi massimi di tenuta dei dati da parte del Titolare del trattamento. Per il principio di “minimizzazione” (introdotto proprio con il GDPR) chi tratta dati personali dovrà farlo unicamente per il tempo strettamente necessario ad effettuare il singolo trattamento. Tale termine dovrà essere individuato – in ossequio a quanto specificato dal Garante – in virtù di norme di legge, prassi settoriali, etc… 6) Descrizione delle misure di sicurezzaIn quest'area dovranno essere inserite tutte le misure organizzative e di sicurezza adottate dal Titolare del trattamento (art. 32 del GDPR). Non esiste allo stato un elenco minimo delle misure da adottare, quindi ogni valutazione – in virtù del principio dell'accountability – sarà rimessa proprio al Titolare del trattamento.Andranno comunque indicate le misure sia di carattere fisico (ad esempio: pratiche archiviate in armadi chiusi a chiave, porte blindate, etc…) sia di carattere informatico (sistemi di backup, antivirus, firewall, etc…). Ultimo elemento da evidenziare è la necessità di registrare i processi di realizzazione e aggiornamento del Registro; il Garante ha infatti recentemente chiarito come il Registro debba riportare la data di prima compilazione e quelle di successivo aggiornamento dei dati ivi contenuti.