Registro trattamento dati personali a rischio zero: come fare
3 Giugno 2020 in Governance Risk & Compliance As a Service - GRC360
Leggendo nel GDPR i contenuti del Registro dei trattamenti dei dati si potrebbe pensare che la sua costituzione e gestione sia semplice, intuitiva e una volta effettuata possa essere dimenticata. Invece, la collezione dei dati del Registro non solo è una occasione per raccogliere, comprendere e razionalizzare tutti i trattamenti di dati personali della propria organizzazione, ma è anche una occasione per tenerli sotto controllo con una periodica rivalutazione e aggiornamento. Si tratta quindi di istruire un processo virtuoso di gestione a beneficio della protezione dei dati trattati (personali, sensibili e/o particolari secondo la tipologia gestita in azienda n.d.r.). La redazione del Registro dei Trattamenti dei Dati può nascondere rischi e insidie, ma con alcuni accorgimenti e suggerimenti è possibile trasformare la difficoltà, in una importante opportunità per l’azienda.
Le fonti del Registro dei Trattamenti dei dati
Il Registro dei Trattamenti dei Dati è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del General Data Protection Regulation (GDPR) relative alle operazioni di trattamento dati svolte dal Titolare e, se nominato, dal Responsabile del trattamento. Costituisce uno dei principali elementi di accountability del Titolare e come tale, è un documento dovuto e obbligato per fornire un quadro aggiornato dei trattamenti svolti nella propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio. Si configura quindi come un documento da compilare in modo preliminare rispetto a tali attività. Può essere redatto in forma scritta ma essere tenuto anche in versione digitale e deve essere esibito su richiesta del Garante per la protezione dei dati personali. Per tale motivo deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Affinché non vi siano dubbi interpretativi sulla sua composizione e gestione lo stesso Garante ha reso disponibile la pagina dedicata al Registro dei Trattamenti dei Dati. Oltre ad informazioni operative su contenuti e obblighi sono disponibili anche modelli documentali semplificati per Titolare e Responsabile per la PMI.
Rischi più frequenti nella composizione del Registro dei Trattamenti dei dati
Il rischio principale nella redazione riguarda l’erronea considerazione del Registro dei Trattamenti Dati come una rappresentazione della mappatura dei processi aziendali. Se si cambia il focus, il rischio è mancare l’individuazione delle informazioni previste dal Garante che costituiscono invece il centro d’interesse. Per qualcuno la redazione del Registro è considerata una attività da svolgersi “una tantum”, come se fosse un compito dovuto per la compliance, per poi lasciarlo abbandonato e chiuso in un armadio, cassetto, o in una cartella digitale. invece, il Registro dei Trattamenti Dati è un testo dinamico, un “documento vivo” da mantenere costantemente aggiornato. Naturalmente la revisione non deve essere una malattia, ma un’attività periodica o da svolgere in occasione di cambiamenti, come ad esempio in caso di gestione dati da parte di una nuova azienda. Un altro rischio molto frequente è che il registro dei trattamenti dati non sia allineato con il resto della documentazione privacy (informative, nomine a responsabili, autorizzazioni al trattamento per gli incaricati, ecc.).
Dal punto di vista degli strumenti, si tende inizialmente a non investire in uno strumento dedicato anzi si considera una inutile spesa. Ma, il più delle volte si rivela un boomerang. Se all’inizio il Registro dei Trattamenti Dati è rappresentato da fogli excel, dotarsi di strumenti adeguati garantisce una efficienza maggiore nella gestione del versioning e nella qualità dei dati, poiché i controlli di forma evitano danneggiamenti e perdita dei dati ed inoltre si garantisce la coerenza con altre porzioni del Registro. Ad esempio, la corrispondenza fra i contenuti delle lettere di nomina e le informative. Non è necessario usare una intera soluzione GRC. Potrebbe bastare un solo modulo dedicato al Registro dei Trattamenti Dati per poi adottare altri moduli in base alle esigenze. In ultimo, gli strumenti nati espressamente per il GDPR permettono di gestire con una certa flessibilità le diverse unità organizzative coinvolte nella redazione del Registro. Dato il flusso di lavoro e di scambio dei dati per gli aggiornamenti del Registro, lo strumento digitale scelto dovrebbe consentire il lavoro collaborativo fra i vari addetti alla sua compilazione secondo ruoli e responsabilità rispecchiando il processo di lavoro a cui il trattamento dati fa riferimento. Alcuni strumenti comprendono quindi un workflow di processo per questa gestione ottimizzata e la delocalizzazione delle responsabilità per gli aggiornamenti e le modifiche.
Suggerimenti e Accorgimenti per la preparazione del Registro dei Trattamenti
Se la redazione del Registro dei Trattamenti dei dati personali potrebbe sembrare un’avventura è necessario chiarire che non si deve puntare alla perfezione da subito. Se il Registro è un documento dinamico, allora mappare il maggior numero di informazioni obbligatorie e accessorie fin dall’inizio, è utile ma si deve mantenere una certa flessibilità sulle inezie che potrebbero mancare. È importante mappare prima le informazioni obbligatorie e poi quelle aggiuntive e non viceversa anche se capita più spesso di quanto non sembri. Fondamentale è invece il committment del top Management per la responsabilizzazione del personale coinvolto e per la risoluzione di problematiche. È necessario un cambio culturale da tutti verso una maggiore collaborazione perché le sanzioni arrivano a tutta l’azienda e non ad una singola funzione. Per non commettere errori è necessario avere una chiara idea delle informazioni obbligatorie previste dal Registro di Trattamento dei dati, avere una visione completa dei dati personali trattati, iniziando con l’individuazione dei Referenti interni dei trattamenti e definendo le regole di redazione e aggiornamento del registro per ogni figura coinvolta. Naturalmente il registro non è esso stesso una funzione aziendale, ma è necessario un owner incaricato di redigerlo, supportato da referenti delle unità aziendali coinvolte ciascuno per i trattamenti di sua pertinenza che devono essere mappati nel registro.
Un accorgimento organizzativo e logistico riguarda l’organizzazione di una riunione iniziale con la spiegazione degli obiettivi di percorso, la spiegazione del registro, dando evidenza di un piano prefissato per gli incontri successivi.
In termini di metodologia per la redazione del Registro dei trattamenti, si consiglia di partire da alcuni macro-processi e dai trattamenti correlati per poi approfondire coinvolgendo i sottoprocessi e i responsabili coinvolti e tenendo traccia di asset fisici e IT che usano e trattano dati personali. Per ogni trattamento analizzato si verifica se siano coinvolti fornitori esterni e si investiga con l’entità esterna procedendo per approfondimenti successivi e per maglie (società collegate, contratti etc).
Dunque, un Registro dei trattamenti rappresenta una occasione preziosa per sintetizzare la conoscenza relativa trattamenti di dati che sono svolti in azienda e contestualmente di individuare tutte le informazioni a corredo di tali trattamenti compresi stakeholder di riferimento e strumenti abilitanti. Compliance a parte, la compilazione iniziale e la periodica revisione del Registro consentono una migliore tenuta sotto controllo e protezione dei dati personali.
P4I – Partners4Innovation