Registro dei trattamenti GDPR: cosa devi fare?
20 Settembre 2019 in Governance Risk & Compliance As a Service - GRC360
La compilazione del registro dei trattamenti GDPR è una attività delicata non esente da rischi. Non tenere il registro delle attività di trattamento dei dati o compilarlo con errori e senza soddisfare i criteri previsti, comporta conseguenze dannose per l’azienda, non solo danni di reputazione o sanzioni ma anche problemi tecnici. Cerchiamo quindi di fare il punto su quali siano i rischi connessi alla compilazione del registro dei trattamenti e come evitare errori o superficialità che possono portare a scenari difficili da gestire.
I rischi legati al registro dei trattamenti GDPR
Per avere ben chiaro il quadro della situazione, è utile ricordare anche ai più esperti che l’articolo del GDPR di riferimento per quanto riguarda il registro dei trattamenti è il numero 30. In questo articolo, il regolamento europeo offre tutte le indicazioni per non sbagliare, spiegando agli addetti ai lavori quali sono gli obblighi connessi, come deve essere compilato il registro dei trattamenti, quali informazioni deve contenere. Partendo da questo presupposto, è facile individuare quali possono essere le criticità legate alla compilazione del registro dei trattamenti GDPR. Ecco le 8 principali.
1. Bisogna avere il registro dei trattamenti GDPR
Tutti i titolari e responsabili del trattamento devono averlo: il Garante della privacy ha specificato che ne raccomanda l’utilizzo anche al di fuori dei casi di tenuta obbligatoria perché è considerato uno degli strumenti fondamentali dell’accountability. Del resto, proprio il GDPR segnala che sono tenuti all’obbligo le organizzazioni e le imprese con almeno 250 dipendenti, tuttavia l’obbligo si estende a qualunque responsabile o titolare che svolge trattamenti soggetti a rischi, trattamenti non occasionali o che tratti i dati cosiddetti particolari come quelli sanitari o giudiziari. Per semplificare, il Garante presenta sul proprio sito una lista di soggetti tenuti ad avere il registro, tra questi ci sono bar, ristoranti, negozi con almeno un dipendente, liberi professionisti con almeno un dipendente che trattino dati sanitari, associazioni e anche il condominio che tratta dati particolari. Da sottolineare che le informazioni raccolte nel registro sono utili per gestire correttamente la privacy: una base su cui costruire le azioni di data protection, pratico per avere il quadro completo di tutti i dati che si vogliono trattare. Inoltre, è utile anche in caso di ispezioni.
2. Il registro dei trattamenti dev’essere disponibile
Il registro dei trattamenti GDPR deve essere messo a disposizione dei soggetti incaricati dall’azienda di visionarlo e gestirlo. Questo significa anche banalmente sapere recuperare le informazioni a fronte di un controllo.
3. E aggiornato
Il registro dei trattamenti GDPR va aggiornato, lo specifica il regolamento. Per farlo, servono i giusti strumenti, in primis la procedura sul suo aggiornamento: bisogna indicare per iscritto con quale periodicità si ha intenzione di aggiornarlo e come sono allocate le responsabilità di tale attività: centralizzate presso un unico soggetto (es. un Privacy Officer) oppure decentrate sugli owner dei diversi processi (eventualmente responsabilizzati ed individuati come Referenti interni)? Entrambe le soluzioni sono adeguate ma bisogna sceglierne una, documentarla nella procedura, istruire le persone coinvolte, metterla in pratica e controllare che lo sia. In questo contesto, un tool torna molto utile, perché se dotato di warning, scadenze e link può avvisare l’utente al momento di aggiornare il documento e guidarlo nella compilazione.
4. Il versioning del registro dei trattamenti
Le aziende potrebbero fare l’errore di sovrascrivere le versioni precedenti dei dati contenuti nel registro, ma in un’ottica di accountability è importante mantenere le versioni precedenti del registro e capire quando è stata fatta una certa modifica e perché. Basterebbe inserire l’indicazione con la data di aggiornamento e l’oggetto dell’aggiornamento, spiegando cosa si è fatto di nuovo e il motivo.
5. Nel registro devono esserci tutti i dati
Bisogna ricordare che tra questi figurano anche le basi giuridiche e i criteri di conservazione dei dati, che vanno riportati anche nelle informative.
6. Il registro dei trattamenti dev’essere coerente
I dati devono essere coerenti: per questo, è utile fare le informative dopo aver compilato il registro. Nel caso in azienda ci sia anche il registro del responsabile, inoltre in cui bisogna riportare i trattamenti che si fanno per i clienti esterni (o per altre aziende del gruppo), bisogna riportare con precisione i trattamenti oggetto delle nomine ricevute. Se l’azienda agisce come titolare, infine, bisogna verificare che i terzi ai quali sono delegate porzioni di trattamenti di dati personali siano indicati nelle colonne del registro del titolare alla voce “Responsabili esterni” e ci siano le nomine coerenti col registro.
Conseguenze di un registro dei trattamenti GDPR inadeguato
Come spiegato dal Garante della privacy, il registro dei trattamenti è uno strumento fondamentale per l’accountability. Il titolare, infatti, attraverso di esso potrà dimostrare tutte le azioni messe in atto nel trattare i dati, in particolare le finalità e le misure di sicurezza messe in atto. Non avere un registro tenuto bene, può comportare problemi perché mancherebbero le tracce dei trattamenti, lacune considerate molto gravi. Mancata accountability e mancata compliance portano inevitabilmente sulla strada delle sanzioni. Una sanzione per non aver rispettato le prescrizioni del GDPR ha ripercussioni sull’immagine dell’azienda. I clienti potrebbero sentirsi poco sicuri ad affidare i propri dati a quell’impresa, che uscirebbe dalla situazione con un danno alla propria reputazione.