Il registro delle attività di trattamento oltre l’art.30

A meno di 4 mesi dall’entrata in applicazione del GDPR anche le realtà aziendali più piccole che hanno finora posticipato gli interventi di adeguamento si stanno affrettando, iniziando a predisporre la documentazione obbligatoria richiesta in virtù del principio di accountability, nella quale spicca il Registro delle attività di trattamento, nel seguito il Registro.

Il rischio concreto di una lettura superficiale dell’articolo 30 del GDPR, che prescrive ai Titolari e ai Responsabili del trattamento, e ove applicabile ai loro Rappresentanti, di mantenere il suddetto Registro, è quello di predisporre una documentazione che contiene le sole informazioni elencate esplicitamente ai punti 1 e 2 del suddetto articolo, senza riflettere adeguatamente sul contenuto del punto 4 dello stesso articolo 30 e sul contenuto del Considerando 82, che indicano chiaramente la vera finalità di questa documentazione: la capacità di dimostrare di poter effettuare un monitoraggio efficace dei trattamenti effettuati.

Inoltre, chi interpreta il Registro come mero obbligo di documentazione, senza porsi da subito la domanda di come poter verificare la conformità dei trattamenti, rischia anche di non saper gestire bene le inevitabili approssimazioni adottate nella fase di raccolta delle informazioni documentate, che possono diminuire l’utilità del Registro anche in modo significativo.

Chiarito l’aspetto della utilità reale del Registro quale strumento di governance è raccomandabile che chi abbia già predisposto questa documentazione obbligatoria colga adesso l’occasione di una revisione del proprio Registro per renderlo completo e dettagliato, facendo leva sul fervore presente in azienda nelle ultime settimane che precedono il 25 maggio 2018.

Nel seguito, per verificare la completezza e l’adeguatezza del Registro si propone un approccio basato su domande di buon senso sulla propria conformità al GDPR, senza limitarsi all’articolo 30, e di usare il Registro medesimo per reperire gli elementi di risposta e identificare eventuali aree e interventi di miglioramento.

Si considerino perciò le domande seguenti come test sull’adeguatezza del proprio Registro. L’approccio suggerito non ha pretese di esaustività, bensì è volto a un miglioramento continuo della propria governance della privacy.

  • Abbiamo documentato nel Registro i dati personali trattati in tutti gli Enti, divisioni, dipartimenti e uffici e in tutte le controllate e partecipate del gruppo? Questa domanda ha il fine di far emergere eventuali omissioni che potrebbero rivelarsi gravi e dare un falso senso di sicurezza. Innanzitutto, è utile investire risorse per completare la documentazione disponibile sull’organizzazione aziendale se questa non è completa e aggiornata, al fine di poter dimostrare di aver tracciato nel Registro le attività di trattamento dati effettuate da tutte le strutture aziendali. D’altro canto, la granularità delle informazioni riportate nel Registro non è prescritta nel testo di legge, e sono possibili senz’altro aggregazioni nel modellare le attività di trattamento documentate, purché la schematizzazione adottata consente una verifica dei trattamenti efficace nella propria realtà operativa. Per buona prassi si potrà documentare, anche separatamente, quali uffici, divisioni, strutture non trattano dati personali senza comparire pertanto nel Registro. Non importa se si organizza il Registro per tipologia di dati, per struttura aziendale, per servizi/prodotti o con altri criteri; deve essere comunque possibile dimostrare che sono state considerate tutte le unità organizzative e operative presenti senza omissioni.
  • Come possiamo rispondere a un reclamo effettuato da un cliente, un utente, un partner commerciale scontento di come trattiamo i suoi dati personali? Un reclamo può nascere da un malcontento, da un incidente, da un errore, da un’incomprensione, da un semplice imprevisto… E verosimilmente il querelante farà leva sulla mancanza di consenso per una specifica attività effettuata sui dati che lo riguardano, o sulle errate modalità operative delle nostre attività di trattamento, incluse la comunicazione non autorizzata dei suoi dati a soggetti terzi, ecc. tutti fattori che potrebbero dimostrare la negligenza, l’imperizia o l’illegalità di chi trattando dati ha creato danno al querelante. Un Registro adeguato consente di individuare facilmente le attività di trattamento potenzialmente più esposte a reclami, si pensi ad esempio alle attività svolte su masse di clienti o su dati molto delicati, e fornisce diverse informazioni utili a difendersi e a verificare da subito se su queste attività è stato già fatto il possibile per evitare negligenza imperizia o illegalità. Consideriamo inoltre: le misure di sicurezza degli applicativi che abbiamo documentato nel Registro, l’elenco dei fornitori fidati che abbiamo ingaggiato su quelle attività, le finalità di trattamento legittime che devono trovare riscontro nelle informative fornite, i trasferimenti di dati a soggetti terzi legittimi, il periodo di retention documentato per i dati e le misure indicate per la distruzione o restituzione dei dati, ecc. Questo specifico test eseguito con priorità sulle attività di trattamento più esposte al rischio di querela ci aiuta a capire velocemente se le informazioni riportate nel Registro sono già sufficienti e se sono utili interventi ulteriori.
  • Quali violazioni su dati personali sono più probabili nelle attività di trattamento che eseguiamo, e quali informazioni recuperiamo velocemente sul Registro per predisporre le notifiche richieste nelle 72 ore previste dal Regolamento? Questa domanda, come la precedente, mette in luce l’utilità del Registro ex post, anche come strumento per dimostrare la nostra conformità. Oltre alle violazioni già citate e legate alla legittimità del trattamento – base legale del trattamento, finalità legittima, periodo di retention dei dati, condivisione degli stessi con soggetti terzi, ecc. – è utile considerare le violazioni connesse all’utilizzo, configurazione e gestione di strumenti, prodotti e servizi tecnologici. In un Registro ben strutturato è possibile individuare velocemente quali strumenti prodotti e servizi tecnologici supportano le attività di trattamento, e distinguere quelli sviluppati e gestiti in casa da quelli acquistati da fornitori o provider esterni. Inoltre, consente di identificare facilmente le attività di trattamento supportate dalle tecnologie innovitative come big data, profilazioni, machine learning, IoT, ecc. sulle quali il legislatore ha posto particolare attenzione per i rischi maggiori potenzialmente causati dal loro utilizzo; rischio del quali gli interessati sono spesso ignari, nutrendo piuttosto un’aspettativa di privacy più alta di quella realmente offerta. Il Registro aiuterà a verificare se le misure di sicurezza documentate per le tecnologie sviluppate e gestite in casa sono adeguate, consentendo di correlarle al tipo di dati trattati, alle categorie di interessati, ai soggetti terzi coinvolti e ai trasferimenti all’estero, fornendo altresì gli input principali per una analisi di scenario tipica del processo Privacy by Design. Nel caso di prodotti e servizi acquistati o gestiti all’esterno, il Registro fornirà invece gli input per definire o verificare le clausole contrattuali di privacy e sicurezza adeguate per i fornitori e provider ingaggiati, e offrirà i dettagli per specificare correttamente l’ambito di designazione dei Responsabili esterni. Queste verifiche rappresentano di per sé accorgimenti di prevenzione delle violazioni possibili, e consentono di raccogliere in anticipo quelle informazioni che nella spiacevole situazione in cui si riscontra un breach consentono di risparmiare tempo prezioso sia per la valutazione preliminare di una notifica, sia per l’eventuale stesura della stessa. Un Registro ben strutturato e compilato consente di identificare velocemente il numero di soggetti interessati impattati da un’attività di trattamento, anche in modo qualitativo; consente di elencare facilmente i fornitori coinvolti cui chiedere ulteriori informazioni, e l’insieme delle tecnologie utilizzate e l’elenco delle sedi in cui l’attività potenzialmente impattata dal breach viene eseguita per valutare azioni di contenimento e per compilare la notifica. Altresì è utile aggiornare il Registro ex post con le informazioni relative alle violazioni verificatesi, eventualmente con semplici rimandi a documentazione separata, e modificare se opportuno l’informazione sulla rischiosità del trattamento e sulle eventuali nuove misure di sicurezza pianificate o già implementate.
  • Abbiamo predisposto delle Nomine adeguate per i fornitori che ci supportano in attività di trattamento dati? Abbiamo richiesto loro le misure di sicurezza adeguate? Sono domande che ci si pone ad esempio nel rinnovo delle Nomine e dei Contratti con fornitori storici, o nella fase di selezione e ingaggio di nuovi fornitori. Un Registro adeguato consente di filtrare con chiarezza tutte le attività di trattamento per le quali i fornitori sono ingaggiati e consente perciò di verificare con precisione la completezza e l’adeguatezza di Nomine e Contratti. Allo stesso modo le informazioni desunte dal Registro forniscono gli spunti precisi per calibrare in modo efficace le verifiche di conformità sui propri fornitori, selezionando senza ambiguità quelli che ci supportano nelle attività sui dati più sensibili, nelle attività in cui trattiamo dati di masse di utenti, nelle attività che prevedono l’impiego di tecnologie più innovative e dunque potenzialmente sotto il mirino delle Autorità.
  • Gestiamo sempre i consensi in modo adeguato? Un Registro adeguato evidenzia immediatamente tutte quelle attività effettuate sulla base del consenso e ci fornisce perciò gli elementi necessari per ulteriori analisi. Innanzitutto, ci aiuta a capire se il consenso è necessario o se obblighi contrattuali o altri obblighi legali, alla base dell’attività di trattamento documentata nel Registro, sono sufficienti o addirittura rendono il consenso non valido in ottica GDPR. Inoltre, il confronto tra le finalità di trattamento documentate nel Registro, quelle dichiarate agli interessati nelle informative e gli utilizzi reali dei dati sottesi alle attività del Registro farà emergere eventuali discrepanze che necessitano approfondimenti. Altresì, il raffronto tra quanto documentato sul periodo di retention e sulle modalità di distruzione o restituzione dei dati il cui utilizzo è soggetto al consenso ci consentirà di evidenziare velocemente alcune situazioni in cui siamo soggetti a reclami ed esposti a violazioni. Inoltre, l’identificazione precisa delle attività basate sul consenso ci permette di verificare se i nostri processi di gestione delle richieste degli interessati sono opportunamente strutturati e pronti a reggere il carico di richieste aggiuntive prevedibile per il diritto di portabilità dei dati e diritto all’oblio introdotti dal GDPR.
  • I contratti con i Provider di servizi IT in cloud sono completi? In effetti, sono varie le domande che possiamo porci in merito alle attività di trattamento per cui ci affidiamo a Provider di servizi in cloud. E se per avere l’elenco completo di tali servizi non serve certo il Registro, quest’ultimo è prezioso invece per centralizzare le informazioni essenziali a verificare se i contratti, la gestione e la configurazione di tali servizi sono adeguati ai trattamenti supportati. Va da sè che meritano un’attenzione particolare le attività sulle categorie di dati particolari (i cossidetti special data) supportate da servizi in cloud, e il trasferimento dati fuori dall’UE nei casi in cui il Provider non garantisce che lo storage dei dati non è limitato geograficamente alla UE. Altri aspetti da considerare nella verifica di questi contratti sono la gestione di ulteriori sub-fornitori del primo Provider, delle misure di backup e di restore impiegate, delle misure di controllo accesso e profilazione negli ambienti multi-tenant, delle clausole per la verifica del loro operato, del livello di qualifica del loro personale, ecc. Un Registro adeguato centralizza molte informazioni essenziali per pianificare le verifiche opportune anche in casi complessi. Ad esempio, consente di individuare subito tutte le attività documentate che prevedono l’impiego di tali servizi, di identificare tutte le varie attività di trattamento supportate da uno specifico Provider, di identificare i Provider che trattano anche dati particolari, quelli che impiegano sub-fornitori, e così via. Ulteriori informazioni di dettaglio potranno essere riportate in allegati del Registro o in documentazione separata, che tuttavia è raccomandabile indicare chiaramente nel Registro, ove possibile, per facilitare attività di verifica periodica su fornitori e servizi in cloud.
  • Sappiamo elencare tutti i trasferimenti di dati fuori UE effettuati sotto la nostra responsabilità? Non sempre i trasferimenti dati fuori UE effettuati nelle nostre attività di trattamento sono di nostra responsabilità, e di conseguenza non lo sono gli adempimenti preliminari e necessari a garantirne la legittimità. Si pensi al caso di un Responsabile del trattamento che effettua per conto del Titolare del trattamento e sotto sue precise istruzioni un trasferimento dati ad aziende stabilite fuori UE controllate dal Titolare. Altre volte, invece, il trasferimento sarà di nostra responsabilità come nel caso in cui ricorriamo a fornitori che operano fuori UE. Un Registro adeguato riporta tutte queste informazioni, elencando tutti i trasferimenti fuori UE noti ed effettuati in seno alle attività di trattamento documentate nel Registro, consentendoci così di dimostrare la nostra conformità in entrambi i casi descritti; e di pianificare, inoltre, le verifiche specifiche nel secondo caso, ad esempio le verifiche sui contratti e sulle misure di sicurezza richieste ai fornitori che operano fuori UE.
  • Possiamo affermare che la Privacy Policy aziendale e la Privacy Policy pubblicata sul sito web sono complete e corrette? Questa domanda non sembra direttamente legata al Registro. E invece ne mette in evidenza l’utilità per effettuare un test di completezza e di trasparenza di questi documenti, e ove opportuno per pianificare attività di verifica interne sugli aspetti ad essi legati, ad esempio: per la gestione di cookies, consenso online, informative pubblicate nelle pagine online ove si raccolgono informazioni, trasparenza sulla condivisione dati con altre aziende sia del gruppo sia esterne, ecc. Un Registro adeguato consente facilmente di verificare se queste due Policy sono complete e corrette, consentendoci di identificare ed esaminare le attività eseguite sui dipendenti e quelle che impiegano canali online.
  • Quanto sono efficaci gli strumenti di self-assessment previsti per le verifiche interne sulle attività che usano dati sensibili? Anche questa domanda sembra apparentemente slegata dal Registro, e invece non è così. Molte aziende hanno già eseguito scrupolosi interventi di self-assessment basati su checklist costruite con i requisiti del Regolamento. Non tutti però hanno previsto di collegare direttamente queste verifiche al Registro, richiedendo ad esempio di inserire esplicitamente nelle risposte alla checklist un riferimento diretto alle attività pertinenti documentate nel Registro. La verifica, infatti, può evidenziare la necessità di aggiornare un contratto con fornitori o richiedere l’implementazione di un nuovo controllo tecnologico per un applicativo, ecc.; e se la verifica richiede di fornire in seno alla risposta anche un’evidenza mediante riferimento alle attività di trattamento del Registro, si coglie l’occasione di aggiornare e migliorare il Registro, e si facilita il successivo monitoraggio di interventi di remediation.
  • Sappiamo motivare in modo persuasivo una richiesta di budget al top management per interventi di adeguamento al GDPR? Possiamo aver bisogno di fondi per migliorare le capacità di logging di un applicativo, o per revisionare i contratti con fornitori cruciali che trattano nostri dati sensibili fuori UE, o per aggiornare le informative pubblicate online, ecc. In questi casi il Registro è di grande aiuto. Infatti, esso contiene informazioni, sebbene talora solo qualitative, sulle tipologie di dati trattati, sul numero di soggetti interessati impattati, sul flusso dei dati negli uffici e strutture aziendali, e così via. Con queste informazioni sarà più semplice comunicare col top management, ad esempio illustrando perché una violazione su certi dati è più probabile e cosa comporterebbe. Un bilancio costi/benefici supportato dalle informazioni documentate sul Registro può essere molto efficace per supportare le nostre richieste di fondi. I benefici possono essere quantificati non solo considerando le sanzioni evitate, ma considerando anche il fatturato generato da quelle attività di trattamento documentate nel Registro che a fronte di un’interruzione prescritta dall’Autorità per una violazione sarebbero causa di mancati ricavi. Più difficile è quantificare i costi di contenimento e di ripristino causati da una violazione. Tuttavia i dati noti relativi a violazioni del passato, subite anche da competitor, possono fornire elementi ulteriori a supportare le proprie richieste.

E’ possibile formulare altre domande simili a quelle sin qui commentate, magari più adatte al nostro contesto operativo, considerando altri requisiti del GDPR; e adottando lo stesso approccio si migliorerà non solo il Registro, ma la propria preparazione in vista del 25 maggio 2018.

Inoltre, vale la pena considerare le interazioni tra il Registro e i nuovi processi di gestione della privacy richiesti esplicitamente dal legislatore. A titolo esemplificativo si considerino le seguenti: “Come posso utilizzare il Registro nel processo Privacy by Design?”, “Devo aggiornare il Registro al termine del processo suddetto?”, “Devo documentare nel Registro le DPIA effettuate sui trattamenti documentati nel Registro?”, “Come posso verificare se sul Registro ho indicato tutte le attività soggette a DPIA da verificare?”, ecc.

Ulteriori domande di buon senso si possono formulare mettendosi nei panni di un ispettore esterno che verifica la nostra conformità al GDPR, ed eseguire così ulteriori test sull’adeguatezza del nostro Registro, verificando ancora come esso ricopra un ruolo centrale per la nostra accountability.

In quest’ottica, non è difficile persuadersi che per le attività eseguite come Responsabili del trattamento sarà utile documentare, ove possibile, anche le informazioni che il legislatore richiede esplicitamente solo per il Titolare, quali la finalità del trattamento, la descrizione delle categorie degli interessati, delle categorie dei destinatari dei dati, i termini previsti per la cancellazione e così via. Per i Responsabili la documentazione di queste informazioni nel Registro faciliterà le verifiche di legittimità delle operazioni svolte per conto dei propri clienti, Titolari del trattamento. Si pensi, ad esempio, al confronto tra i termini contrattuali sui trattamenti, le finalità di trattamento riportate sul Registro del Responsabile e le effettive operazioni eseguite sui dati dal Responsabile, nei servizi erogati e progetti realizzati.

Analogamente, se si ricade potenzialmente nei casi di deroga previsti dal legislatore per evitare l’onere del mantenimento del Registro, l’utilità di raccogliere e centralizzare le informazioni sulle attività di trattamento ha comunque un grande valore, con un ritorno sull’investimento positivo che si ripaga velocemente. Ad esempio, la predisposizione del Registro consente di evitare spese inutili laddove, in mancanza di esso, si dovrebbero ripetere – su base evento – attività di raccolta informazioni sui trattamenti dati rese spessp più costose dall’urgenza, senza considerare lo stress e gli impatti sulla normale conduzione delle nostre attività. E’ evidente come il Registro ci consenta inoltre di organizzare con maggiore efficacia le attività di verifica interne, comunque necessarie, contribuendo inoltre alla prevenzione di violazioni accidentali.

Così strutturato, il Registro è però un documento che invecchia presto. Ecco perché è raccomandabile richiederne un aggiornamento con una frequenza almeno trimestrale, e mensile per le attività su dati particolari e a maggiore rischiosità per gli interessati, cogliendo sempre l’occasione delle verifiche interne o esterne per sollecitarne ulteriori aggiornamenti. Come strumento ex post il Registro mostrerà maggiormente il suo valore se è aggiornato. Del resto, come strumento ex ante si dimostra utile in casi come: attività di analisi degli impatti privacy, prevenzione dei breach sui dati personali, revisione di contratti con fornitori, ecc.

Poiché la sua applicazione è obbligatoria in realtà aziendali così differenti, non è facile dare consigli generali sulla scelta “make or buy” di un tool operativo a supporto della redazione e gestione del Registro, scelta che molti si stanno ponendo dopo averne realizzato una versione casalinga con MS Excel. Probabilmente il mercato continuerà a crescere in fretta, almeno per i prossimi mesi, offrendo una scelta più ampia nel corso del 2018.

Anche una semplice cartella di lavoro Excel potrebbe essere sufficiente in molti casi, purché la granularità delle attività documentate e la struttura dei campi consenta di condurre facilimente le attività di verifica qui proposte o altri test di adeguatezza. Laddove la complessità organizzativa e il numero di richieste privacy da dover gestire nella routine quotidiana rendono questa scelta impraticabile, si suggerisce di utilizzare i test di verifica qui analizzati come criteri funzionali per la selezione del tool di mercato da acquistare o da sviluppare, così l’azienda beneficierà del Registro come vero strumento di governance.

Inoltre, è utile proporre l’analisi e l’aggiornamento dei processi interni aziendali prevedendo, ove opportuno, che le attività sui dati personali producano subito gli aggiornamenti necessari sul Registro.

Considerato poi il valore probatorio di questo documento così versatile, sarà utile definire sin dall’inizio gli aspetti legati alla sua conservazione sicura e alle modalità di condivisione consentite all’interno e all’esterno dell’azienda.

Infine, è probabile che nelle aziende in cui la cultura di gestione dei dati è relativamente giovane si incontreranno non poche resistenze interne, perfino per completare la mera raccolta di informazioni e per formalizzare certe prassi sui dati personali. Si pensi alla formalizzazione della rischiosità del trattamento, delle misure di sicurezza adottate, del periodo di retention dei dati consentito per ciascuna attività di trattamento, delle modalità di distruzione dei dati previste, o dei trasferimenti dei dati fuori UE…

Tuttavia, questo non scoraggerà chi vede in questo Regolamento un’opportunità reale di miglioramento, e chi strutturerà il Registro pensando che la cultura della propria azienda maturerà nel tempo. Costoro arricchiranno il Registro progressivamente per renderlo uno strumento di governance interna efficace, che semplifica diversi adempimenti e consente di identificare interventi per prevenire non conformità, anche accidentali, che espongono l’azienda a rischi non più tollerabili sotto il regime del GDPR.

Bibliografia

  • Il Regolamento Privacy europeo – Commentario alla nuova disciplina sulla protezione dei dati personali. Autori: Camilla Bistolfi, Luca Bolognini, Enrico Pelino. Giuffrè Editore
  • Il nuovo regolamento europeo sulla protezione dei dati. Autore: Adalberto Biasotti. EPC Editore
  • La nuova disciplina europea della privacy. A cura di: S. Sica, V. D’Antonio, G. M. Riccio. Cedam editore
  • Manuale di diritto alla protezione dei dati personali. Autori: Marco Maglio, Miriam Polini, Nicola Tilli. Maggioli Editore
  • Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali. Diretto da: Giusella Finocchiaro. Zanichelli Editore

A cura di: Alberto Canadè

Profilo Autore

DPO Italia di Reply, azienda leader nella progettazione e nell’implementazione di soluzioni basate sui nuovi canali di comunicazione e media digitali, che mediante aziende altamente specializzate definisce e sviluppa modelli di business abilitati dai nuovi paradigmi del Big Data, Cloud Computing, Digital Media e Internet degli Oggetti.
Alberto inizia la sua carriera nel 1998 nel gruppo Telecom, come Software Test Manager in Italia e Francia. A partire dal 2001 si occupa di sicurezza in Elsag Datamat, gruppo Finmeccanica, maturando esperienze internazionali significative, e partecipando attivamente alle attività promosse dal TeleManagement Forum. Nel 2008 entra in Spike Reply, società del gruppo Reply specializzata in sicurezza informatica, come manager nella BU di Risk Management & Compliance. Dal 2016 coordina il Programma di Compliance GDPR per il gruppo Reply. LA27001, LA22301, CIPP/E, CIPP/US, CIPT, CIPM, ITIL, PMP.

Condividi sui Social Network:

Articoli simili