Il Garante per la protezione dei dati personali, lo scorso ottobre ha fornito alcune importanti precisazioni relativamente a due dei principali adempimenti –rilevantissimi elementi di accountability – introdotti dal Regolamento Europeo 679/2016 in materia di protezione dei dati personali (il “Regolamento”):

(i)            il Registro dei Trattamenti, come da risposta alle FAQ pubblicate l’8 ottobre sul sito del Garante, nonché

(ii)           la Valutazione d’Impatto Privacy (anche conosciuta come “DPIA” – Data Protection Impact Assessment), come da Provvedimento del Garante, n. 467, dell’11 ottobre.

 

Il Registro dei trattamenti

In primis, ad avviso del Garante, il “Registro della attività di trattamento” (il “Registro”) – previsto dall’art. 30 del Regolamento – deve riportare tutte le principali informazioni relative alle operazioni di trattamento svolte dal Titolare. Questo documento deve essere redatto in forma scritta oppure elettronica, ed è in ogni caso il primo documento che, su richiesta del Garante stesso o in fase d’ispezioni, deve essere prontamente esibito.

Il Garante ha allargato la platea dei soggetti tenuti a tenere il Registro, includendovi tutte le aziende che effettuano “trattamenti non occasionali” (indipendentemente dal numero dei dipendenti impiegati); gli  esercizi commerciali o artigiani con almeno un dipendente; i liberi professionisti, le associazioni e le fondazioni ed, infine, i condomini, ove trattino “categorie particolari” di dati.

Infine, il Garante ricorda quali sono le “informazioni minime” che il Registro deve obbligatoriamente contenere, ossia:

–       le finalità di ciascun trattamento. Al riguardo viene precisato che, oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso. Sempre con riferimento alla base giuridica, sarebbe parimenti opportuno: in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2, del Regolamento; in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del Regolamento;

–       le categorie di interessati (ad es. clienti, fornitori e dipendenti) e le categorie di dati personali (ad es. dati anagrafici, dati sanitari, dati biometrici);

–       le categorie di destinatari a cui i dati vengono comunicati (gli altri titolari, per categorie di appartenenza, a cui i dati vengono comunicati, come gli enti previdenziali a cui devono trasmessi per adempiere agli obblighi contributivi). Secondo il Garante è opportuno, altresì, indicare gli eventuali altri soggetti a cui – in qualità di responsabili del trattamento o sub responsabili – i dati vengono trasmessi (ad es. società di elaborazione paga). Ciò al fine di consentire al Titolare di avere contezza del novero e della tipologia di soggetti esterni a cui sono affidate le operazioni di trattamento dei dati;

–       gli eventuali trasferimenti verso paesi terzi, con indicazione del Paese/i Terzo/i a cui i dati sono trasferiti e le garanzie adottate ai sensi del Regolamento;

–       il periodo di conservazione dei dati (ad es. in caso di rapporto contrattuale i dati saranno conservati per 10 anni dall’ultima registrazione) e, infine,

–       una generale descrizione delle misure di sicurezza (tecniche e organizzative) adottate per ciascun trattamento, con possibilità di far rinvio per una valutazione più completa a documenti esterni di carattere generale (ad es. procedure interne).

 

Il Garante ribadisce che il Registro deve essere costantemente aggiornato poiché il suo contenuto deve corrispondere all’effettività dei trattamenti posti in essere. In sostanza qualsiasi cambiamento deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

Anche il Responsabile del Trattamento è tenuto a tenere un Registro del trattamento, in merito alle cui modalità di compilazione, il Garante ha precisato che:

–       nel caso in cui agisca per conto di più clienti quali autonomi e distinti titolari (es. società di software house), le informazioni di cui all’art. 30, par. 2, del Regolamento dovranno essere riportate nel Registro con riferimento a ciascuno dei suddetti titolari. In questi casi il Responsabile dovrà suddividere il Registro in tante sezioni quanti sono i titolari per conto dei quali agisce o potrebbe riportare il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi. Ciò, ferma restando la necessità che tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2 del Regolamento;

–       con riferimento alla “descrizione delle categorie di trattamenti effettuati è possibile far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28 del Regolamento, deve individuare, in particolare, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati oggetto del trattamento, nonché la durata di quest’ultimo

–       in caso di sub-responsabili, parimenti, il Registro delle attività di trattamento svolte da quest’ultimo potrà specificatamente far riferimento ai contenuti del contratto stipulato tra lo stesso e il Responsabile ai sensi dell’art. 28 del Regolamento.

La Valutazione di impatto

Il provvedimento n. 467 del Garante fornisce una lista di 12 tipi di trattamenti che richiedono l’obbligatoria redazione di una Valutazione d’Impatto. Tali indicazioni, dunque, si aggiungono a quelle disposte dall’art. 35 del Regolamento nonché dalle linee guida del c.d. WP29 (ora Comitato Europeo per la Protezione dei Dati), già fornite nel corso del 2017.

La redazione di una DPIA rappresenta un adempimento particolarmente delicato e rilevante, in termini di “privacy compliance”, richiedendosi di fatto, alla società Titolare del trattamento dei dati, di valutare e soppesare con attenzione le misure tecniche e organizzative, le quali devono essere idonee ad impedire che le persone fisiche interessate al trattamento possano subire danni.

Dopo i tre esempi di cui all’art. 35 del Regolamento – profilazione, sorveglianza sistematica su larga scala di zona accessibile al pubblico e trattamento su larga scala dei dati “particolari” (già “sensibili”) – ed in aggiunta ai nove casi elencati dal WP29 nelle proprie linee guida, in forza dei quali la DPIA sarebbe obbligatoria, il nostro Garante ha dunque ulteriormente chiarito la materia.

Nello specifico, a parere del Garante richiedono la preventiva DPIA i trattamenti:

–       valutativi, di scoring su larga scala e di profilazione;

–       automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” o che comunque incidono significativamente sugli interessati (ad esempio, lo screening di clienti di una banca attraverso l’utilizzo di dati registrati in una centrale di rischi);

–       che consentono l’utilizzo sistematico di dati per osservazione e monitoraggio (ad esempio via app od online);

–       su larga scala di dati aventi carattere estremamente personale (ad es. mail) o che incidono su un diritto fondamentale (ubicazione, la cui raccolta può impattare sulla libera circolazione);

–       svolti nell’ambito del rapporto di lavoro mediante sistemi tecnologici (ad es.: videosorveglianza o geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;

–       di soggetti vulnerabili (minori, disabili, etc.);

–       effettuati attraverso l’uso di tecnologie innovative (IoT o AI);

–       che comportano lo scambio di dati tra diversi titolari, su larga scala;

–       effettuati mediante interconnessione e simili (ad es.: mobile payment);

–       di categorie “’particolari” di dati o comunque relativi a condanne penali;

–       sistematici di dati biometrici ed infine di dati genetici.

A livello “comparatistico”, si rileva come, rispetto al “collega” francese (il CNIL), il Garante italiano non abbia fatto espresso riferimento al trattamento relativo ai “sistemi di whistleblowing”.

Resta inteso che l’elenco dei 12 trattamenti fornito – ed in corso di pubblicazione in Gazzetta Ufficiale – non è da intendersi esaustivo: ben potranno (e dovranno) essere effettuate le DPIA, oltre che in presenza di almeno uno dei 9 casi elencati nelle sopra citate dal WP29 nelle citate Linee guida, ogni qualvolta il Titolare lo ritenga doveroso.

 

Link correlati:

https://www.delucapartners.it/news/2018/il-comitato-europeo-per-la-protezione-dei-dati-dialoga-con-il-garante-privacy-italiano-in-tema-di-dpia/

https://www.delucapartners.it/news/2018/dal-25-maggio-e-diventato-pienamente-operativo-il-regolamento-europeo-in-materia-di-protezione-dei-dati-personali/