CORSO DI FORMAZIONE PRIVACY
La Disciplina del Regolamento UE n. 2016/679
MODULO 2
SOMMARIO
GLI ADEMPIMENTI PRINCIPALI PREVISTI DALLA NORMATIVA
1.1. IL REGISTRO TRATTAMENTO DATI
IL CONTENUTO
LE FINALITÀ DEL TRATTAMENTO
LE BASI GIURIDICHE
ANALISI DEL RISCHIO
LE MISURE DI SICUREZZA
GLI ADEMPIMENTI PRINCIPALI
1.1 IL REGISTRO TRATTAMENTO DATI
Il Registro del trattamento dati è un documento che contiene le informazioni relative al trattamento dei dati dell’azienda o dell’attività.
L’art. 30 del Regolamento (EU) n. 679/2016 (GDPR) elenca in maniera chiara gli adempimenti del Titolare del Trattamento e del Responsabile volti alla tenuta del Registro.
All’interno devono essere indicate le operazioni di trattamento svolte, le finalità, la tipologia di dati trattati, i ruoli privacy (incaricati interni, responsabili esterni, contitolari, titolari autonomi) con le loro specifiche aree di competenza.
Il Registro Trattamento Dati è uno strumento adatto a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione aziendale, proprio per questo motivo costituisce uno dei principali elementi di accountability del titolare.
Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Chi è tenuto a redigere il registro?
Tutti i Titolari del Trattamento e Responsabili Esterni del Trattamento (v. art. 30, par. 1 e 2 del RGPD) individuabili in tal senso:
– Imprese o organizzazioni con almeno 250 dipendenti;
– Qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
– Qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
– Qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.
La categoria delle “organizzazioni” (art. 30 par 5) comprende anche le associazioni, le fondazioni ed i comitati.
Facciamo alcuni esempi pratici, in base alla normativa è tenuto all’obbligo di redigere il Registro:
– esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
– liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
– associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
– il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
Il Garante Privacy italiano raccomanda la redazione del Registro Trattamento Dati, anche nei pochi casi in cui non è previsto in maniera obbligatoria, a tutti i titolari e responsabili esterni del trattamento.
Come abbiamo visto e vedremo in maniera più dettagliata questo è: uno strumento che:
– uno degli strumenti principali di accountability;
– fornisce informazioni chiare, precise sulla tipologia dei trattamenti svolti e sulle modalità del trattamento;
– individua i Ruoli Privacy all’interno dell’azienda;
– piena contezza del tipo di trattamenti svolti;
– agevola l’eventuale attività di controllo del Garante.
Quanto appena detto trova riscontro nel Considerando 82 del GDPR;
“Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità.
Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti.”
Link utili: Documento interpretativo del 19/04/2018 del Gruppo ex art. 29 (Ora Comitato europeo per la protezione dei dati).
IL CONTENUTO
L’art. 30 del GDPR individua in maniera dettagliata le informazioni che il Registro del Titolare (par.1) ed il Registro del Responsabile (par.2) devono contenere.
“1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
2. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.”
In questo prezioso articolo troviamo quindi l’elencazione dei suoi elementi fondamentali:
1. finalità del trattamento. Ogni trattamento inteso come “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” (Art. 4 GDPR) va individuato ed esplicitato all’interno del registro.
I trattamenti vanno suddivisi in base alla tipologia, ad esempio vi è differenza tra il trattamento di dati dei dipendenti per la gestione del rapporto di lavoro e il trattamento dei dati dei clienti per l’invio di newsletter promozionali.
– individuazione dei diversi trattamenti;
– base giuridica posta alla base del trattamento ex art. 6 RGDP;
– indicazione dei dati oggetto di trattamento con maggiore attenzione ai casi in cui oggetto del trattamento sono “Dati Particolari” per i quali è necessario indicare se ricorrono una delle condizioni di cui all’art. 9, par. 2 del RGPD; in caso di trattamenti di dati relativi a
– condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del RGPD;
(b) nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);
(c) nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Inoltre, si ritiene opportuno che siano indicati anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento– siano trasmessi i dati da parte del titolare (es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento). Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali;
(d) nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.);
(e) nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”);
(f) nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Tale lista ha di per sé un carattere dinamico (e non più statico come è stato per l’Allegato B del d. lgs. 196/2003) dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).
LE BASI GIURIDICHE
I fondamenti di liceità del trattamento indicati all’art. 6 del GDPR sono:
– consenso – deve essere libero, specifico, informato ed inequivocabile. In relazione ai dati sensibili ed al trattamento di dati automatizzato deve essere esplicito. Non è imposta dalla legge la forma scritta, ma il titolare deve essere sempre in grado di dimostrare che l’interessato ha prestato il consenso per un determinato trattamento. Non è in nessun caso ammesso il consenso tacito o presunto.
– adempimento di obblighi contrattuali – il trattamento di dati è lecito se rientra nelle condizioni necessarie all’esecuzione di un contratto di cui l’interessato è parte, o per adempimenti precontrattuali svolti a vantaggio dell’interessato. In tale ambito il trattamento di dati deve essere necessario strettamente all’esecuzione del contratto, tale per cui senza il trattamento di dati personali non sarebbe possibile adempiere al contratto stesso.
– interessi vitali dell’interessato o di terzi – il trattamento è lecito se nei confronti dell’interessato o di terzi è utile a salvaguardare interessi vitali. Questo può accadere ad esempio quando una persona non è in grado temporaneamente di esprimere un valido consenso e qualcuno nel suo esclusivo interesse e per tutelare beni attinenti alla sua vita utilizza suoi dati personali. Si applica tale base giuridica se non è possibile applicarne nessun’altra in modo inequivocabile. Non è necessaria l’espressione del consenso, ma è sempre prevista la consegna dell’informativa nella quale riportare la condizione di liceità del trattamento.
– obblighi derivanti dalla legge cui è soggetto il titolare del trattamento – ricorre in capo al titolare del trattamento, non ai soggetti – —interessati, nel caso in cui l’obbligo sia imposto da una legge nazionale o di uno Stato membro dell’UE. L’obbligo di trattamento dei dati imposto deve essere imperativo ed inequivocabile ed inoltre deve definire le finalità del trattamento. Quando l’obbligo di trattamento dati deriva dalla normativa non è necessario il consenso, ma è necessario fornire comunque l’informativa al trattamento nella quale è da riportare la normativa di riferimento che funge da base giuridica del trattamento.
– interesse pubblico o esercizio di pubblici poteri – interessa principalmente il trattamento dei dati svolto dalle pubbliche autorità nell’esercizio delle loro funzioni che riguardino un interesse pubblico oppure per lo svolgimento di pubblici poteri dei quali è investito il titolare del trattamento in relazione ad una normativa statale o comunitaria. L’interesse pubblico rilevante può venire in rilievo nelle ipotesi di accesso a documentazione amministrativa, tenuta di registri immobiliari e mobiliari, per attività di controllo ed ispettive.
interesse legittimo del titolare del trattamento o di terzi i cui dati vengono comunicati – ricorre la liceità del trattamento solo se l’interesse legittimo tutelato non si scontra con l’esercizio di diritti, interessi e libertà fondamentali invocati dall’interessato.
La base giuridica del trattamento deve essere inserita nell’informativa rilasciata all’interessato.
LE MISURE DI SICUREZZA
L’art. 32 del GDPR prevede che il titolare ed il responsabile del trattamento pongano in essere misure adeguate al fine di ricondurre il trattamento dei dati alla conformità al principi di liceità, così da garantire un livello di sicurezza commisurato al rischio concreto. In particolare, il titolare ed il responsabile del trattamento hanno il compito di istruire adeguatamente chi tratta dati sotto la loro autorità e, quindi, in conformità a quanto programmato in relazione alle attività di trattamento dei dati. L’articolo citato riporta, al comma 1, una lista non esaustiva, ma solo esemplificativa, di quelle che possono essere le misure di sicurezza da mettere in atto:
– pseudonimizzazione e cifratura dei dati personali;
– capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
– capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
– una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Non è possibile delineare un livello minimo di sicurezza da adottare, poiché il titolare ed il responsabile del trattamento avranno il compito di valutare caso per caso i rischi concreti che si possono verificare nel trattamento dei dati, in relazione alla possibilità di perdita, distruzione e illecita diffusione degli stessi. L’adeguamento ai codici di condotta previsti dal Regolamento all’art. 40 o alle certificazioni previste dall’art. 42 GDPR possono fungere da mero indice di valutazione ai criteri di cui all’art. 32, comma 1, del GDPR, unitamente alla concreta verifica dei risultati positivi conseguiti negli anni.
Per alcune tipologie di trattamenti, quelli previsti dall’art. 6, par. 1, lettere c) ed e), ossia quando il trattamento è posto in essere per assolvere ad un obbligo legale verso il quale il titolare è tenuto, oppure per porre in essere adempimenti connessi a poteri pubblici o per l’esecuzione di compiti di interesse pubblico ai quali il titolare è obbligato, si adottano misure di sicurezza previste dalle disposizioni di legge applicabili al caso concreto.