Privacy: ultime novità
di Rossella SchiavoneSi analizzano il registro dei trattamenti del titolare e del responsabile del trattamento, anche alla luce dei recenti chiarimenti forniti del Garante per la protezione dei dati personali, le informazioni sulla trattazione degli affari pregressi e la definizione agevolata delle contestazioni pendenti.
Il registro dei trattamenti
Ai sensi dell’articolo 30, Regolamento UE 2016/679, i titolari del trattamento e i responsabili esterni del trattamento devono tenere in forma scritta, anche in formato elettronico, sotto la propria responsabilità, un registro delle attività di trattamento svolte.
Il registro del titolare del trattamento deve contenere le seguenti informazioni:
- il nome e i dati di contatto del titolare del trattamento e, se esistente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del DPO;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di Paesi terzi e organizzazioni internazionali;
- eventualmente, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
Il registro del responsabile del trattamento deve, invece, contenere:
- il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, eventualmente, del DPO;
- le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
- eventualmente, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
Da notare che il contenuto del registro stabilito dal Regolamento UE 2016/679 rappresenta il contenuto minimo per cui il titolare/responsabile può riportare nel registro qualsiasi altra informazione che ritenga utile indicare.
L’articolo 30, paragrafo 5, GDPR, stabilisce che l’obbligo della tenuta del registro dei trattamenti non si applica alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10, Regolamento.
Fin da subito diversi commentatori hanno sostenuto, sulla scorta del citato paragrafo 5, che il registro dei trattamenti non fosse, quindi, obbligatorio per le aziende con meno di 250 dipendenti.
In realtà, analizzando attentamente le deroghe, si desume che anche per le aziende con meno di 250 dipendenti sussiste sempre l’obbligo di tenuta del registro in questione. Infatti, anche un’azienda o un professionista con un solo dipendente tratta dati non occasionalmente, comprese alcune categorie particolari di dati di cui all’articolo 9, paragrafo 1, in quanto mensilmente elabora il cedolino paga e sul LUL registra i dati relativi all’appartenenza sindacale (trattenute sindacali) e i dati relativi alla salute della persona (ad esempio le malattie o i permessi per assistere i portatori di handicap grave, etc.).
A tal proposito il Working Party Article 29 (ora Comitato europeo per la protezione dei dati), nel suo parere del 19 aprile 2018, ha specificato che è sufficiente che occorra anche una sola delle condizioni dell’articolo 30, GDPR, per far scattare l’obbligo di tenuto del registro, per cui basta che i dati personali vengano trattati in modo non occasionale.
Sono, quindi, veramente residuali i casi di esenzione dalla tenuta del registro del trattamento dei dati.
La conformità al GDPR
La tenuta del registro dei trattamenti serve a dimostrare la conformità dei trattamenti ai principi del GDPR, per cui costituisce una prova a favore del titolare o del responsabile della correttezza degli adempimenti svolti.
A tal proposito, si evidenzia che il considerando n. 82 del Regolamento UE 2016/679 prevede che il titolare del trattamento, o il responsabile del trattamento, dovrebbe tenere un registro delle attività di trattamento effettuate sotto la propria responsabilità per dimostrare la sua conformità al Regolamento UE 2016/679.
D’altra parte, il paragrafo 4 dell’articolo 30, GDPR, prevede che il registro, su richiesta, vada messo a disposizione dell’Autorità di controllo e, quindi, in Italia, del nostro Garante per la protezione dei dati personali.
Alla luce di quanto sopra si ritiene sia necessario che:
- il registro sia costantemente aggiornato, in quanto il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere;
- qualsiasi variazione, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, vada immediatamente inserita nel registro, dando conto delle modifiche sopravvenute;
- sul registro sia riportata la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) e quella dell’ultimo aggiornamento.
Il registro sostituisce la notifica al Garante?
Dallo scorso 25 maggio 2018, data di entrata in vigore del Regolamento UE 2016/679, l’intervento del Garante per la protezione dei dati personali è diventato soprattutto di tipo ex post, nel senso che è, eventualmente, successivo alle determinazioni assunte autonomamente dal titolare in virtù del principio dell’accountability (responsabilizzazione).
Come lo stesso Garante ha spiegato, l’intervento ex post comporta l’abolizione di alcuni istituti prima previsti dal nostro Codice privacy e, nello specifico:
- la notifica preventiva dei trattamenti all’autorità di controllo;
- il prior checking ovvero la verifica preliminare ex articolo 17, Codice privacy, ora abrogato.
I suddetti istituti – come si legge nella “Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali”, presente sul sito del Garante privacy – sono adesso sostituiti dagli obblighi di tenuta del registro dei trattamenti da parte del titolare/responsabile e di effettuazione di valutazioni di impatto in piena autonomia, con eventuale successiva consultazione dell’Autorità, tranne alcune specifiche situazioni di trattamento (si veda articolo 36, paragrafo 5, Regolamento UE 2016/679).
Si è passati, quindi, da un adempimento al Garante di tipo preventivo (la notificazione) a un atto interno all’organizzazione, che descrive i trattamenti effettuati e le scelte compiute dal titolare e dal responsabile sui trattamenti stessi.
Chi deve redigere il registro?
In data 8 ottobre 2018 il Garante privacy ha fornito apposite istruzioni sul registro dei trattamenti, specificando, tra le altre cose, che:
- è un documento contenente le principali informazioni (specificatamente individuate dall’articolo 30, Regolamento UE 2016/679) relative alle operazioni di trattamento svolte da un’impresa, un’associazione, un esercizio commerciale, un libero professionista;
- l’obbligo di redigere il registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e, dunque, preliminare rispetto a tale attività.
In tale occasione sul sito del Garante sono state pubblicate una serie di Faq e 2 fac-simile di registri semplificati per le PMI.
Interessante è, soprattutto, la Faq n. 2, relativa ai soggetti tenuti a redigere il registro, in cui viene specificato che rientrano nella categoria delle “organizzazioni” di cui all’articolo 30, paragrafo 5, anche le associazioni, fondazioni e i comitati e che sono tenuti all’obbligo di redazione, ad esempio:
- esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, etc.) e/o che trattino dati sanitari dei clienti (ad esempio parrucchieri, estetisti, ottici, odontotecnici, tatuatori, etc.);
- liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (ad esempio commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
- associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili”, quali ad esempio malati, persone con disabilità, ex detenuti, etc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso, etc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
- il condominio, ove tratti “categorie particolari di dati” (ad esempio delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
In tale occasione è stato anche evidenziato che le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento individuate (ad esempio, ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento).
Infine, facendo riferimento al già citato considerando n. 82, il Garante ha raccomandato la redazione del registro a tutti i titolari e responsabili del trattamento, anche al di fuori dei casi di tenuta obbligatoria,
“in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”.
Contenuto del registro
Sempre nelle citate Faq è stato chiarito, con riferimento ai contenuti del registro dei trattamenti, che:
- nel campo “finalità del trattamento”, oltre all’indicazione delle stesse, distinta per tipologie di trattamento (ad esempio trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica delle stesse e, con particolare riferimento al “legittimo interesse”, sarebbe opportuno riportare la descrizione del legittimo interesse concretamente perseguito, le “garanzie adeguate” eventualmente approntate, nonché, ove effettuata, la preventiva valutazione d’impatto posta in essere dal titolare. Inoltre, in caso di trattamenti di “categorie particolari di dati”, sarebbe consigliabile indicare una delle condizioni di cui all’articolo 9, paragrafo 2, GDPR, e, in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o UE) che ne autorizza il trattamento ai sensi dell’articolo 10, GDPR;
- nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” vanno specificate sia le tipologie di interessati (ad esempio, clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (ad esempio, dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, etc.);
- nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (ad esempio, Enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Inoltre, è opportuno che siano indicati anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento – siano trasmessi i dati da parte del titolare (ad esempio soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento);
- nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti nonché all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del Capo V, GDPR (ad esempio, decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, etc.);
- nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad esempio, “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione, ex art. 2220 del codice civile”). Qualora non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (ad esempio, norme di legge, prassi settoriali) indicativi degli stessi (ad esempio, “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”);
- nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’articolo 32, GDPR, tenendo presente che l’elenco ivi riportato costituisce una lista aperta, non esaustiva, e avente carattere dinamico. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (ad esempio, procedure organizzative interne; security policy, etc.).
Infine, i responsabili esterni del trattamento, qualora agiscano in qualità di responsabili del trattamento per conto di più clienti quali autonomi e distinti titolari, dovranno riportare nel registro di loro competenza le informazioni richieste dal GDPR con riferimento a ciascuno dei suddetti titolari.
In pratica il responsabile dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce, anche se, in caso di un elevato numero di titolari per cui operino, il registro del responsabile potrebbe riportare il rinvio a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi e tutte le altre indicazioni richieste dall’articolo 30, paragrafo, Regolamento.
Con riferimento, invece, alla “descrizione delle categorie di trattamenti effettuati” si può fare riferimento a quanto contenuto nel contratto di designazione a responsabile esterno.
Analogamente, in caso di sub-responsabile, il registro delle attività di trattamento svolte da quest’ultimo potrà far riferimento ai contenuti del contratto stipulato tra lo stesso e il responsabile.
La trattazione di affari pregressi
Sempre in tema di novità, si rappresenta che, sulla G.U. n. 231/2018, è stato pubblicato l’avviso del Garante relativo ai reclami, alle segnalazioni e alle richieste di verifica preliminare, il quale prevede che, ai sensi dell’articolo 19, D.Lgs. 101/2018, entro 60 giorni dalla pubblicazione – e quindi entro il 3 dicembre 2018 – i soggetti che dichiarino il loro attuale interesse possono presentare al Garante per la protezione dei dati personali motivata richiesta di trattazione dei reclami, delle segnalazioni e delle richieste di verifica preliminare pervenuti entro il 24 maggio 2018.
La richiesta in questione non può riguardare i reclami e le segnalazioni di cui sia stato già esaurito l’esame o di cui il Garante per la protezione dei dati personali abbia già esaminato nel corso del 2018 un motivato sollecito o una richiesta di trattazione o per i quali il Garante stesso sia a conoscenza, anche a seguito di propria denuncia, che sui fatti oggetto di istanza è in corso un procedimento penale.
Ad ogni modo si intendono già esaminati dal Garante i reclami e le segnalazioni per i quali l’istante abbia ricevuto dal Garante la comunicazione di avvio del procedimento, anche mediante una richiesta di informazioni o di esibizione di documenti a terze parti ovvero all’istante stesso.
Quindi, le istanze riguardanti la trattazione di affari pregressi aventi ad oggetto reclami, segnalazioni e richieste di verifica preliminare, deve intendersi riferita unicamente agli istituti disciplinati dal Codice privacy antecedentemente alle modifiche allo stesso apportate in conseguenza dell’applicazione del Regolamento UE 2016/679.
La definizione agevolata delle contestazioni pendenti
In data 1° ottobre 2018 il Garante per la protezione dei dati personali ha fornito alcune indicazioni operative su come usufruire della definizione agevolata dei procedimenti sanzionatori pendenti, prevista dal D.Lgs. 101/2018.
In pratica, dal 19 settembre 2018, data di entrata in vigore della norma che ha adeguato il nostro Codice privacy al GDPR, chi intende avvalersi di questa facoltà potrà oblare le sanzioni mediante il pagamento in misura ridotta di una somma pari ai 2/5 del minimo edittale stabilito per la sanzione. Il pagamento dovrà essere effettuato entro il 18 dicembre 2018.
Potranno usufruire della speciale procedura coloro che hanno ricevuto, entro il 25 maggio 2018, data di piena applicazione del Regolamento, l’atto con il quale sono stati notificati gli estremi della violazione o l’atto di contestazione.
L’importo da pagare per la definizione agevolata del procedimento sanzionatorio dipende dalla tipologia di violazione.
A tal fine è stata predisposta la seguente tabella, riportante per ciascuna violazione l’importo da versare:
Violazione Codice privacy | Importo da versare |
Articolo 161 | € 2.400 |
Articolo 162, comma 1, articolo 162, comma 2-bis, per le violazioni di cui all’articolo 167
Articolo 162, comma 2-bis, per le violazioni di cui all’articolo 33 Articolo 162, comma 2-quater Articolo 162-bis e articolo 162-ter, comma 1 Articolo 164 |
€ 4.00 |
Articolo 162, comma 2 | € 400 |
Articolo 162, comma 2-ter | € 12.000 |
Articolo 162-ter, comma 2 | € 60 per ciascun contraente |
Articolo 162-ter, comma 4
Articolo 163 |
€ 8.000 |
Articolo 164-bis, comma 2 | € 10.000 |
Articolo 164-bis, comma 2 | € 20.000 |
Il pagamento può essere effettuato tramite bollettino postale intestato a “Tesoreria Provinciale dello Stato di ROMA”, il cui numero di conto corrente è 871012; oppure con versamento tramite istituti bancari, uffici postali, etc., utilizzando il codice IBAN IT 31I0100003245348010237300 e indicando la causale “Definizione agevolata sanzioni del __(data contestazione)___ – capo X capitolo 2373 – Contravventore: _____________”, unitamente al numero della contestazione, laddove presente.
Si segnala che l’articolo è tratto da “La circolare di lavoro e previdenza“.
Centro Studi Lavoro e Previdenza – Euroconference ti consiglia: