Al fine di dimostrare la propria conformità al GDPR, i titolari del trattamento devono tenere un registro delle attività di trattamento effettuate sotto la propria responsabilità. Il registro è finalizzato a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio. È importante non considerare il registro dei trattamenti come una mera formalità perché è uno strumento essenziale al fine di aderire al principio fondamentale che sostiene l’intero impianto del GDPR: il principio di accountability.
Sebbene vi sia stata un po’ di confusione rispetto ai soggetti effettivamente obbligati alla tenuta del registro dei trattamenti – a causa della non chiara formulazione del paragrafo 5 dell’art. 30 del GDPR, che dispone che la tenuta non è obbligatoria per le imprese e le organizzazioni con meno di 250 dipendenti, a meno che (i) il trattamento possa presentare un rischio per i diritti e le libertà degli interessati, (ii) il trattamento non sia occasionale o (iii) includa il trattamento di dati particolari o di dati personali relativi a condanne penale e a reati – è ormai chiara la portata di questo adempimento: è obbligatorio per qualsiasi titolare che effettui un trattamento di dati personali in modo non occasionale, indipendentemente dal numero di dipendenti.
Al fine di agevolare i titolari di strutture alberghiere, così come già fatto nell’approfondimento relativo all’informativa privacy (link: https://eikoslegal.com/2019/09/11/il-trattamento-dei-dati-personali-nel-settore-alberghiero-linformativa-privacy/), riteniamo utile analizzare punto per punto, seppur brevemente, i contenuti obbligatori del registro dei trattamenti (art. 30 del GDPR):
- Identità e dati di contatto del titolare e – ove applicabile – del responsabile del trattamento, del contitolare del trattamento, del rappresentante del titolare e del DPO – Bisogna semplicemente inserire la denominazione e/o ragione sociale ed i dati di contatto (l’indirizzo e-mail, il numero di telefono, ecc.) dei soggetti menzionati. Non è necessario specificare nome e cognome di questi soggetti.
- Finalità del trattamento – In questa sezione bisogna inserire le motivazioni per le quali sono trattati i dati degli ospiti e degli altri soggetti coinvolti nel trattamento, come, ad esempio, i lavoratori dipendenti. La finalità va indicata per ciascun trattamento (ad esempio, trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro). Nonostante non sia espressamente previsto dal GDPR, il Garante ritiene che debba essere inserita, per ogni trattamento, anche la base giuridica legittimante.
- Una descrizione delle categorie di interessati e delle categorie di dati personali – Devono essere specificate sia le tipologie di interessati (ospiti, dipendenti, fornitori, ecc.) sia le categorie di dati personali oggetto di trattamento (dati anagrafici, dati sanitari, ecc.).
- Le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali – Devono essere riportati, anche solo per categorie (quindi non necessariamente con un’indicazione specifica), gli altri titolari ai quali sono comunicati i dati (ad es., gli enti previdenziali a cui vengono comunicati i dati dei dipendenti per l’assolvimento degli oneri contributivi), gli eventuali responsabili del trattamento (ad es., la società che ospita il booking engine che gestisce le prenotazioni o l’eventuale soggetto a cui sia demandato il compito di elaborare le buste paga dei dipendenti, ecc.). Questa sezione è particolarmente importante, perché, se ben fatta, permette al titolare di avere la consapevolezza di (ed il controllo su) quali sono i soggetti che entrano in contatto con i dati personali coinvolti nella sua struttura.
- I trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale – Questa sezione deve essere compilata solo nel caso in cui il titolare proceda all’effettivo trasferimento di dati personali verso un paese extra UE o un’organizzazione internazionale. Se così fosse, sarà necessario specificare i suddetti trasferimenti unitamente all’indicazione relativa al Paese terzo verso cui i dati sono trasferiti ed alla documentazione delle adeguate “garanzie” richieste dal GDPR. Il tema del trasferimento di dati personali è particolarmente complesso, quindi nel caso in cui il titolare dovesse ritenere a sé applicabile la disposizione in commento, dovrebbe affidarsi ad un valido consulente privacy al fine di assicurarsi di rientrare nei parametri previsti dalla legge.
- I termini ultimi previsti per la cancellazione delle diverse categorie di dati – I dati personali possono essere conservati solo per il tempo strettamente necessario al perseguimento della finalità per la quale sono stati comunicati. Chiaramente, a diversi trattamenti corrispondono diversi tempi di trattamento e conservazione, i quali dovranno essere specificati nel registro mediante l’indicazione di un arco temporale il più possibile concreto, evitando l’utilizzo di formule astratte quali “I dati personali dell’ospite per la finalità X saranno conservati per il tempo necessario”. Solo ove non sia possibile stabilire un periodo massimo, si potrà ricorrere a criteri generali, quali “norme di legge”, “prassi” e “prescrizione del diritto”.
- Ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate dal titolare –L’art. 32 del GDPR elenca alcune tra le principali misure tecniche e organizzative adottabili dai titolari al fine di garantire un livello di sicurezza adeguato al rischio (pseudonimizzazione, cifratura dei dati personali, capacità di ripristino tempestivo, procedure per testare la sicurezza dei sistemi, ecc.). Ogni titolare deve analizzare individualmente la propria struttura al fine di individuare le misure più adeguate (le quali ben possono esorbitare da quelle previste dall’art. 32) per eliminare o ridurre i rischi a cui sono esposti i dati personali da lui trattati. Una volta individuate le misure di sicurezza (che è un passaggio logicamente successivo all’individuazione dei rischi), queste dovranno essere inserite nel registro dei trattamenti, anche mediante una descrizione generale e sintetica. È consigliabile essere sintetici in questa fase e preferire un rinvio, nello stesso registro, a dei documenti appositamente predisposti e contenenti le procedure organizzative interne per il contrasto ad uno specifico rischio.
Quanto detto sinora costituisce il contenuto minimo del registro dei trattamenti, ma nulla impedisce al singolo titolare di aggiungervi tutto ciò che ritiene utile al fine di fornire la migliore descrizione del proprio impianto privacy (come ad es. le modalità di raccolta del consenso, l’indicazione di eventuali incaricati interni individuati con riferimento ad alcune specifiche tipologie di trattamento, le eventuali valutazioni di impatto effettuate, ecc.). Al di là di valutazioni personali, è consigliabile inserire la base giuridica dei trattamenti, la valutazione del rischio e le azioni di mitigazione dello stesso, nonché la verifica preliminare di impatto.
Una volta predisposto il registro, bisogna mantenerlo costantemente aggiornato, in quanto deve sempre corrispondere all’effettività dei trattamenti posti in essere dal titolare. Ogni eventuale cambiamento rispetto alle modalità del trattamento o alle sue finalità, alle categorie di dati o di interessati ecc., deve essere immediatamente inserito nel registro, assicurandosi che siano sempre dimostrabili le modifiche intervenute.
Che sia redatto in formato elettronico o cartaceo, il registro deve sempre recare la data della sua prima creazione e quella dell’ultimo aggiornamento. Un modo facile ed immediato per certificare la data di creazione/modifica del registro consiste nel firmare digitalmente il documento, così da poter creare uno storico che ricomprenda l’originale e tutte le successive versioni.
Secondo il Garante, è importante non commettere l’errore di considerare il registro dei trattamenti come una mera formalità, in quanto è uno strumento essenziale al fine di aderire al principio fondamentale che sostiene l’intero impianto del GDPR: il principio di accountability. Il registro è finalizzato a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio. Si consideri, inoltre, che è uno tra i primissimi documenti che sarete richiesti di esibire alla Guardia di Finanza in caso di ispezione.