Tra i più importanti adempimenti del Regolamento UE 679/2016 vi è il Registro delle attività di trattamento, un documento fondamentale di conformità, indispensabile per ciascuna organizzazione al fine di mappare e mantenere controllati i processi di trattamento in essere. La sua importanza è espressa innanzitutto dal principio di accountability, che si traduce in competenza, consapevolezza, e capacità di dimostrare l’adeguatezza della propria attività. Come tutti gli aspetti fondamentali del Regolamento, tale principio promuove la sostanza, lasciando ampia libertà sulla forma con cui esprimere i propri adempimenti. Analogamente, pur essendo chiari e definiti i contenuti da riportare all’interno del Registro (ex Art. 30 GDPR), non vi è indicazione univoca su come deve essere redatto e organizzato.
Ad oggi, diverse Autorità nazionali sono già venute in contro a questa esigenza pubblicando ciascuna i propri modelli: l’Autorità bavarese, ad esempio, ha fornito un elenco di moduli precompilati [https://www.lda.bayern.de/de/muster.html] diretti specificamente a studi medici, strutture ricettive, rivenditori, artigiani, officine automobilistiche, negozi online, club, e società di gestione immobiliare). Allo stesso modo, le Autorità della Polonia [https://www.uodo.gov.pl/pl/126/214] e della Repubblica slovacca[https://dataprotection.gov.sk/uoou/sk/content/vzor-zaznamov-o-spracovatelskych-cinnostiach] hanno emesso ciascuna i propri modelli in formato Excel, e stesso discorso per il Liechtenstein [https://www.datenschutzstelle.li/services-und-downloads/muster-und-checklisten], salvo il fatto che la sua traccia è redatta su documento di testo. Un prodotto diverso è stato invece proposto dall’Autorità lussemburghese [https://cst.cnpd.lu/portal/], la quale ha creato un vero e proprio tool interattivo di supporto all’elaborazione del registro.
I modelli che hanno riscontrato una maggiore diffusione, comunque, sono quelli proposti dalle Autorità francese e belga. Esaminiamoli più in dettaglio, insieme a quelli del GPDP, che ci interessa più da vicino.
Modelli del Garante italiano
Il Garante per la Protezione dei Dati Personali, insieme alle FAQ [https://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento] sul Registro dell’8 ottobre 2018 ha reso disponibili due fogli di calcolo dedicati alle Piccole Medie Imprese, uno pensato per la descrizione delle attività svolte in qualità di Titolare del trattamento, l’altro delle attività svolte in qualità di Responsabile del trattamento.
In entrambi i casi, i modelli prediligono la semplicità e sono costituiti da una tabella inserita in una singola scheda. Oltre ad alcune informazioni preliminari sull’organizzazione e sul Responsabile della Protezione dei Dati, è possibile elencare nelle righe le varie attività di trattamento dati e ordinare per colonne le informazioni strettamente richieste dall’Art. 30 del Regolamento.
L’impostazione di questi modelli è essenziale e minimalistica, con il pregio di facilitare i lavori per tutte le organizzazioni che presentano un basso grado di complessità. D’altra parte, per la maggior parte delle realtà si riscontrerà la necessità di aggiungere maggiori specifiche e alcuni ulteriori dettagli (a partire dalla data di aggiornamento, la cui necessità è ribadita anche nelle FAQ del Garante stesso).
Modello del Garante francese
Nettamente più articolato è invece il modello di registro semplificato [https://www.cnil.fr/fr/la-cnil-publie-un-nouveau-modele-de-registre-simplifie] diffuso dalla Commission Nationale de l’Informatique et des Libertés. Anche in questo caso gestito attraverso un foglio di calcolo, il Registro è però composto da diverse schede e presenta:
1. un breve tutorial sulla composizione del documento
2. una pagina dove elencare tutte le attività svolte dalla propria organizzazione, ideata per presentare un’anteprima di insieme dei trattamenti
3. a seguire, diverse schede, ciascuna relativa a uno specifico trattamento e basata su un layout che va duplicato e completato tante volte quante sono le attività elencate nell’anteprima
La scelta di impostare le informazioni su diverse schede riepilogate nell’anteprima, permette di ottenere un discreto equilibro tra completezza e accessibilità alle informazioni di rilievo, come l’evidenza data al trattamento di dati particolari fin dal riepilogo. È comunque probabile che la moltiplicazione di schede possa risultare meno efficace per mantenere il controllo di tutti i dettagli a cui non sia dato lo stesso rilievo (come la base giuridica dei trattamenti). Risultano invece utili, soprattutto per i non addetti ai lavori, le definizioni dei concetti chiave, riportate in nota e sempre a disposizione.
Modello del Garante belga
Infine, il modello emesso dalla Autorité de Protection des Données [https://www.autoriteprotectiondonnees.be/canevas-de-registre-des-activites-de-traitement], sempre in forma di foglio di calcolo, si presenta organizzato su cinque schede e presenta:
1. una pagina di identificazione del Titolare del trattamento e del Responsabile della Protezione dei Dati
2. un’unica scheda di Registro vero e proprio, che, in maniera simile ai modelli italiani, è ideata per riportare sulle righe le diverse attività di trattamento, e sulle colonne le caratteristiche di ciascun trattamento
3. una pagina contenente delle liste di supporto alla compilazione
4. una breve guida alla compilazione
5. l’indicazione delle informazioni da recuperare nel Registro per redigere un’informativa sul trattamento
Concentrandosi sulla scheda di Registro, si nota immediatamente che, a differenza dei modelli italiani, è presente un’elevatissima quantità di elementi (suddivisi in ben 43 colonne!) che permettono di aggiungere tutti i contenuti ritenuti importanti. Non vi sono quindi dubbi sulla possibilità di ottenere un documento di gestione completo, a patto di non perdersi nell’abbondanza di dettagli.
L’aspetto che più colpisce di questo modello, comunque, è probabilmente caratterizzato dalle liste di supporto, che contengono esempi e spiegazioni utili sui concetti di finalità, base giuridica, categorie di dati, tipologie di trattamento, natura dei trasferimenti verso paesi terzi. Da prendere in considerazione indipendentemente dalla scelta di utilizzare questo modello.
Conclusioni
Mettendo a confronto i tre modelli, risulta evidente come forma e sostanza inevitabilmente si intreccino, e come la struttura e le caratteristiche del Registro possano influire sull’attività di raccolta delle informazioni, di aggiornamento dei contenuti e di monitoraggio generale dei processi, fine ultimo di questo documento. I modelli, ovviamente, sono pensati sempre come spunto e per essere adattati, con la consapevolezza che ciascuna organizzazione deve attivarsi per trovare la soluzione di gestione più adatta alla propria realtà.
Di seguito una schematizzazione delle caratteristiche dei modelli delle Autorità di Italia, Francia e Belgio: