Dopo aver concluso la fase della raccolta dei dati, mediante la sottoscrizione dell’adeguata informativa (ne parlavamo qui https://inno3.it/2018/02/05/road-to-gdpr/), in base all’art. 30 del GDPR: “Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”. La compilazione del registro dei trattamenti è obbligatoria solo per le imprese od organizzazioni con più di 250 dipendenti, a meno che – si rammenta a norma del par. 5 del comma 30: “…il trattamento che esse effettuano possa rappresentare un rischio per i diritti e le libertà dell’interessato”.
Proprio quest’ultima disposizione dovrebbe preoccupare gli addetti ai lavori.
Con il presente contributo vorrei dunque fornire ai lettori un modello di registro dei trattamenti (consultabile al link https://www.cnil.fr/sites/default/…/registre-reglement-publie.xlsx ) perché l’esperienza m’insegna che calare un concetto astratto in un caso pratico è il modo migliore per conoscere le conseguenze di ogni fenomeno.
La tabella è stata redatta dal CNIL, o Commission nationale de l’informatique et des libertés, un’autorità amministrativa indipendente francese incaricata di assicurare l’applicazione della legge sulla tutela dei dati personali. In realtà lo strumento proposto dal CNIL risulta – forse – un po’ troppo semplificato, ma ritengo che possa essere utilizzato dalle PMI italiane per dimostrare il principio di accountability (ne parlavamo qui https://inno3.it/2017/12/17/gdpr-pillole-di-diritto/).
In particolare si ritiene opportuno precisare che la corretta redazione di questo documento è uno degli adempimenti più importanti per dimostrare l’adeguamento al GDPR. Basti pensare al par. 4 dell’art. 30, sulla base del quale: “su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo”.
Navigando in rete è possibile da diversi anni scaricare gratuitamente modelli e/o software che promettono l’ambìto traguardo di: “compliance al GDPR”, va tuttavia precisato che la vera difficoltà sta nella catalogazione dei vari dati trattati dal soggetto. Cerco di spiegarmi meglio. Il D.lgs. 196/2013 (ndr. il vecchio Codice Privacy italiano) forniva agli operatori una distinzione netta tra i dati comuni e i dati sensibili mediante una definizione di questi ultimi (art. 4 lett. d):
“dati sensibili: i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.
Oggi, in un contesto caratterizzato dall’aggregazione di una moltitudine di dati (cd. Big Data), il confine tra dati comuni e dati sensibili è radicalmente mutato. Ad esempio: il dato relativo alla geolocalizzazione di una persona è un dato sensibile o un dato comune?
La risposta corretta è: dipende. Poniamo ad esempio (vd. ordinanza n. 226 del 18 maggio 2016, consultabile al link http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5217175) che tale dato venga raccolto “tramite l’installazione di una specifica applicazione sugli smartphone aziendali forniti in dotazione ai dipendenti che svolgono l’attività lavorativa all’esterno delle sedi aziendali”. In questo caso un’azienda con meno di 250 dipendenti dovrebbe tenere il registro dei trattamenti? Rimandando agli adeguati approfondimenti ad altra sede ritengo – con ragionevole certezza – che la risposta del Garante sia affermativa.
In conclusione, il mio suggerimento è di trattare tutti i dati come se fossero sensibili a meno di un esplicito consenso dell’avente diritto in quanto – in caso contrario – la distinzione dato comune / dato sensibile potrebbe rivelarsi un’operazione complicata ed eccessivamente onerosa.
Leggi tutti gli articoli della rubrica Road to GDPR
© RIPRODUZIONE RISERVATA
