Il Registro dei trattamenti può essere un ottimo biglietto da visita per le aziende!

Nel corso dell’anno 2020, un’Associazione aveva sviluppato un applicativo per agevolare il contatto tra il paziente e il personale medico, così da facilitare l’accessibilità ai servizi sanitari durante la pandemia da Covid-19. Nell’ambito del procedimento avviato a carico dell’Associazione, l’Autorità Garante ha rilevato diverse violazioni  (Ordinanza ingiunzione  doc. web. 9831081) delle disposizioni in materia di protezione dei dati personali, tra cui anche quelle relative al registro dei trattamenti (art. 30 GDPR).

Vediamo allora come deve essere compilato un registro dei trattamenti e come dev’essere tenuto.

Il registro dei trattamenti dev’essere redatto in forma scritta, anche elettronica, deve essere esibito su richiesta al Garante e presenta alcuni contenuti minimi previsti dall’art. 30, par. 1 del GDPR, ossia:

1. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
2. le finalità del trattamento;
3. una descrizione delle categorie di interessati e delle categorie di dati personali;
4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
5. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, ove applicabile, la documentazione delle garanzie adeguate;
6. i termini ultimi di cancellazione dei dati;
7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

Diverso, invece, il contenuto minimo del registro dei trattamenti che deve essere implementato dal responsabile del trattamento.

I contenuti minimi possono sicuramente essere ampliati a seconda delle esigenze di ciascun titolare che vi può ad esempio indicare le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento, la lista dei soggetti autorizzati etc.

Nel caso di specie, il registro dell’Associazione è risultato carente di talune delle informazioni minime che esso deve obbligatoriamente contenere, per cui tale elemento ha fondato parte della sanzione comminata.

Il Registro dei trattamenti è quindi un documento di censimento, di analisi dei trattamenti effettuati dal titolare o responsabile e, in quanto tale, deve essere mantenuto costantemente aggiornato perché il suo contenuto deve rispecchiare ciò che l’organizzazione effettivamente svolge. Di conseguenza, esso andrà aggiornato quando si verificano modifiche sostanziali ai trattamenti di dati già in essere oppure quando vengono avviati trattamenti del tutto nuovi.

Nel caso esaminato dall’Autorità, invece, l’Associazione risultava aver compilato il registro solo successivamente all’avvio del trattamento e proprio questa tardività è stata a fondamento della contestazione di mancato rispetto del principio di accountability che permea l’intero assetto normativo in materia di protezione dei dati. 

Nel caso di specie, inoltre, neppure sussisteva la deroga alla tenuta del registro prevista all’art. 30 del GDPR che non opera in presenza anche di uno solo degli elementi ivi indicati, ossia in caso di trattamento che presenta un rischio per i diritti e le libertà per l’interessato, trattamento non occasionale, trattamento che includa categorie particolari di dati di cui all’art. 9 o dati relativi a condanne penali e a reati. Requisiti che, nel caso di specie, sussistevano senza dubbio.

Conclusioni

A parere di chi scrive, il registro dei trattamenti è molto utile non solo perché descrive le attività di trattamento svolte dall’organizzazione, ma anche perché consente di operare un controllo e una verifica immediata dei trattamenti di dati svolti. Inoltre, se compilato bene, può divenire un utile strumento di governance aziendale e facilita la comunicazione con l’autorità Garante che ne faccia richiesta. Il suo aggiornamento e la sua corretta tenuta, poi, consentono di dimostrare che la gestione della protezione dei dati è efficacemente integrata con i processi di gestione dell’organizzazione: per dirla con parole povere, è un ottimo biglietto da visita per superare con successo un’eventuale ispezione o richiesta di informazioni dell’autorità e un buon punto di partenza per la corretta implementazione del sistema di gestione dei dati!

Rubrica "Privacy in Sanità: imparare dalle sanzioni"

Leggi gli altri articoli e accedi agli ulteriori contenuti presenti nella nostra rubrica dedicata.

VAI ALLA RUBRICA