Tra le varie novità introdotte dal nuovo Regolamento europeo in materia di protezione dei dati personali (Regolamento UE 2016/679 c.d. General Data Protection Regulation o più conosciuto come GDPR dall’acronimo inglese) vi è senza dubbio il Registro delle attività di Trattamento previsto dall’art. 30.
Il Registro delle attività di Trattamento non deve essere considerato come un mero adempimento burocratico; anzi, la sua redazione potrebbe avere anche scopi ulteriori in tema di informazione, consapevolezza e condivisioneinterna delle problematiche della privacy e costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche dati: quindi deve essere considerato come strumento indispensabile per ogni valutazione e analisi del rischio (ulteriori adempimenti previsti dal GDPR in ottica di responsabilità o accountability).
È una vera novità?
In realtà, nonostante l’importanza dello strumento, non si deve prendere paura: lo stesso Garante ha posto l’attenzione sulla sostanziale coincidenza fra i contenuti che devono costituire il registro delle attività di trattamento ex art. 30 del GDPR e quelli della notifica dei trattamenti di cui all’art. 38 comma 2 del previgente D.Lgs. n. 196/03 (per il trattamento di dati biometrici e dati idonei a rivelare lo stato di salute).
Chi è obbligato alla tenuta del registro delle attività di trattamento
Ma prima ancora di vedere come funzioni tale registro, dovremmo capire chi sia obbligato alla sua tenuta.
L’art. 30 distingue tra organismi con almeno 250 dipendenti ed organismi sotto tale soglia.
Per gli organismi con almeno 250 dipendenti, il trattamento di dati personali – a prescindere da altri parametri – comporta di per sé l’obbligo automatico di tenuta del registro: ma basta stare attenti a non assumere troppo personale?
Sotto tale soglia (molto più realistica per uno studio notarile) non vi è obbligo di tenuta del registro se:
– il trattamento di dati personali è occasionale e non include categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10,
sempre a meno che il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato.
Quindi, se da un lato è (probabilmente) impensabile uno studio notarile con almeno 250 dipendenti, si deve però tener conto di alcune considerazioni.
Nell’ambito della privacy come regolata dal GDPR, l’oggetto della protezione è rimasto immutato: qualsiasi informazione riguardante una persona fisica identificata o identificabile, che sia oggetto di trattamento.
Cosa significa? Che si invade il campo della privacy ogni qualvolta si compia una qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione di dati personali o insiemi di dati personali, cioè “informazioni che identificano o rendono identificabile una persona fisica (vivente) e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc…” e particolarmente i dati identificativi, cioè quelli che permettono l’identificazione diretta (PII acronimo di Personally identifiable information) che, secondo la definizione utilizzata dall’Istituto nazionale degli standard e della tecnologia (NIST) sono: nome e cognome</b>; indirizzo di casa</b>; indirizzo email</b>; numero identificativo nazionale</b>; numero di passaporto; indirizzo IP (quando collegato ad altri dati); numero di targa del veicolo</b>; numero di patente</b>; volto, impronte digitali o calligrafia</b>; numeri di carta di credito; identità digitale; data di nascita</b>; luogo di nascita</b>; informazioni genetiche; numero di telefono e account name o nickname.
E i notai trattano una mole enorme (non occasionale) di dati personali da inserire in atti, repertori, banche dati, archivi ed adempimenti vari e questo a prescindere dagli strumenti tecnologici usati: se da un lato il GDPR cerca di adeguarsi alle nuove frontiere tecnologiche, lo stesso precisa (15° considerando) che “al fine di evitare l’insorgere di gravi rischi di elusione, la protezione delle persone fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate” …
La tutela quindi prescinde dalle tecniche utilizzate (e quindi anche dalla tecnologia delle stesse)!
Poi non si possono poi dimenticare i rilevantissimi dati sensibili, cioè categorie particolari di dati che possono rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale: basti pensare al caso delle menzioni in atto della l.n. per il caso di menomazioni fisiche di un comparente o di atto nell’interesse di un interdetto o un beneficiario di amministrazione di sostegno; i dati giudiziari, che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato, ed in ultimo i dati biometrici (per l’utilizzo di iStrumentum, espressamente richiamati dall’art. 9, paragrafo 1 del GDPR, cioè i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali anche l’immagine facciale o i dati dattiloscopici).
Come funziona il registro delle attività di trattamento
In realtà non esiste un modello specifico da seguire: il GDPR si limita a dettare i contenuti minimi che devono essere indicati all’interno del registro e non determina (se non molto sommariamente, al pari delle istruzioni dettate dal Garante) le modalità della sua tenuta, in quanto la sua compilazione può essere fatta con vari strumenti; dovrà però essere tenuto in forma scritta, su supporto tangibile oppure, e preferibilmente, in formato elettronico: quindi dal semplice foglio di carta ad un foglio di calcolo, fino ad un vero e proprio database.
Ne consegue che ove il proprio studio notarile sia poco strutturato, ruotando principalmente sulla persona del notaio stesso e magari anche un solo collaboratore, può essere sufficiente la tenuta del registro con modalità cartacee, magari limitandosi a stampare in “orizzontale” su uno o più fogli A4 la tabella seguente (aprire l’immagine in un’altra scheda per ingrandire, ndr).
Questo modello ovviamente è stato predisposto tenendo conto delle peculiarità dell’attività notarile, ma anche dell’aspetto dimensionale di uno studio “medio” notarile, non molto lontano da quello tipico delle PMI; il giorno 8 ottobre 2018, lo stesso Garante ne ha pubblicato uno non dissimile, mirato proprio a soddisfare le esigenze delle PMI (https://www.garanteprivacy.it/regolamentoue/registro).
Invece, lo studio notarile più strutturato, magari organizzato in forma associata e/o più livelli e/o studi allocati sul territorio, probabilmente dovrebbe rivolgersi ad uno specifico programma di una software house, anche se nulla vieta – come per gli studi con livelli di organizzazione meno elevati – di utilizzare un foglio di calcolo.
È quindi importante capire sin da subito che il registro delle attività di trattamento non è un documento che una volta redatto può rimanere fermo e immutabile per sempre, dev’essere inteso come un vero e proprio strumento di lavoro, e come tale deve essere modificato e deve essere mantenuto aggiornato, e sempre attuale.
Nell’affrontare questo tema però è doveroso utilizzare una corretta terminologia: si parla infatti di attività di trattamento e non di trattamenti, in quanto questi ultimi sono ben definiti dall’articolo 4 del GDPR: è importante infatti distinguere sempre il concetto di trattamento da quello di attività di trattamento, per mantenere una coerenza con la normativa.
Quindi, il registro deve essere tenuto non tanto avendo a mente il trattamento dei dati effettuato, bensì il processo che riguarda tale trattamento e le sue finalità: il trattamento dei dati di un cliente per l’emissione della fattura fiscale è ben diverso da quello per l’annotazione a repertorio, la prima soggetta – ad esempio – a conservazione a termine e l’altra praticamente perpetua, mentre tale conservazione potrebbe essere molto breve in caso di incarico professionale non confermato!
Quali sono i trattamenti dei quali si deve riportare il processo nel registro?
Quali sono i trattamenti dei quali si deve riportare il processo nel registro?
Di certo la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione e la distruzione di dati personali, come sopra elencati, anche se non registrati in una banca di dati o in un archivio (anche se la precisazione è in realtà presente solo all’art. 4 del vigente Codice Privacy): l’elenco non è però esaustivo, ma riguarda qualsiasi operazione di utilizzo sia a carattere interno (quali ad es. organizzazione in un data base, conservazione in un archivio esterno o cloud, raffronto dei dati), sia verso l’esterno (quali ad es. interconnessione, comunicazione e diffusione, anche a mezzo dei canali telematici)!
E’ importante ricordare che per archivi non si devono intendere solo quelli presenti sul sistema informativo centrale (es. server, hard disk esterno o cloud), ma anche quelli presenti sul personal computer dei singoli utenti. Al riguardo la presenza di policy che vietano l’archiviazione in locale dei dati non esime il “titolare del trattamento” dalla responsabilità derivante dalla loro presenza e dal loro uso.
L’art. 30 prevede però due diverse tipologie di registro di attività di trattamento, la prima tenuta dal titolare del trattamento o dal suo rappresentante, la seconda dal responsabile del trattamento o dal suo rappresentante.
Difatti bisogna ricordare che il primo comma dell’art. 30 si riferisce agli obblighi del “titolare del trattamento”, in questo caso la persona fisica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, mentre il secondo comma si riferisce agli obblighi del (o dei) “responsabile del trattamento”, cioè della persona fisica che tratta dati personali per conto del titolare del trattamento.
Ai commi 1 (per il titolare) e 2 (per il responsabile) l’art. 30 fornisce precise indicazioni sui contenuti minimi obbligatori che il registro deve indicare, contenuti – che per comodità di comparazione – si riportano nella seguente tabella:
Perché è importante distinguere le varie figure?
Perché il titolare ed il responsabile hanno ovviamente obblighi diversi e quindi bisogna vedere nell’ambito dello studio notarile chi rivesta tale figura.
Di certo il notaio è il “titolare del trattamento”, cioè “la persona fisica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.
Per i collaboratori del notaio, attualmente il Codice Privacy prevede la figura dell’“incaricato del trattamento”</b>; il regolamento non la elenca espressamente tra le varie figure, ma non ne esclude la presenza in quanto fa comunque riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile” (si veda, in particolare, l’art. 4, n. 10, del GDPR).
Data la centralità della funzione del notaio, difficilmente si dovrebbero configurare dei collaboratori di uno studio notarile come “responsabili del trattamento” secondo la definizione del GDPR.
Ma attenzione, “responsabili del trattamento” potrebbero essere il fornitore del servizio di hosting, sul quale è alloggiato l’eventuale sito web e su cui transitano le e-mail e con l’eventuale consulente o software house che si occupa di aggiornare o manutenere il software gestionale dello studio (magari concesso in licenza) e con tutti gli altri eventuali soggetti cui si trasferiscono dati di clienti o collaboratori fuori dallo studio (si pensi allo studio che non gestisca direttamente la propria contabilità, ma si che si avvale delle strutture di terzi, quali quelle del proprio commercialista o chi si appoggia a servizi di outsourcing nel settore delle visure ipo-catastali o per specifici adempimenti)!
In ogni caso i collaboratori che non saranno configurabili come “responsabili del trattamento” dovranno essere designati “incaricati del trattamento” o comunque autorizzati a gestire i dati (e quei soli dati, utilizzando ad esempio il sistema dei “permessi”) limitatamente a ciò che ad essi compete e dovranno essere loro impartite, inoltre, istruzioni operative o linee guida su come gestire i dati di terzi e proteggerli.
Tutto questo perché, ovviamente, la responsabilità delle varie figure presenti in uno studio notarile varia a seconda del proprio ruolo.
Difatti, dal confronto dei dati della tabella, si evidenzia chiaramente che la descrizione delle finalità e l’indicazione dei termini di cancellazione sono previsti nel solo registro del “titolare del trattamento”, in quanto scelte che spettano a quest’ultimo e non ad altri.
Si ritiene invece che l’obbligo in capo al responsabile di descrivere le categorie dei trattamenti effettuati per conto del titolare renda pressoché necessaria una descrizione degli interessati e delle categorie di dati coinvolti nonché dei destinatari a cui i dati saranno comunicati; ne consegue che la differenziazione delle due tipologie di registro, del titolare e del responsabile, su questi punti è meno netta.
Entrambi i registri prevedono come obbligatoria “la descrizione generale delle misure di sicurezza tecniche ed organizzative di cui all’art. 32.1”.
Come detto sopra, definire a priori quali mansioni configurino la figura di “responsabili del trattamento” o di “incaricati del trattamento” non sempre è facile, però si deve tener conto che solo i “responsabili del trattamento” sono obbligati alla tenuta del proprio registro; nulla vieta, però, di avvalersi di un “Responsabile della protezione dei dati” o “Data Protection Officer” (anche esterno): difatti, il Gruppo di lavoro WP29, nelle linee guida sul DPO (Data Protection Officer o Responsabile della protezione dei dati), ha chiarito che questi, ove presente, possa tenere in concreto il registro delle attività di trattamento sotto la responsabilità del titolare e del responsabile del trattamento.
Modalità di aggiornamento del registro
Ma se viene introdotto un nuovo adempimento fiscale/notarile o si cambia un processo di trattamento (ad esempio, si passi dal cartaceo al telematico), si deve anche aggiornare il Registro?
Certamente, si deve ritenere che ad ogni nuova attività di trattamento corrisponda un obbligo di modifica del Registro da parte del Titolare ovvero del Responsabile del trattamento, ciascuno nei campi di rispettiva competenza, ma, in attesa di un intervento chiarificatore del Garante, si deve rilevare l’assenza di un termine temporale entro il quale aggiornarlo; è comunque opportuno agire nel minor tempo possibile, affinchè sia aggiornato in caso di messa a disposizione dell’autorità di controllo.
Il registro negli studi associati: chi lo deve tenere?
Inoltre, se più professionisti operano all’interno del medesimo studio, si dovrà verificare se alla propria compagine organizzativa si applichi l’art. 26 del GDPR (“Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento”) e quindi se i professionisti operino in qualità di contitolari del trattamento: in tal caso determinano di comune accordo modalità e finalità del trattamento dei dati e si dovrà sottoscrivere un accordo interno in cui i professionisti disciplinano le proprie responsabilità e obblighi in materia di dati personali e ciascuno dovrà tenere il proprio Registro (indicando appunto il contitolare).
Registro o registri?
Da ultimo è opportuno considerare che troppo spesso un’organizzazione approccia i propri adempimenti con la sola ottica del Titolare di trattamento, dimenticando che a volte può ricoprire contemporaneamente anche ruoli diversi, in particolare quello di Responsabile di trattamento.
E’ ad esempio piuttosto comune che una banca sia designata responsabile di trattamento da parte degli enti per i quali svolge attività di tesoreria.
Tale fattispecie potrà ampliarsi notevolmente con il GDPR che appare più prescrittivo circa i casi nei quali la designazione di tale soggetto si renda necessaria.
Tale eventualità porta un’organizzazione non solo a dovere redigere il registro delle attività di trattamento che svolge in qualità di Titolare, ma anche i registri di quelle svolte in qualità di Responsabile.
Questo potrebbe porsi anche in uno studio notarile.
Potrebbe ad esempio porsi il problema del notaio che allo svolgimento della propria attività professionale “tipica”, affianchi anche quella dei protesti e/o delle esecuzioni immobiliari, spesso – in tal caso – esercitate a mezzo di associazioni professionali ad hoc: di conseguenza, i processi di trattamento non solo possono essere radicalmente diversi rispetto a quelli ordinari del proprio studio notarile, ma addirittura svolti da incaricati distinti.
Ovviamente questo non è il solo impatto della contemporanea pluralità di ruoli svolti in generale da un professionista (tale aspetto impatta notevolmente ad esempio anche sulla redazione di contratti con outsourcer che al tempo stesso possono apparire come fornitori o subfornitori).