***
L’art. 30 del Regolamento (EU) n. 679/2016 (di seguito “GDPR”) stabilisce il principio generale per cui tutti i titolari e i responsabili del trattamento sono tenuti a redigere (ciascuno) il (proprio) registro delle attività di trattamento (par. 1 e 2); in particolare:
- ogni titolare deve tenere un registro delle attività di trattamento svolte sotto la propria responsabilità;
- il responsabile deve tenere un registro che riguardi tutte le categorie di attività relative al trattamento svolte per conto di un titolare.
Tuttavia, nell’ottica di semplificare gli adempimenti per le c.d. imprese micro, piccole e medie (cfr. art. 2 dell’Allegato alla Raccomandazione 2003/361/CE: “1. La categoria delle microimprese delle piccole imprese e delle medie imprese (PMI) è costituita da imprese che occupano meno di 250 persone, il cui fatturato annuo non supera i 50 milioni di EUR oppure il cui totale di bilancio annuo non supera i 43 milioni di EUR.”, esplicitamente richiamato dal Cons. 13),
sono esentate da tale obbligo le imprese o le organizzazioni che contano (appunto) meno di 250 dipendenti, salva la ricorrenza anche di una sola delle seguenti circostanze (art. 30 par. 5 GDPR):
- che il trattamento effettuato possa presentare un rischio (di qualsiasi livello: la norma non chiede un rischio elevato) per i diritti e le libertà degli interessati;
- che il trattamento non sia occasionale (WP 29 – Position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR – 19.4.2018, nota 1: “The WP29 considers that a processing activity can only be considered as “occasional” if it is not carried out regularly, and occurs outside the regular course of business or activity of the controller or processor. (…)”);
- che il trattamento includa dati appartenenti alle particolari categorie previste dagli articoli 9 e 10 GDPR).
L’introduzione di queste tre “contro-esimenti” delimita, circostanziandola, l’applicazione della semplificazione: è infatti evidente che qualsivoglia titolare, a prescindere dalla dimensione o dalla soglia di fatturato della relativa attività, si trova a svolgere trattamenti non occasionali, così come ogni titolare che impiega lavoratori dipendenti tratta i relativi dati particolari.
In pratica dunque anche i titolari con meno di 250 dipendenti (dunque, le PMI, comprese le “microimprese”: cfr. art. 2 co. 3 dell’Allegato alla Raccomandazione 2003/361/CE: “Nella categoria delle PMI si definisce microimpresa un'impresa che occupa meno di 10 persone e realizza un fatturato annuo oppure un totale di bilancio annuo non superiori a 2 milioni di EUR.”) sono di fatto tenuti a tenere un registro, seppure limitato a quei trattamenti che non ricadono nei casi di deroga.
Le considerazioni che precedono potrebbero indurre a considerare la semplificazione come inefficace a raggiungere lo scopo che si prefigge. In realtà, è sufficiente inquadrare correttamente quale sia tale scopo per comprendere che non è così.
Come detto, il principio generale obbliga qualsiasi titolare alla tenuta del registro. Sorge quindi spontaneo chiedersi: qual è il motivo di tale dovere? A cosa serve il registro?
L’efficace applicazione della normativa in parola richiede un approccio concreto, che non lascia spazio a interpretazioni superficiali e formalistiche. In tale prospettiva, il registro delle attività di trattamento non viene ridotto a “vuoto” adempimento normativo, rappresentando invece l’estrinsecazione dell’approccio sostanziale ed effettivo che il titolare deve assumere al fine di garantire la corretta tutela e gestione dei dati personali che tratta, pochi o tanti che siano nel caso specifico.
In altre parole, la tenuta del registro costituisce uno strumento fondamentale affinché il titolare del trattamento abbia una visione d’insieme completa e aggiornata della propria realtà di trattamento e di conseguenza una misura preziosa per monitorare e presidiare nel continuo (e documentare) l’efficacia della propria data governance e dunque il proprio livello di compliance.
Solo disponendo di una “fotografia” dinamica dei trattamenti effettuati, con (perlomeno) le informazioni previste dall’art. 30, sarà ad esempio possibile compilare correttamente le informative oppure reagire prontamente a disfunzioni e data breach o semplicemente rispondere in modo efficace alle richieste degli interessati; un siffatto registro costituirà inoltre l’imprescindibile base di ogni attività di valutazione o analisi del rischio.
In coerenza con questa visione, il considerando (82) prevede espressamente che:
“Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti.”
Emerge, quindi, la duplice finalità del registro, che rappresenta contestualmente lo strumento (in continuo divenire) a fondamento della data governance del titolare e di cooperazione e dialogo con il Garante.
Se quello appena descritto è lo scopo dell’obbligo di tenuta del registro, qualsiasi semplificazione non potrà mai arrivare al punto di escluderlo in toto sulla base di mere caratteristiche soggettive del titolare o della relativa organizzazione aziendale.
Di conseguenza, l’intento perseguito dal legislatore con il comma 5 dell’art. 30 GDPR non è stato di escludere dall’obbligo le PMI in quanto tali, ma quello di tracciare una netta linea di demarcazione tra realtà di trattamento presumibilmente assai complesse (perché a supporto di organizzazioni sopra la soglia dei duecentocinquanta dipendenti) – la cui efficace data governance richiede a priori di tracciare tutti i trattamenti effettuati – e realtà più snelle, per le quali è sufficiente “fotografare” ad hoc solo i trattamenti più delicati (che comportano rischio, che coinvolgono speciali categorie di dati) o continuativi, sgravandole perciò di un onere generalizzato in tale senso.
Va in ogni caso sottolineato che, a prescindere dalla valutazione della relativa obbligatorietà, resta più che raccomandabile per qualsiasi realtà di trattamento la predisposizione del registro che, per assolvere alle proprie funzioni, dovrebbe rappresentarla fedelmente, e dunque:
- essere redatto da soggetti che hanno un’effettiva conoscenza dei trattamenti in corso, della tipologia di dati trattati, etc.;
- essere costantemente aggiornato;
- trovare riscontro nei documenti aziendali (organigramma, elenchi dei fornitori, elenchi dei servizi erogati, documentazione sulle misure di sicurezza…);
- basarsi su uno schema che garantisca una granularità delle informazioni proporzionale alla tipologia e “complessità” dell’organizzazione e della struttura aziendale (prendendo in considerazione tutte le unità organizzative e operative presenti).