La news del 19 aprile scorso ha trattato il tema del Registro delle attività di trattamento.

Ad integrazione della predetta trattazione dell’argomento, la presente new illustra come i Registri che il Comune e le Pubbliche Amministrazioni, in genere, sono tenuti a redigere e a mantenere costantemente aggiornati in forma scritta, anche elettronica, sono:

- il Registro del Titolare cioè Registro delle attività di trattamento ;

- il Registro del Responsabile, cioè Registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare.

In tal senso, depone anche l’art. 30 del Regolamento europeo, intitolato (al plurale): “Registri delle attività di trattamento”.

Fermo restando che i Registri sono due, va dato atto che il Comune, come qualsiasi altra Pubblica Amministrazione, può trattare i dati personali sia come Titolare del trattamento, sia come Contitolare sia, infine, come Responsabile del trattamento.

In tale ultimo caso è tenuto a redigere e a mantenere costantemente aggiornato anche il Registro del Responsabile (Registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare), oltre al Registro del Titolare.

Un esempio, che può immediatamente chiarire questo “duplice ruolo” del Comune, nell’esercizio delle proprie funzioni istituzionali, è costituito dal trattamento dei dati personali per il censimento.

A tale fine, possono essere prese in considerazione le funzioni istituzionali dell'Ufficio ANAGRAFE, di seguito elencate:

a) la funzione istituzionale dei SERVIZI GENERALI e la funzione dei SERVIZI PUBBLICI GENERALI n.a.c.. Entrambe sono collegate al PROGRAMMA DI BILANCIO “ Elezioni e consultazioni popolari - Anagrafe e stato civile” ( CODICE MISSIONE 01 - CODICE PROGRAMMA 07 - GRUPPO COFOG 01.03 e 01.06).

La descrizione del PROGRAMMA “ Elezioni e consultazioni popolari - Anagrafe e stato civile” fa riferimento anche alle “spese per la tenuta e l'aggiornamento dei registri della popolazione residente e dell'A.I.R.E. (Anagrafe Italiani Residenti all'Estero), il rilascio di certificati anagrafici e carte d'identità, l'effettuazione di tutti gli atti previsti dall'ordinamento anagrafico, quali l'archivio delle schede anagrafiche individuali, di famiglia, di convivenza, certificati storici; le spese per la registrazione degli eventi di nascita, matrimonio,....”

b) la funzione istituzionale dei SERVIZI GENERALI e il PROGRAMMA DI BILANCIO “ Statistica e sistemi informativi” ( CODICE MISSIONE 01 - CODICE PROGRAMMA 08 - GRUPPO COFOG 01.03).

La descrizione del PROGRAMMA “ Statistica e sistemi informativi” comprende anche “ le spese per i censimenti (censimento della popolazione, censimento dell'agricoltura, censimento dell'industria e dei servizi)”.

Ebbene, con riferimento alla tenuta dell’Anagrafe, il Comune e, per esso, il dirigente responsabile dell’ Ufficio Comunali di censimento, tratta i dati in qualità di Titolare autonomo (per quanto concerne la sola fase della raccolta) mentre:

- per quanto concerne il censimento, il Comune tratta i dati in qualità di Responsabile del trattamento ai sensi dell’art. 28 GDPR.

Titolare del trattamento dei dati del censimento è l'Istituto nazionale di statistica (ISTAT), ente pubblico di ricerca, fondato nel 1926 che, dal 1989, svolge un ruolo di coordinamento all’interno del Sistema statistico nazionale (Sistan) essendo, contestualmente, impegnato anche sul versante dello sviluppo Sistema statistico europeo e del rafforzamento della rete di partenariato con gli altri organismi statistici internazionali.

In particolare, per il censimento sono le fonti normative sovranazionali e le fonti nazionali a disciplinare la rilevazione censuaria, inserendo la stessa tra le rilevazioni statistiche di interesse pubblico, di competenza dell’ISTAT.

In occasione del Censimento, l’ISTAT che, per il trattamento dei dati personali riveste, ai sensi dell’art. 24 del Regolamento (UE) n. 679/2016, il ruolo di il titolare:

-attribuisce, per le fasi della rilevazione censuaria di propria competenza, specifici compiti e funzioni connessi al trattamento dei dati personali al Direttore centrale per le Statistiche demografiche e del censimento della popolazione e al Direttore Centrale per la Raccolta dati;

-designa come Responsabili del trattamento (art. 28 GDPR) “i responsabili degli Uffici Provinciali e Comunali di Censimento e il referente della Società incaricata della gestione del numero verde…”.

Ne consegue che:

-il trattamento dei dati relativi ai Censimento va inserito nel “Registro del Responsabile” che il Comune ha l’obbligo di tenere e di esibire al Garante in caso di ispezione.

Questo trattamento non può essere, per contro, inserito nel “Registro del Titolare”, essendo diversi contenuti dei due Registri, in ragione della diversità dei ruoli rivestiti dal Comune:

-ruolo di Titolare, a cui corrisponde il Registro delle attività di trattamento;

-ruolo di Responsabile, a cui corrisponde il Registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare

Al riguardo, va ricordato che, nel Registro del Titolare, le principali informazioni che devono essere inserite, relativamente alle operazioni di trattamento svolte dal Comune sono:

a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

Nel Registro del Responsabile, le principali informazioni che devono essere inserite sono:

a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.

Fermo restando che, con riferimento al trattamento di dati personali, le informazioni raccolte in occasione del Censimento sono sottoposte alla normativa del GDPR e del Codice interno, anche per quanto concerne i due Registri sopra indicati, va altresì aggiunto che le informazioni del censimento sono tutelate anche:

-dal segreto d’ufficio (art. 8 d.lgs. n. 322/1989) e dal segreto statistico (art. 9 d.lgs. n. 322/1989).

Tanto premesso, il panorama normativo, in precedenza descritto, va rigorosamente attuato specie per quanto concerne il Registro del Responsabile, tenuto conto delle possibili ispezioni e verifiche del Garante anche in relazione alla circostanza che:

-il prossimo 2 ottobre 2023 prenderà il via una nuova edizione del Censimento permanente della popolazione e delle abitazioni che coinvolgerà 2.531 Comuni e circa 1 milione 46 mila famiglie. La data di riferimento per le risposte ai quesiti inseriti nel questionario del Censimento sarà il 1° ottobre 2023 e i primi risultati saranno diffusi a dicembre 2024.

Si raccomanda, conseguentemente, all’ente, al fine di dimostrare la propria responsabilizzazione (accountability), di procedere:

-ad aggiornare e fornire data certa anche il Registro del Responsabile, quale strumento idoneo, al pari del Registro del Titolare, a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione.

Tenuto conto dell’importanza dei Registri, si riportano di seguito, per completezza di informazione, anche alcune delle Faq pubblicate dal Garante e relative a questo adempimento.

FAQ GARANTE

Che cos'è il registro delle attività di trattamento?

L’art. 30 del Regolamento (EU) n. 679/2016 (di seguito “RGPD”) prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento. E’ un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento (sul registro del responsabile, vedi, in particolare, il punto 6). Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Quali informazioni deve contenere?

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del RGPD) e in quello del responsabile (art. 30, par. 2 del RGPD). Con riferimento ai contenuti si rappresenta quanto segue:

(a) nel campo “finalità del trattamento” oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso (v. art. 6 del RGPD; in merito, con particolare riferimento al “legittimo interesse”, si rappresenta che il registro potrebbe riportare la descrizione del legittimo interesse concretamente perseguito, le “garanzie adeguate” eventualmente approntate, nonché, ove effettuata, la preventiva valutazione d’impatto posta in essere dal titolare (v. provv. del Garante del 22 febbraio 2018 – [doc web n. 8080493]). Sempre con riferimento alla base giuridica, sarebbe parimenti opportuno: in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art. 9, par. 2del RGPD; in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art. 10 del RGPD;

(b) nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati (es. clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es. dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.);

(c) nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es. enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Inoltre, si ritiene opportuno che siano indicati anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento– siano trasmessi i dati da parte del titolare (es. soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento). Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali;

(d) nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.);

(e) nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es. “in caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v. art. 2220 del codice civile”). Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”);

(f) nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Tale lista ha di per sé un carattere dinamico (e non più statico come è stato per l’Allegato B del d. lgs. 196/2003) dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).

Può contenere informazioni ulteriori?

Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

Quali sono le modalità di conservazione e di aggiornamento?

Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

Il Registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:

“- scheda creata in data XY”

“- ultimo aggiornamento avvenuto in data XY”

Registro del Responsabile

Il responsabile del trattamento tiene un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare” (art. 30, par. 2 del RGPD).
In merito alle modalità di compilazione dello stesso si rappresenta quanto segue:

a) nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti titolari (es. società di software house), le informazioni di cui all’art. 30, par. 2 del RGPD dovranno essere riportate nel registro con riferimento a ciascuno dei suddetti titolari. In questi casi il responsabile dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce; ove, a causa dell’ingente numero di titolari per cui si operi, l’attività di puntuale indicazione e di continuo aggiornamento dei nominativi degli stessi nonché di correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile potrebbe riportare il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2 del RGPD;

b) con riferimento alla “descrizione delle categorie di trattamenti effettuati” (art. 30, par. 2, lett. b) del RGPD) è possibile far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28 del RGPD, deve individuare, in particolare, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati oggetto del trattamento, nonché la durata di quest’ultimo;

c) in caso di sub-responsabile, parimenti, il registro delle attività di trattamento svolte da quest’ultimo potrà specificatamente far riferimento ai contenuti del contratto stipulato tra lo stesso e il responsabile ai sensi dell’art. 28, paragrafi 2 e 4 del RGPD.