Che il registro dei trattamenti sia un documento fondamentale per la gestione degli adempimenti del GDPR è stato detto, ma in che modo contribuisce in concreto alla capacità dell’organizzazione di rispettare il GDPR e dimostrare gli adempimenti svolti come accountability vuole?
L’art. 30 GDPR indica infatti gli elementi essenziali del Registro, ma a seconda dell’organizzazione indicare elementi ulteriori consente un migliore controllo di gestione.
Un paio di esempi validi per ogni tipo di registro:
#1 L’inserimento delle informazioni richieste dagli artt. 13 e 14 GDPR, fra cui le basi giuridiche e condizioni per il trattamento di dati di categorie particolari, consente un migliore controllo della liceità dei trattamenti e dei diritti da dover garantire agli interessati.
#2 Chiarire i ruoli soggettivi assunti dai destinatari dei dati consente di distinguere quali fra questi hanno il ruolo di responsabili e quali invece sono terze parti, potendo così verificare la presenza delle condizioni indicate dall’art. 28 GDPR e le relative responsabilità.
Registro dei trattamenti: per asset o per interessati?
Nel momento in cui si va a redigere il registro dell’organizzazione, previa mappatura dei dati e dei processi, è possibile scegliere se impostarlo per asset o altrimenti per interessati. Sebbene l’approccio risk-based indicato dal GDPR possa suggerire questa seconda via, considerato il ruolo centrale degli interessati, non è detto che sia l’unica percorribile né la migliore.
A seconda della data maturity dell’organizzazione e della presenza di ulteriori sistemi di gestione, ragionare sugli asset può contribuire ad una migliore integrazione fra modelli organizzativi in grado di “parlarsi”. Insomma: in questo modo si può favorire un ragionamento che segue la direzione di sinergia promossa dalla HLS – High Level Structure delle norme ISO anziché affrontare gli adempimenti del GDPR in modo compartimentato. Con tutte le conseguenze del caso sui costi di organizzazione, gestione e controllo.
Quale che sia la modalità prescelta, anche potendo (o dovendo) fare ricorso a soluzioni tecnologiche di tipo SaaS per la condivisione delle informazioni e per tenere conto del versioning con gli aggiornamenti le modifiche, è fondamentale avere contezza delle funzioni che svolge tale documento. E poiché di documento si tratta, non si può prescindere dai parametri formali (come ad esempio per il documento informatico) richiesti sia per formazione e validità che in ambito probatorio.
Il Registro come strumento di audit
L’azione di controllo degli adempimenti richiesta dal GDPR e che può essere svolta anche dall’azione di sorveglianza del DPO (ove questi sia presente) deve necessariamente fare riferimento al registro dei trattamenti. Più precisamente, assumendo come criteri di audit non solamente il rispetto della normativa in materia di protezione dei dati personali ma anche tutti quegli adempimenti e le misure indicate all’interno.
