MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

Guida alla compilazione del registro dei trattamenti per gli Enti locali a prova di sanzione
DPO in pillole/ Data protection e cybersecurity: il primo appuntamento con la nuova rubrica dell’avv. Luisa Di Giacomo

di LUISA DI GIACOMO*

Iniziamo questo nuovo anno all’insegna della consulenza per gli Enti Locali, con una nuova rubrica che si pone come obiettivo quello di aiutare in maniera pratica e concreta gli Enti locali ed i loro Data Protection Officer (DPO) nello svolgimento del loro difficile e delicato compito.
Che sia un DPO esterno oppure che sia un dipendente dell’Ente che ha “preso la pagliuzza più corta” e quindi si deve fare carico di questa responsabilità, il ruolo del DPO nell’Ente Locale è sempre più cruciale, almeno per due ottimi motivi: il primo è che gli attacchi informatici alle Pubbliche Amministrazioni in generale si stanno moltiplicando, e dunque è necessario proteggersi in maniera sempre più adeguata. Il secondo è che il Garante per la Protezione dei Dati Personali sta comminando sanzioni sempre più frequenti e salate ai Comuni non in regola, e di conseguenza ai loro amministratori (per il principio del danno erariale stabilito dalla Corte dei conti, secondo cui i risarcimenti per danni pagati dal Comune per violazione delle norme sul GDPR si riverberano direttamente in capo agli amministratori comunali).

Questa rubrica ha lo scopo di fornire una vera e propria consulenza ai DPO degli Enti, per ognuno degli adempimenti di accountability che essi dovranno attuare.
Cominciamo partendo dal re di tutti i documenti di accountability, ossia dal Registro delle Attività di trattamento: che cos’è, come si compila e che cosa deve contenere per gli Enti locali questo fondamentale documento? In caso di ispezione sarà la prima richiesta che verrà posta agli amministratori, quella di vedere il Registro: sapere dove si trova (cioè dove è fisicamente salvato), come si compone e che cosa contiene e come viene tenuto aggiornato costituisce un buon viatico per una ispezione che procederà senza intoppi.

Che cos’è il Registro delle attività di trattamento e che cosa contiene

Si tratta di un documento previsto dall’art. 30 del Regolamento europeo UE n. 2016/679 (GDPR) (GDPR), che deve essere redatto per iscritto, e che deve contenere tutte le principali informazioni relative alle operazioni di trattamento dei dati personali svolte dall’Ente titolare. È, in sostanza, uno strumento che fornisce un quadro aggiornato e ragionato dei trattamenti compiuti all’interno dell’Ente dal titolare e, come precisato, costituisce uno dei principali elementi di accountability del Titolare.
Compilare un Registro dei trattamenti è un’operazione delicata e complessa, che prevede una prima fase di mappatura dei trattamenti: il Titolare (cioè l’Ente locale che ha l’obbligo di redigere il registro) coadiuvato dal proprio DPO e, se necessario, da un consulente esterno in Data Protection, deve individuare e censire tutti i trattamenti compiuti all’interno dell’Ente.

Gli elementi che obbligatoriamente devono essere contenuti nel registro sono individuati dall’art. 30 par.1-2 del GDPR e sono i seguenti:

  1. Il nome e i dati di contatto del titolare del trattamento (l’Ente Locale), del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (DPO);
  2. Le finalità del trattamento per tipologie: ad esempio demografici (anagrafe, stato civile, cimiteri, leva, giudici popolari, ufficio elettorale), statistici, violazioni e sanzioni, notizie di reato, illeciti stradali, illeciti edilizi, polizia municipale, polizia giudiziaria, notifiche e così via;
  3. La descrizione delle categorie di interessati e le categorie di dati personali trattati (dati comuni, dati sanitari, dati giudiziari, ecc.);
  4. Le operazioni di trattamento effettuate sulle varie categorie di dati (raccolta, registrazione, organizzazione, strutturazione, modifica ecc.);
  5. Le categorie di destinatari a cui i dati devono essere comunicati (ad esempio enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi, il medico competente, la polizia giudiziaria ecc.);
  6. La base giuridica che rende quel trattamento legittimo: è bene sottolineare che i trattamenti effettuati dalla Pubblica Amministrazione non trovano mai nel consenso la propria base giuridica, ma essa va individuata altrove (nell’adempimento di obblighi di legge e di pubblico servizio);
  7. I termini ultimi per la cancellazione dei dati;
  8. Gli eventuali Paesi terzi a cui i dati vengono trasmessi (da tenere in considerazione se si utilizzano applicazioni informatiche che hanno sede in Paesi extra UE);
  9. Una descrizione delle misure tecniche e organizzative adottate per proteggere i dati

Il registro, naturalmente, dovrà rispecchiare le caratteristiche dell’Ente, anche in merito alle dimensioni: è chiaro che il Registro di un grande Comune avrà livelli di complessità del tutto differenti da quello di uno di qualche centinaio di abitanti, ma il nodo della questione è che tutti gli Enti lo devono compilare, indipendentemente dalle dimensioni.
Per la redazione pratica del Registro ci si può dotare di software specifici, in commercio ce ne sono diversi, ma anche la compilazione di un semplice foglio Excel può servire allo scopo, qualora vengano indicati tutti gli elementi richiesti.

Il consiglio pratico

Se si utilizza un foglio Excel, si consiglia di suddividerlo in due fogli. Il primo foglio conterrà la denominazione “Registro dei trattamenti del Titolare” ai sensi dell’art. 30 del Reg. UE 679/2016, i dati del Titolare (sede del Comune, codice fiscale), i dati del Sindaco pro tempore (con indicazione di indirizzo, telefono, e-mail e pec) e i dati del DPO (nuovamente con tutti i recapiti per identificarlo).
È fondamentale indicare la data di prima creazione del Registro e tutte le date di successivo aggiornamento: è chiaro che il registro non sarà un documento statico, ma dinamico, che verrà modificato nel corso del tempo a seconda del fatto che nuovi trattamenti si aggiungano (ad esempio la biblioteca) e che alcuni trattamenti cessino (ad esempio chiude la mensa asilo). Le versioni del Registro devono essere tutte conservate, perché costituiscono la documentazione di accountability nel tempo.
Nel secondo foglio sarà sufficiente elaborare una tabella, contenente i nove punti enunciati nel paragrafo precedente e per ognuno la relativa compilazione.
Non esiste un modo giusto o sbagliato per la redazione di un Registro di un Ente locale, né è possibile elencare una lista di trattamenti che devono essere contenuti; tuttavia, nell’intento dichiarato in apertura di fornire elementi pratici di consulenza, indichiamo nell’allegato proposto qui di seguito una mappatura di trattamenti che può fungere da esempio per un Comune.

>> VAI ALLA MAPPATURA INTEGRALE.

Guida alla compilazione del registro dei trattamenti per gli Enti locali a prova di sanzioneL’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.

www.lagazzettadeglientilocali.it