Scuole, privacy e GDPR. Il registro delle attività di trattamento: cos’è, cosa contiene, criticità modello Ministeriale
Una importante novità introdotta dal GDPR è costituita dal Registro delle attività di trattamento, strumento fondamentale per l’accountability del titolare.
Di cosa si tratta
Nella sua struttura, delineata dall’art. 30 del Regolamento europeo, il Registro ricorda il vecchio Documento programmatico sulla sicurezza, obbligatoriamente prescritto dall’art. 34, lett. g), del D. Lgs. 196/2003 nel caso di trattamenti di dati personali effettuati con strumenti elettronici, adempimento che già il cd. “Decreto semplificazioni” (D. L. 5/2012) aveva abrogato.
Per altro verso, il Registro sostituisce la notificazione del trattamento al Garante prevista dall’abrogato art. 37, invertendone però la logica ispiratrice (prior checking).
In passato il titolare che intendeva effettuare trattamenti che, per le relative modalità o per la natura dei dati personali trattati avrebbero potuto presentare rischi per gli interessati (cd. dati “super sensibili”, come ad esempio: quelli idonei a rivelare lo stato di salute o la vita sessuale trattati a fini di procreazione assistita, indagini epidemiologiche, ecc.; i dati genetici, e biometrici; quelli relativi alla geolocalizzazione; quelli trattati con strumenti elettronici per definire il profilo o la personalità dell’interessato o per analizzarne le abitudini o scelte di consumo; e così via), era infatti obbligato ad inviare una preventiva notifica al Garante, salvo che non rientrasse in una delle categorie di soggetti esonerati in base ad un provvedimento generale della stessa Autorità di controllo.
Con il nuovo Regolamento europeo le verifiche da parte del Garante vengono invece svolte ex post – dopo che il titolare ha assunto, con approccio basato sul rischio, le sue autonome determinazioni in ordine al trattamento – proprio attraverso l’esame del Registro delle attività di trattamento che, a sua richiesta, deve essergli messo a disposizione.
Il Registro è appunto un documento che ha necessariamente forma scritta e deve essere conservato anche in formato elettronico.
Chi è tenuto ad adottarlo
I soggetti obbligati ad istituire il Registro sono sia il titolare che il responsabile del trattamento ma solo se essi appartengono ad imprese o organizzazioni con almeno 250 dipendenti ovvero se, sotto questa soglia dimensionale, effettuano trattamenti che possiedono anche uno solo di questi tre caratteri: 1) possono presentare un rischio anche non elevato per i diritti e le libertà dell’interessato; 2) non sono occasionali; 3) riguardano le categorie particolari di dati contemplate dall’art. 9, paragrafo 1 del GDPR (sono tutti quelli già noti come dati sensibili con l’aggiunta di quelli genetici e biometrici).
Poiché le istituzioni scolastiche pubbliche trattano in maniera continua e non occasionale i dati personali di varie categorie di interessati (alunni/studenti e loro famiglie; personale dipendente, fornitori, ecc.), dati che non di rado sono sensibili ed a volte possono anche riguardare condanne penali e reati, ogni scuola deve redigere e mantenere aggiornato il proprio Registro delle attività di trattamento.
Di fatto, la platea dei soggetti obbligati a questo adempimento è molto ampia, dato che vi rientrano ad esempio anche piccoli imprenditori come commercianti ed artigiani, liberi professionisti, associazioni, fondazioni, ecc., se hanno alle proprie dipendenze anche un solo lavoratore ovvero trattano dati sanitari o relativi a condanne penali e reati.
In ogni caso, l’adozione del Registro è auspicabile anche da parte di titolari e responsabili che pur non rientrando nel novero dei soggetti obbligati ai sensi dell’art. 30 si sentono ugualmente “responsabilizzati” ad intraprendere (e rendicontare) le azioni necessarie per dare piena attuazione alla nuova normativa europea in materia di protezione delle persone fisiche con riguardo al trattamento dei dati.
A cosa serve
Il Registro delle attività di trattamento realizza un duplice scopo: oltre a quello, già segnalato, di consentire un eventuale controllo da parte del Garante (del quale costituirebbe il primo e principale oggetto), il Registro è molto utile anche per chi lo redige, perché gli rende il quadro completo ed aggiornato dei trattamenti di dati personali svolti sotto la sua responsabilità, descrivendone in concreto tutte le caratteristiche, quale necessario punto di partenza per ogni valutazione e analisi dei rischi da scongiurare nonché per l’esecuzione di ulteriori adempimenti a suo carico (come ad esempio le informative da rendere e gli eventuali consensi da raccogliere).
Cosa contiene
Il Registro delle attività di trattamento che il titolare ha l’obbligo di tenere deve descrivere tutte le caratteristiche dei trattamenti svolti e deve pertanto contenere una serie di informazioni necessarie che l’art. 30, par. 1 del GDPR, elenca in generale.
Per quel che invece interessa, nello specifico, le istituzioni scolastiche pubbliche, il Registro può essere strutturato indicando:
a) il nome e i dati di contatto del titolare del trattamento, del responsabile della protezione dei dati e dell’eventuale contitolare del trattamento ossia il soggetto che, in base all’art. 26, determina congiuntamente con il titolare le finalità e i mezzi del trattamento (nella “Nota metodologica” pubblicata ad agosto 2018 dal Miur come esempio di compilazione dello Schema di Registro delle attività di trattamento per le istituzioni scolastiche, lo stesso Ministero si riconosce contitolare del trattamento nelle attività ivi enucleate come “Gestione contratto a tempo indeterminato – Personale docente” e “Gestione contratto a tempo determinato – Personale docente”);
b) le finalità del trattamento (lo scopo determinato, esplicito e legittimo perseguito nell’ambito dell’attività di trattamento);
c) una descrizione delle categorie di interessati (alunni/studenti, genitori, personale docente e a.t.a., professionisti esterni, ecc.) e delle categorie di dati personali (particolari, relativi a condanne penali e reati, o comuni);
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali (si tratta di destinatari esterni dei dati);
e) eventuali trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale;
f) ove possibile, i termini per la cancellazione previsti per le diverse categorie di dati (espressi in mesi o anni, ovvero indicando i criteri oggettivi utilizzati per determinare il periodo di tempo decorso il quale i dati dovranno essere cancellati);
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative messe in atto per garantire un livello di sicurezza adeguato al rischio (in pratica, le misure adottate per ridurre al minimo il rischio che i dati possano essere distrutti o persi, possano essere oggetto di accesso non autorizzato o di trattamento non consentito, possano essere indebitamente modificati).
Questo contenuto “minimo” e necessario del Registro è già in grado di restituire una fotografia dei trattamenti in essere, sufficiente per una valutazione ed analisi “statica” dei relativi rischi ed indispensabile per dialogare e collaborare con il Garante.
Nulla però vieta di inserire ulteriori informazioni ritenute utili. Anzi, quanto più lo si arricchisce di contenuti, tanto più aumenta l’efficacia e l’importanza del Registro all’interno del complessivo sistema di corretta gestione dei dati personali che ogni titolare dovrebbe implementare per la propria accountability.
Sarebbe per esempio opportuno specificare per ogni attività di trattamento, la base giuridica che la rende lecita (facendo riferimento a quelle stabilite dall’art. 6), le operazioni che vengono materialmente svolte sui dati (tra quelle elencate all’art. 4, par. 1, n. 2), le modalità concrete del trattamento (ossia i mezzi e gli strumenti impiegati per effettuarlo), la presenza di eventuali responsabili esterni (individuati attraverso l’art. 30), il tipo di informativa resa (ai sensi dell’art. 13 se i dati sono stati raccolti presso l’interessato, ovvero ai sensi dell’art. 14 se i dati sono stati raccolti presso terzi), e così via.
Lo schema di Registro proposto dal Miur: rilievi critici
L’operazione fondamentale per la corretta impostazione del Registro è il censimento delle varie attività di trattamento effettuate all’interno della istituzione scolastica.
Ogni singola attività di trattamento “comprende uno o più procedimenti caratterizzati dalla medesima modalità di trattamento, finalità, tipologia di trattamento, base giuridica e categoria o categorie di interessati”: questa è l’indicazione fornita dal Miur nella sua Guida alla compilazione del Registro delle attività di trattamento pubblicata a luglio 2018.
Rispetto a tali indicazioni, lo schema di Registro che lo stesso Ministero ha successivamente messo a disposizione dei Dirigenti scolastici in formato Excel (file “Registro_dei_Trattamenti_Esempio_compilazione”) con nota n. 877 del 03/08/2018 risulta tuttavia predisposto in modo parzialmente difforme.
Prendiamo ad esempio una attività di trattamento certamente dotata di specificità ed autonomia (rispetto ad altre) quale è quella che riguarda i dati del personale dipendente della istituzione scolastica.
Lo schema del Miur contempla esemplificativamente solo il trattamento dei dati del personale docente, che però scompone in tre diverse attività a seconda della tipologia di rapporto contrattuale: “gestione contratto a tempo indeterminato – Personale docente”; “gestione contratto a tempo determinato (supplenze annuali) – Personale docente”; “gestione contratto per supplenze brevi e saltuarie – Personale docente”.
Ebbene si tratta di una frammentazione forse eccessiva.
Nello stesso schema fornito dal Miur, le tre attività risultano avere esattamente le stesse modalità di trattamento (“utilizzo di servizi ICT; Gestione manuale”), finalità (“Gestione degli aspetti relativi al trattamento giuridico ed economico del personale e verifica del possesso dei requisiti per l’assunzione”), tipologia di trattamento (“Raccolta; Registrazione; Conservazione; Estrazione; Consultazione; Elaborazione; Modifica; Comunicazione; Diffusione; Limitazione”), base giuridica (“Esecuzione di un compito di interesse pubblico o pubblici poteri del titolare derivanti da normativa nazionale”), categoria di interessati (“Personale docente”).
Date tali caratteristiche comuni le tre attività ben avrebbero potuto ed anzi dovuto, stando alla citata “Guida alla compilazione del Registro delle attività di trattamento” rilasciata sempre dal Miur, costituire una unica attività di trattamento (con la sola rilevazione della contitolarità dello stesso Ministero nel trattamento dei dati dei docenti a tempo indeterminato e dei supplenti annuali).
Oltre a questa, vi è anche una seconda ragione che induce a ritenere ridondante Io schema di Registro proposto dal Miur, ed è data dal fatto che, una volta “isolata” la categoria “personale docente” e mappate le attività di trattamento dei relativi dati personali, andrebbero poi censiti come ulteriori trattamenti, diversi ed a sé stanti, quelli riguardanti il resto del personale dipendente dell’istituzione scolastica, ad onta dei caratteri e della finalità in comune e con evidente appesantimento del documento in esame, che vedrebbe una moltiplicazione delle attività di trattamento da tracciare, non giustificata dalla presenza di significative variazioni fra le stesse.
Allo scopo di evitare i rischi opposti della frantumazione di processi ontologicamente unitari in rivoli privi di sostanza autonoma, ovvero del forzato accorpamento di eterogenee categorie di interessati entro artificiosi macroprocessi dalle multiple o non ben distinte finalità, occorre invece, ad avviso di chi scrive, ragionare piuttosto in termini di processo, come insieme di attività (nel nostro caso, di trattamento dati) correlate o interagenti che trasformano un input in un output, mettendosi nei panni dell’operatore che materialmente effettua il trattamento ed assumendo come punto di partenza di simile ragionamento l’elemento che unifica tali attività e più connota ogni processo (distinguendolo da tutti gli altri), cioè la finalità che esso persegue, non tanto la categoria di dati oggetto di trattamento o di interessati.
Lo schema di Registro proposto dal Miur sembra ispirato ad una metodologia diversa: la scelta ad esso sottesa di “isolare” come autonoma categoria di interessati il personale docente per considerarne la gestione come attività di trattamento distinta e separata da quella che riguarda il resto del personale scolastico, può anche avere una logica di tipo formale ma determina la scomposizione di quello che, anche nel senso comune, è finalisticamente percepito in modo unitario come processo di “gestione del personale”, che riguarda appunto tutti i dipendenti.
Mutuando il metodo delle scienze naturali si potrebbe obiettare che la categoria di interessati costituita dal personale docente non rappresenta un genere (genus), semmai una delle specie che compongono il genere “personale dipendente” e come tale, essa andrebbe considerata all’interno del Registro della attività di trattamento.
Lo stesso Garante chiarisce, nelle “FAQ sul registro delle attività di trattamento”, che le categorie di interessati vanno specificate per tipologia, riportando a titolo di esempio quella dei clienti, dei fornitori e appunto quella dei “dipendenti” (senza alcuna distinzione in sottoclassi poco rilevanti a fini che qui interessano).
Di conseguenza, non sarebbe sbagliata neppure la scelta di semplificare, riconducendo ad unità, nella redazione del Registro, le attività di trattamento svolte nell’ambito del singolo processo “gestione del personale”, magari specificando – all’interno della categoria complessiva di interessati formata da tutto il personale dipendente – anche le varie sottocategorie di soggetti cui i dati personali trattati si riferiscono (docenti; assistenti amministrativi e tecnici; collaboratori scolastici, ecc.) con tutte le opportune precisazioni (come ad esempio eventuali contitolarità).
