Registro dei Trattamenti: la prima azione della partita per l’accountability
Articolo scritto da Fabio Marinello
La tua Società sportiva si mostra consapevole dei doveri e diritti stabiliti dalla normativa privacy europea?
Ti auguro di poter rispondere con un convinto “Sì”, perché come spesso succede nell’applicazione del diritto non è ammessa ignoranza, e l’arrivo del GDPR (ormai quasi 3 anni fa!) ci ha fatto trovare tutti iscritti a un torneo di cui occorre conoscere le regole.
Per le Società, fra l’altro, l’avere cognizione dei propri obblighi è esso stesso un requisito del GDPR rappresentato dal basilare principio di accountability, che si traduce in competenza, consapevolezza, e capacità di dimostrare l’adeguatezza della propria attività.
Se immaginiamo l’accountability come la coppa di questo torneo immaginario, non si può certo pensare di vincere la finale senza aver mai fatto un allenamento, senza sapere chi avremo in squadra e senza costruire una strategia di gioco.
I primi passi però sono sempre i più difficili, ed ecco perché, ben prima di giocarsi la finale, occorre capire come entrare in competizione (e in molti casi a campionato già avviato!): spesso l’atteggiamento di chi si approccia all’adeguamento del proprio sistema di gestione dei dati, corrisponde al concentrarsi sul perfezionare documenti e moduli informativi, senza avere una reale accortezza della loro funzione e dei loro contenuti. In termini di accountability, questa modalità premia poco, ed equivale a tentare insistentemente di segnare un goal da centrocampo.
Per avvicinarsi alla porta, invece, il primo adempimento che dovrebbe essere preso in considerazione riguarda la tenuta del “Registro delle attività di trattamento”, o più semplicemente “Registro dei trattamenti”, un documento sostanziale che permette di mettersi nella giusta direzione, e senza il quale si rischia solamente di segnare uno spettacolare autogoal dalla distanza.
A cosa serve il Registro dei trattamenti, e perché è così importante?
Beh, innanzitutto, il Registro dei trattamenti è un documento obbligatorio, sulla base di quanto riportato all’Art. 30 GDPR. A tal proposito, si potrebbe anche evidenziare che la sua violazione può comportare sanzioni amministrative fino a 10 milioni di euro, o il 2% del fatturato annuo, ma non siamo qui a fare terrorismo…
Se poi qualcuno, leggendo velocemente la norma, volesse sostenere che l’obbligo è solo per organizzazioni con almeno 250 dipendenti, legga meglio: affinché scatti l’obbligo, è sufficiente che i trattamenti presentino dei rischi, o riguardino dati sensibili, elementi che nel mondo dello sport ci portano dritti al trattamento di “dati di minori”, o di “dati di salute degli atleti”, solo per citarne un paio.
Ad ogni modo, il punto fondamentale è che, a prescindere dall’obbligatorietà, il Registro rappresenta il pannello di controllo della privacy, il punto focale attorno a cui ruota tutto il sistema di gestione dei dati. Il suo scopo è appunto quello di mostrare, nella maniera più immediata possibile, il panorama complessivo delle attività che si svolgono.
Non a caso, nella stragrande maggioranza dei casi è il primo documento richiesto in fase di audit o di ispezione.
Quali contenuti deve riportare il Registro dei trattamenti?
Il termine “trattamenti” si riferisce a qualsiasi operazione effettuata con o su dati personali, dalla loro raccolta, attraverso le diverse fasi di elaborazione, utilizzo, condivisione, ecc., fino alla loro distruzione.
Per una Società sportiva, la gestione dei tesseramenti, gli adempimenti connessi all’erogazione dei titoli di accesso per lo stadio, la raccolta di immagini dagli impianti di videosorveglianza, il monitoraggio dello stato di salute degli atleti, sono tutti esempi di attività che comportano il trattamento di dati personali, e che dovranno essere pertanto elencate nel Registro.
I contenuti di dettaglio, poi, saranno quelli specificati nel punto di norma dedicato. Oltre al nome e ai dati di contatto della Società (sia come Titolare, sia come Responsabile), per ciascuna attività di trattamento si dovranno quindi riportare:
Finalità perseguite
Categorie di interessati (i soggetti cui si riferiscono i dati)
Categorie di dati
Soggetti che hanno accesso ai dati o a cui vengono comunicati i dati, in virtù del loro ruolo di ulteriori Titolari (es. la Federazione), di Responsabili del trattamento (es. fornitori esterni), o di Incaricati al trattamento (es. il personale)
Circostanze di trasferimento dati all’estero
Termini previsti per la cancellazione dei dati
Misure di sicurezza applicate a tutela dei dati e dei trattamenti
Nulla impedisce, tuttavia, di arricchire il Registro con informazioni ulteriori: l’obiettivo è sempre quello di disporre di un documento di gestione che risulti chiaro, completo, e utile, prima di tutto, per l’organizzazione stessa.
Come dev’essere gestito il Registro dei trattamenti?
Ciascuna organizzazione dovrà attivarsi per trovare la soluzione di gestione più adatta alla propria realtà, ma l’aspetto essenziale da ricordare è che il Registro è un documento “vivo”, da mantenere costantemente aggiornato, perché possa descrivere i trattamenti effettivamente posti in essere dalla Società: i cambiamenti interni ed esterni, le novità o l’avvio di specifici progetti, devono essere immediatamente inseriti nel Registro (ricordando che, proprio perché è un documento mutevole, il Garante richiede che siano sempre indicate la data di creazione e quella dell’ultimo aggiornamento).
Per queste ragioni, è importante individuare la persona (o le persone) adatta per occuparsene, e trovare una soluzione di gestione agile: la buona notizia è che si può bandire la carta e tenerlo compilato in forma elettronica.
Dopodiché, la regola aurea, probabilmente, è quella di non abbandonare il Registro in una cartella nei meandri del nostro PC, ma “renderlo utile, utilizzandolo”. La prima compilazione sarà certamente lo scoglio più importante, ma una volta superato lo spavento iniziale dato dalla quantità di informazioni, risulterà certamente uno strumento pratico, in termini di monitoraggio e rilevazione di gap normativi nelle attività meno presidiate, ed efficace per il complessivo miglioramento della nostra organizzazione o per ottimizzare l’utilizzo delle nostre risorse.