Compilare in modo corretto un registro dei trattamenti, è noto, rappresenta uno degli adempimenti fondamentali per ciascun titolare o responsabile del trattamento. La deroga di cui all’art. 30.5 GDPR per cui non sussiste tale obbligo si può dire di rara applicazione, dal momento che come ha ribadito l’EDPB confermando il position paper assunto già in aprile 2018 le attività di trattamento che possono essere escluse dal registro delle organizzazioni con meno di 250 dipendenti possono riguardare solo trattamenti occasionali di dati non rientranti nelle categorie particolari o relativi a condanne penali e reati per cui non sussiste alcun rischio per gli interessati.
Avendo specifico riguardo al registro del titolare, poi, tale documento costituisce un elemento fondamentale di accountability [“responsabilizzazione” di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento] in quanto è idoneo a rendicontare tutte le principali informazioni riguardanti le attività svolte sui dati personali. Leggendo quanto prescrive l’art. 30 GDPR, non figura però alcun obbligo di indicare la base giuridica delle attività di trattamento. Pertanto, è lecito domandarsi se possa essere sufficiente adempiere alla lettera della norma o se altrimenti si possa – o meglio: si debba, in adesione alle best practice – indicare anche il fondamento di liceità delle attività svolte sui dati personali.
La conformità dal punto di vista strettamente normativo non richiede alcun tipo di indicazione della base giuridica ma tale esigenza emerge per ragioni organizzative e di coordinamento documentale interno.
Innanzitutto, ciascuna attività di trattamento deve individuare una delle basi individuate dall’art. 6 GDPR e, per i dati di categorie particolari rientrare nelle eccezioni di cui all’art. 9 GDPR mentre per i dati relativi a condanne penali e reati secondo le condizioni di cui all’art. 10 GDPR. Pertanto, in ottica non solo di rendicontazione (successiva) ma soprattutto di corretta progettazione (preventiva) dei trattamenti è bene che il titolare abbia contezza della corretta base giuridica cui fare ricorso per rispettare il principio di liceità.
Non solo: a ciascuna delle attività di trattamento potranno corrispondere determinati diritti esercitabili da parte dell’interessato anche a seconda della base giuridica su cui è fondata. Un esempio su tutte: la possibilità di esercitare il diritto di opposizione, riservato ai soli trattamenti necessari all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (e dunque: alla base individuata dall’art. 6.1 lett. e) GDPR) o al perseguimento del legittimo interesse del titolare del trattamento o di terzi (e dunque: alla base individuata dall’art. 6.1 lett. f) GDPR).
Inoltre, dal momento che fra le informazioni da rendere all’interessato ai sensi degli artt. 13 e 14 GDPR rientra anche l’indicazione della base giuridica del trattamento, l’inserimento di tale indicazione all’interno del registro consente di verificare il rispetto del principio di trasparenza e di mantenere aggiornate e coerenti le informative.
Stefano Gazzella – Delegato Federprivacy per la provincia di Gorizia.