Il punto di vista di Cyber Academy
Il ROPA è l'inventario documentato delle attività di trattamento richiesto dall'articolo 30 del GDPR. I titolari elencano finalità, categorie, destinatari, conservazione e trasferimenti; i responsabili elencano i titolari serviti, le categorie e i trasferimenti. La maggior parte delle organizzazioni sottovaluta il lavoro di manutenzione. L'autorità di controllo richiede il ROPA come prima cosa all'avvio di un'indagine.
Che cos'è davvero il ROPA (registro delle attività di trattamento)
Il registro delle attività di trattamento è la mappa di tutto ciò che un'organizzazione fa con i dati personali. Non è una policy né una promessa; è un inventario, mantenuto aggiornato, che consente di rispondere a una domanda semplice per qualsiasi operazione di trattamento: quali dati, per quale finalità, su quale base giuridica, chi vi accede, dove finiscono e per quanto tempo vengono conservati. Il GDPR rende questo registro un obbligo ai sensi dell'articolo 30 e ripartisce il dovere in base al ruolo.
Un titolare del trattamento documenta le proprie attività di trattamento; un responsabile del trattamento documenta le categorie di trattamento che svolge per conto dei titolari che serve. I due registri si sovrappongono ma non sono identici, e un'organizzazione che agisce sia come titolare sia come responsabile deve tenerli entrambi.
In pratica il ROPA è la base su cui poggia il resto di un programma sulla privacy. Non è possibile condurre una DPIA significativa, rispondere a una richiesta di accesso di un interessato, delimitare una violazione o negoziare un contratto con un responsabile del trattamento senza sapere prima che il trattamento esiste e dove si trovano i dati. È per questo che l'autorità di controllo chiede per primo il ROPA quando si apre un'indagine. È il modo più rapido per un regolatore di valutare se un'organizzazione comprende davvero i propri dati, e un registro povero o non aggiornato segnala che probabilmente anche il resto del programma lo è.
Cosa contiene: titolare rispetto a responsabile
Le due versioni del registro contengono campi diversi perché i due ruoli rispondono a domande diverse. Un titolare del trattamento decide perché e come i dati vengono trattati, quindi il suo registro deve giustificare ogni finalità. Un responsabile agisce solo su istruzioni, quindi il suo registro descrive il servizio che fornisce, non la logica che vi sta dietro.
| Elemento | Registro del titolare | Registro del responsabile |
|---|---|---|
| Identità e contatto | Titolare, eventuali contitolari, rappresentante, DPO | Responsabile, rappresentante, DPO, e ogni titolare servito |
| Finalità | Finalità di ciascuna attività di trattamento | Non richiesta; il responsabile agisce su istruzioni |
| Interessati e categorie | Categorie di persone e di dati personali | Categorie di trattamento svolte per ciascun titolare |
| Destinatari | A chi sono comunicati i dati | Idem, ove pertinente per il servizio |
| Trasferimenti | Trasferimenti al di fuori dell'UE e garanzie utilizzate | Trasferimenti al di fuori dell'UE e garanzie utilizzate |
| Conservazione | Termini previsti per la cancellazione ove possibile | Non richiesta separatamente |
| Sicurezza | Descrizione generale delle misure tecniche e organizzative | Descrizione generale delle misure tecniche e organizzative |
I campi sembrano amministrativi, ma ciascuno è portante. I periodi di conservazione guidano i flussi di cancellazione. Gli elenchi dei destinatari alimentano l'inventario dei responsabili e le valutazioni d'impatto dei trasferimenti. Le categorie di dati segnalano dove un trattamento di categorie particolari fa scattare l'obbligo di un DPO o di una DPIA. Compilato onestamente, il ROPA è uno strumento diagnostico operativo; compilato come un mero adempimento da spuntare, è peggio che inutile perché dà una falsa sicurezza.
Chi deve tenerlo e come si collega
Il GDPR formula il dovere dell'articolo 30 con un'esenzione per le organizzazioni con meno di 250 dipendenti, ma l'esenzione è abbastanza ristretta da far sì che la maggior parte abbia comunque bisogno di un registro. Decade non appena il trattamento non è occasionale, è probabile che presenti un rischio per le persone, oppure riguarda dati di categorie particolari o relativi a reati, il che copre il trattamento ordinario di quasi ogni azienda operativa. Le autorità di controllo, tra cui la CNIL, considerano il ROPA come una prassi attesa anziché come un obbligo raro, e la CNIL pubblica un modello gratuito per abbassare la barriera d'ingresso.
Il registro non vive da solo. È la spina dorsale a cui si agganciano la DPIA, la funzione di DPO e il processo di risposta alle violazioni. Il DPO lo usa per monitorare la conformità e consigliare sul rischio; una DPIA inizia estraendo la voce pertinente; una valutazione della violazione lo usa per delimitare quali dati e quali persone sono coinvolti. Le organizzazioni che procedono verso ISO 27701 riconosceranno nel ROPA, in sostanza, il sistema di gestione delle informazioni sulla privacy che richiede lo stesso inventario, ed è per questo che i team maturi tengono un unico registro e lo lasciano servire più regimi anziché mantenere elenchi paralleli.
Frequently asked questions
01Chi deve tenere un ROPA?
Sia i titolari sia i responsabili del trattamento, ciascuno con la propria versione. L'esenzione per i meno di 250 dipendenti è ristretta e si applica raramente, perché scompare non appena il trattamento è regolare, rischioso o riguarda dati di categorie particolari, il che descrive quasi ogni azienda attiva.
02Qual è la differenza tra il registro del titolare e quello del responsabile?
Il registro del titolare documenta la finalità e la base giuridica di ciascuna attività, poiché è il titolare a decidere perché i dati vengono trattati. Il registro del responsabile descrive le categorie di trattamento che svolge per ciascun titolare servito, perché un responsabile agisce solo su istruzioni e non stabilisce la finalità.
03Con quale frequenza va aggiornato il ROPA?
Ogni volta che il trattamento cambia, non secondo un calendario fisso. L'approccio affidabile consiste nell'attivare gli aggiornamenti a partire da eventi reali, come l'inserimento di un nuovo fornitore, il lancio di una funzionalità o la firma di un contratto di trattamento dei dati, anziché affidarsi a una revisione annuale.
04Perché il regolatore chiede per primo il ROPA?
Perché è la lettura più rapida di quanto un'organizzazione comprenda i propri dati. Un registro completo e aggiornato mostra un programma funzionante; uno povero o datato segnala che probabilmente è debole anche la postura di conformità complessiva.
05Il ROPA è la stessa cosa di una DPIA?
No. Il ROPA è un inventario permanente di tutte le attività di trattamento. Una DPIA è una valutazione del rischio più approfondita svolta per specifici trattamenti ad alto rischio, e di norma inizia estraendo la voce pertinente dal ROPA.