Il registro dei trattamenti: quale lingua ufficiale utilizzare?

di Raffaele Riccio


Al di là delle questioni relative ai contenuti, alla tenuta e all’aggiornamento del registro, un tema sufficientemente articolato e che ben si presta ad una serie di considerazioni di ampia portata è quello relativo alla lingua ufficiale di redazione del registro dei trattamenti.

In apparenza quella che potrebbe sembrare una questione del tutto scontata in realtà non lo è affatto, soprattutto per le implicazioni di carattere operativo che la gestione del registro dei trattamenti comporta.

Al fine di definire meglio il perimetro del tema oggetto d’esame, è opportuno evidenziare che la questione della lingua da utilizzare per compilazione, la tenuta e l’aggiornamento del registro dei trattamenti verosimilmente potrebbe interessare tutte quelle organizzazioni (società italiane, succursali italiane di società con stabilimento principale all’estero) facenti parte di gruppi imprenditoriali multinazionali e i cui HQ sono stabiliti in Paesi differenti dall’Italia.

Più in dettaglio, si pensi all’ipotesi in cui la Capogruppo, al fine di armonizzare la gestione degli adempimenti relativi alla data protection, decida di mettere a disposizione di tutte le organizzazioni infragruppo dei modelli unici da utilizzare: es. un format di informativa privacy, un format di Data Protection Impact Assessment, un format di registro dei trattamenti, ecc.

Pertanto, al fine di aderire a complessi framework data protection definiti a livello di Capogruppo e con applicazione trasversale per tutte le organizzazioni appartenenti a quel Gruppo (ma, allo stesso tempo, sparse su vari territori nazionali), potrebbero sorgere dubbi relativi alla lingua da utilizzare per rispondere agli adempimenti previsti dalla normativa in materia di protezione dei dati personali. La compilazione e la tenuta del registro, ad esempio, costituisce un esempio calzante.

Il tema, quindi, pur se in questa sede è perimetrato al solo registro dei trattamenti, in realtà potrebbe avere una portata ben più ampia se le considerazioni che seguono si ribaltano – ove pertinenti – su altri adempimenti relativi al framework data protection.

Un esempio che potrebbe facilmente rendere concreto il casus preso in considerazioni è quello in cui, a livello  centralizzato, il Gruppo imprenditoriale decida di adottare un template o uno strumento elettronico (es. un tool) unico e comune a tutte le Legal Entity per la gestione del registro dei trattamenti e che, a causa della vastità del numero di entità coinvolte e dei perimetri nazionali coinvolti, tale strumento per impostazione predefinita utilizzi una lingua veicolare comune: l’inglese (anche per motivi legati a connesse attività di monitoraggio, controllo, ecc.).

Il risultato è che le Entità presenti sul territorio italiano (per quel che ci riguarda) si ritroverebbero ad utilizzare uno strumento per la gestione del registro dei trattamenti utilizzabile esclusivamente nella lingua inglese.

A fronte di questo scenario, potrebbero emergere una serie di interrogativi che – anche in ottica di accountability – un Titolare del trattamento (società con sede in Italia) potrebbe legittimamente porsi:

  • è conforme alla normativa la redazione di un registro dei trattamenti in una lingua diversa dall’italiano?
  • può essere presentato all’Autorità di controllo italiana un registro dei trattamenti redatto in lingua inglese?

Si proverà a rispondere ai quesiti attraverso una serie di considerazioni, tenendo in considerazione il quadro normativo esistente in materia.

In relazione al primo interrogativo, pare che la normativa de quo non sia di grande ausilio posto che, né le previsioni regolamentari, né la produzione normativa dell’Autorità Garante per la Protezione dei dati depongono chiaramente a favore di una soluzione che obblighi le organizzazioni (nel caso di specie, italiane) a redigere il registro dei trattamenti in una specifica lingua ufficiale.

Infatti, l’art. 30 GDPR, il Considerando 82 GDPR, le FAQ del Garante sul registro delle attività di trattamento non fanno alcun cenno al tema dell’utilizzo della lingua per la compilazione o la tenuta del registro. Pertanto, ragionando in termini comuni, potrebbe dedursi innanzitutto che – in base al Paese in cui è stabilito il Titolare / Responsabile del trattamento obbligato alla tenuta del registro – il documento di cui all’art. 30 GDPR debba essere compilato nella lingua ufficiale di riferimento.

Pertanto, per le organizzazioni italiane (pur facenti parte di un Gruppo internazionale ed esclusa l’esistenza di un vincolo organizzativo di utilizzo di una lingua veicolare comune) la lingua italiana rappresenta la lingua ufficiale della Repubblica italiana, come previsto da legge costituzionale (art. 99, DPR n. 670 del 31 agosto 1972, “Statuto di Autonomia della Regione Autonoma Trentino-Alto Adige”) ed ordinaria (art. 1 Legge n. 482 del 15 dicembre 1999): quindi, potrebbe dedursi che il registro dei trattamenti debba essere redatto in italiano.

A rafforzare questa tesi, potrebbero altresì valere ulteriori evidenze:

  • l’Autorità Garante, nel provvedimento “Approvazione del protocollo di verifica che disciplina le attività di controllo da parte del Garante sulle prescrizioni impartite a Google il 10 luglio 2014 – 22 gennaio 2015” affermava testualmente che ….”Google ha trasmesso all´Autorità la bozza ulteriormente modificata del protocollo di verifica sia nella versione italiana che nella versione inglese e che, al riguardo, considerata la lingua italiana quale lingua ufficiale del presente procedimento, l´Autorità prende in considerazione esclusivamente la prima di tali versioni, cui annette prevalente rilevanza in caso di eventuale discrepanza tra le versioni proposte”;
  • più in generale, di norma nei rapporti con le Pubbliche Amministrazione, si riconosce carattere di prevalenza e priorità all’uso della lingua italiana.

Secondo questo orientamento potrebbe anche ritenersi che la presentazione di un registro dei trattamenti in lingua diversa dall’italiano potrebbe costituire un elemento di dubbia accountability in sede di ispezione dell’Autorità di controllo.

L’art. 37, par. 2  GDPR, infatti, prevede che “Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento”: tale raggiungibilità dovrebbe potersi valutare in senso non solo geografico ma anche in termini sostanziali e, quindi, come capacità effettiva di contatto e interazione del Data Protection Officer (quale punto di contatto) con l’Autorità di controllo territorialmente competente. Pertanto, potrebbero sorgere (in verità non solo in relazione al registro dei trattamento) eventuali difficoltà di interazione tra il Titolare/ Responsabile del trattamento, il Data Protection Officer e l’Autorità di controllo nel caso in cui, ad esempio, il registro dei trattamenti della società italiana fosse presentato in una lingua diversa dall’italiano.

Tuttavia, accanto all’impostazione appena citata, potrebbe seguirne un’altra che ammetterebbe la possibilità di utilizzare una lingua diversa dall’italiano per la compilazione e la tenuta del registro dei trattamenti.

Infatti, se è  pur vero che non vi sono riferimenti normativi specifici che depongono a favore dell’utilizzo della lingua ufficiale del Paese in cui una società è stabilita, pare che in ogni caso non esista un esplicito divieto in tal senso, tanto nelle fonti normative di più alto livello (Regolamento 679/2016) quanto nella normativa di dettaglio (es. i Regolamenti interni dell’Autorità Garante e le FAQ sul registro dei trattamenti non fanno alcun riferimento esplicito sul punto della lingua ufficiale da utilizzarsi in materia).

Quindi, secondo questo approccio, non potrebbe escludersi che la documentazione relativa al registro dei trattamenti (espressione del principio di accountability del Titolare / Responsabile del trattamento) prodotta in una lingua diversa dall’italiano sia da considerarsi di indubbio valore, ove sostanzialmente valida nei contenuti e aderente a quanto richiesto dalla normativa in materia di protezione dei dati personali.

A supporto di questo orientamento, potrebbe evidenziarsi anche che:

  • a livello europeo, con l’avvento del GDPR, l’armonizzazione rafforzata della normativa in materia di protezione dei dati personali, ha reso necessaria l’adozione di un approccio che tenga conto delle influenze e degli orientamenti condivisi a livello comunitario e, quindi, un approccio non esclusivamente orientato ad una visione confinata “territorialmente”;
  • non pare esistere un divieto di interlocuzione con l’Autorità Garante per la protezione dei dati in altre lingue ufficiali dell’Unione Europea.

Ciò che potrebbe ipotizzarsi è che, al più, nel caso in cui all’Autorità di controllo fosse presentato un registro dei trattamenti in lingua diversa dall’italiano in sede di ispezione, essa potrebbe richiedere all’organizzazione una versione tradotta del documento in lingua italiana. Dovrebbe in ogni caso escludersi che una simile evenienza possa avere delle implicazioni a sfavore della società stessa in sede di valutazione – da parte dell’Autorità –  di eventuali procedimenti sanzionatori.

In conclusione, dunque, potrebbe sembrare più in linea con lo spirito del Regolamento europeo 679/2016 la possibilità di redigere e mantenere un registro dei trattamenti anche in una lingua diversa da quella dello Stato in cui l’organizzazione di riferimento è stabilita. Pertanto, la possibilità di adottare – per i gruppi imprenditoriali – modelli di registro redatti in un’unica lingua per tutte le entità appartenenti al Gruppo medesimo ma stabilite in Paesi differenti non costituisce un limite.

Al fine di esporre le organizzazioni a meno contestazioni possibili in sede di ispezioni da parte dell’Autorità, potrebbe al più suggerirsi di:

  • utilizzare – a livello di gruppo imprenditoriale – una lingua dall’indubbio valore “veicolare” tra più Paesi (es. inglese);
  • ove possibile, produrre una doppia versione del registro: una versione redatta nella lingua utilizzata dal gruppo imprenditoriale e l’altra (sostanzialmente una copia) tradotta in versione italiana (soprattutto al fine di garantire alla società una maggiore “serenità” in caso di ispezioni).

Autore:

 

it_IT