Il registro delle violazioni è il documento interno in cui il titolare del trattamento annota tutte le violazioni di dati personali — non solo quelle notificate al Garante. L’obbligo nasce dall’art. 33, par. 5 del Regolamento (UE) 2016/679 (GDPR), che impone di documentare qualsiasi violazione, comprese le circostanze, gli effetti e i provvedimenti adottati, «indipendentemente dal fatto che [la violazione] sia stata o meno notificata». In pratica: anche l’evento che decidi di non notificare va registrato, con la motivazione della scelta. In questa guida trovi il modello colonna per colonna, la procedura di escalation interna che decide se e quando avvisare l’Autorità, e le regole operative sui 72 ore.
Punti chiave
- L’art. 33, par. 5 GDPR obbliga a registrare ogni violazione, notificata o no.
- Il registro serve al Garante come prova dell’accountability: la sua assenza è di per sé una contestazione.
- La notifica al Garante va fatta entro 72 ore dalla conoscenza della violazione, se c’è rischio per i diritti degli interessati (art. 33, par. 1).
- La comunicazione agli interessati (art. 34) scatta solo per rischio elevato.
- Una gestione tardiva o disordinata aggrava la sanzione: nel 2024 il Garante ha sanzionato Postel S.p.A. per 900.000 euro per un attacco ransomware gestito con ritardi documentati.
Perché il registro delle violazioni è obbligatorio
Il registro non è un adempimento facoltativo né un semplice log tecnico. È lo strumento con cui il titolare dimostra di aver preso sul serio ogni incidente e di aver applicato correttamente il test del rischio. Il Garante, in sede ispettiva, non chiede solo «avete notificato?»: chiede di vedere il registro completo, per verificare se esistono violazioni che avreste dovuto notificare e non avete notificato. Un registro vuoto in un’organizzazione di medie dimensioni è, di per sé, un segnale di allarme.
La logica è quella dell’accountability dell’art. 5, par. 2 GDPR: non basta comportarsi correttamente, bisogna poterlo provare. Il registro è la prova. Per questo va tenuto anche per gli eventi «minori» — la mail inviata al destinatario sbagliato, il laptop smarrito, l’accesso non autorizzato risolto in cinque minuti — annotando perché quell’evento non presentava un rischio tale da richiedere la notifica.
Il modello: colonna per colonna
Il registro può essere un foglio di calcolo, un database o un modulo strutturato. Ciò che conta è che, per ogni evento, siano tracciate almeno le informazioni richieste dall’art. 33, par. 5. La tabella seguente è un modello pronto da replicare, una riga per ogni violazione.
| Colonna | Contenuto | Esempio |
|---|---|---|
| ID / progressivo | Codice univoco dell’evento | 2026-014 |
| Data e ora della scoperta | Momento in cui si è avuta conoscenza | 06/07/2026 09:15 |
| Data della violazione | Quando è avvenuta (se nota) | 05/07/2026 notte |
| Chi ha rilevato | Funzione/persona segnalante | IT helpdesk |
| Descrizione | Cosa è successo, in concreto | Invio massivo email con allegato errato |
| Tipo di violazione | Riservatezza / integrità / disponibilità | Riservatezza |
| Categorie di dati | Tipologie coinvolte | Anagrafici, contatti |
| Categorie di interessati | Chi è coinvolto | Clienti (circa 300) |
| Numero interessati | Stima quantitativa | ~300 |
| Valutazione del rischio | Esito del test (assente/basso/elevato) | Basso |
| Decisione notifica Garante | Sì/No + motivazione | No — rischio non probabile |
| Decisione comunicazione interessati | Sì/No + motivazione | No |
| Misure adottate | Contenimento e rimedi | Richiamo email, alert ai destinatari |
| Misure preventive | Azioni per evitare recidiva | Controllo mailing prima dell’invio |
Le tre colonne decisive sono la valutazione del rischio, la decisione sulla notifica e la relativa motivazione: sono quelle che il Garante legge per primo. Una decisione «No» senza motivazione documentata equivale, agli occhi dell’Autorità, a una decisione non presa.
La procedura di escalation interna
Il registro funziona solo se collegato a una procedura che porta l’informazione dalla persona che rileva l’evento a chi decide. Una procedura minima ma efficace prevede quattro passaggi.
1. Segnalazione immediata. Chiunque — dipendente, fornitore, autorizzato — rileva un evento anomalo deve segnalarlo a un punto di contatto unico (data breach team o RPD) entro poche ore. Il conto delle 72 ore parte dalla «conoscenza» del titolare, e la giurisprudenza del Garante interpreta la conoscenza in senso ampio: non puoi rallentare la catena interna per guadagnare tempo.
2. Valutazione preliminare e contenimento. Il team qualifica l’evento (è davvero una violazione di dati personali?) e attiva subito le misure di contenimento. Molti eventi si risolvono qui.
3. Test del rischio. Si valuta la probabilità e la gravità del rischio per i diritti e le libertà degli interessati, tenendo conto di natura dei dati, facilità di identificazione, gravità delle conseguenze e numero di interessati. È lo stesso ragionamento che alimenta una valutazione d’impatto sulla protezione dei dati: se il trattamento colpito era ad alto rischio, l’asticella per notificare si abbassa.
4. Decisione e registrazione. In base all’esito: nessuna notifica (ma registrazione con motivazione); notifica al Garante entro 72 ore; e, in caso di rischio elevato, comunicazione agli interessati. Ogni passaggio va annotato nel registro. Per il dettaglio operativo della notifica rimando alla guida sulla notifica della violazione di dati al Garante.
Quando notificare al Garante e quando informare gli interessati
La notifica all’Autorità (art. 33, par. 1) è dovuta a meno che sia «improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche». Il Garante mette a disposizione una procedura telematica dedicata sul proprio portale (servizi.gdpr.garanteprivacy.it) e il termine è di 72 ore dalla conoscenza; oltre, la notifica va corredata dei motivi del ritardo.
La comunicazione agli interessati (art. 34) è un gradino più alto: scatta solo quando il rischio è elevato, per esempio in caso di esfiltrazione di credenziali, dati sanitari o dati bancari che espongono a frodi. La tabella qui sotto sintetizza le tre soglie.
| Livello di rischio | Registro interno | Notifica Garante (art. 33) | Comunicazione interessati (art. 34) |
|---|---|---|---|
| Rischio improbabile | Sì (con motivazione) | No | No |
| Rischio presente | Sì | Sì, entro 72h | No |
| Rischio elevato | Sì | Sì, entro 72h | Sì, senza ingiustificato ritardo |
L’errore che aggrava le sanzioni
Il pattern più penalizzante non è la violazione in sé — nessun sistema è inviolabile — ma la sua cattiva gestione: rilevamento tardivo, catena interna che si inceppa, decisione di non notificare senza motivazione, comunicazione agli interessati omessa quando dovuta. Il caso Postel del 2024 (attacco ransomware, sanzione di 900.000 euro) è emblematico proprio della gestione dilatoria di un incidente. Un registro tenuto bene, con tempi tracciati e decisioni motivate, è la prima linea di difesa in caso di controllo.
Mantenere manualmente questa coerenza — collegando registro delle violazioni, registro dei trattamenti e valutazioni del rischio — diventa complesso appena gli eventi si moltiplicano. Piattaforme come Legiscope strutturano il flusso di segnalazione, guidano il test del rischio e generano il registro con tempi e motivazioni tracciate, riducendo il margine di errore nelle 72 ore.
Per approfondire, sono utili le linee guida dell’EDPB sulla notifica delle violazioni e il testo dell’art. 33 del GDPR su EUR-Lex. La casistica sanzionatoria italiana è consultabile nella raccolta dei provvedimenti del Garante e nella nostra sintesi delle sanzioni del Garante privacy.
Domande frequenti
Devo registrare anche le violazioni che non notifico al Garante?
Sì. L’art. 33, par. 5 GDPR impone di documentare tutte le violazioni, comprese quelle per cui hai valutato che il rischio fosse improbabile e non hai notificato. In questi casi il registro deve riportare la motivazione della decisione: è proprio quella motivazione che il Garante verifica in caso di ispezione.
Da quando decorrono le 72 ore per la notifica?
Dal momento in cui il titolare acquisisce la «conoscenza» della violazione, cioè un ragionevole grado di certezza che si sia verificata. Non dal momento dell’attacco, ma nemmeno dal comodo: se la catena interna di segnalazione è lenta, l’Autorità può contestare la conoscenza ritardata. Per questo la procedura di escalation è parte integrante dell’adempimento.
Chi deve tenere il registro delle violazioni?
Il titolare del trattamento. Il responsabile (art. 28) non notifica direttamente al Garante, ma è obbligato ad avvisare senza ingiustificato ritardo il titolare di ogni violazione di cui venga a conoscenza (art. 33, par. 2), alimentando così il registro del titolare. È buona prassi che anche il responsabile tenga un proprio log interno degli eventi comunicati ai clienti.
Il registro delle violazioni va inviato al Garante ogni anno?
No. Come il registro dei trattamenti, non si trasmette periodicamente: si tiene aggiornato e si esibisce su richiesta dell’Autorità. La notifica riguarda il singolo evento, non il registro nel suo complesso.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial