Protezione dei dati

Registro delle violazioni GDPR: modello + procedura

Registro delle violazioni ex art. 33.5 GDPR: modello colonna per colonna, procedura di escalation interna e regole per decidere se notificare al Garante.

Also available in:Français·Deutsch

Il registro delle violazioni è il documento interno in cui il titolare del trattamento annota tutte le violazioni di dati personali — non solo quelle notificate al Garante. L’obbligo nasce dall’art. 33, par. 5 del Regolamento (UE) 2016/679 (GDPR), che impone di documentare qualsiasi violazione, comprese le circostanze, gli effetti e i provvedimenti adottati, «indipendentemente dal fatto che [la violazione] sia stata o meno notificata». In pratica: anche l’evento che decidi di non notificare va registrato, con la motivazione della scelta. In questa guida trovi il modello colonna per colonna, la procedura di escalation interna che decide se e quando avvisare l’Autorità, e le regole operative sui 72 ore.

Punti chiave

  • L’art. 33, par. 5 GDPR obbliga a registrare ogni violazione, notificata o no.
  • Il registro serve al Garante come prova dell’accountability: la sua assenza è di per sé una contestazione.
  • La notifica al Garante va fatta entro 72 ore dalla conoscenza della violazione, se c’è rischio per i diritti degli interessati (art. 33, par. 1).
  • La comunicazione agli interessati (art. 34) scatta solo per rischio elevato.
  • Una gestione tardiva o disordinata aggrava la sanzione: nel 2024 il Garante ha sanzionato Postel S.p.A. per 900.000 euro per un attacco ransomware gestito con ritardi documentati.

Perché il registro delle violazioni è obbligatorio

Il registro non è un adempimento facoltativo né un semplice log tecnico. È lo strumento con cui il titolare dimostra di aver preso sul serio ogni incidente e di aver applicato correttamente il test del rischio. Il Garante, in sede ispettiva, non chiede solo «avete notificato?»: chiede di vedere il registro completo, per verificare se esistono violazioni che avreste dovuto notificare e non avete notificato. Un registro vuoto in un’organizzazione di medie dimensioni è, di per sé, un segnale di allarme.

La logica è quella dell’accountability dell’art. 5, par. 2 GDPR: non basta comportarsi correttamente, bisogna poterlo provare. Il registro è la prova. Per questo va tenuto anche per gli eventi «minori» — la mail inviata al destinatario sbagliato, il laptop smarrito, l’accesso non autorizzato risolto in cinque minuti — annotando perché quell’evento non presentava un rischio tale da richiedere la notifica.

Il modello: colonna per colonna

Il registro può essere un foglio di calcolo, un database o un modulo strutturato. Ciò che conta è che, per ogni evento, siano tracciate almeno le informazioni richieste dall’art. 33, par. 5. La tabella seguente è un modello pronto da replicare, una riga per ogni violazione.

Colonna Contenuto Esempio
ID / progressivo Codice univoco dell’evento 2026-014
Data e ora della scoperta Momento in cui si è avuta conoscenza 06/07/2026 09:15
Data della violazione Quando è avvenuta (se nota) 05/07/2026 notte
Chi ha rilevato Funzione/persona segnalante IT helpdesk
Descrizione Cosa è successo, in concreto Invio massivo email con allegato errato
Tipo di violazione Riservatezza / integrità / disponibilità Riservatezza
Categorie di dati Tipologie coinvolte Anagrafici, contatti
Categorie di interessati Chi è coinvolto Clienti (circa 300)
Numero interessati Stima quantitativa ~300
Valutazione del rischio Esito del test (assente/basso/elevato) Basso
Decisione notifica Garante Sì/No + motivazione No — rischio non probabile
Decisione comunicazione interessati Sì/No + motivazione No
Misure adottate Contenimento e rimedi Richiamo email, alert ai destinatari
Misure preventive Azioni per evitare recidiva Controllo mailing prima dell’invio

Le tre colonne decisive sono la valutazione del rischio, la decisione sulla notifica e la relativa motivazione: sono quelle che il Garante legge per primo. Una decisione «No» senza motivazione documentata equivale, agli occhi dell’Autorità, a una decisione non presa.

La procedura di escalation interna

Il registro funziona solo se collegato a una procedura che porta l’informazione dalla persona che rileva l’evento a chi decide. Una procedura minima ma efficace prevede quattro passaggi.

1. Segnalazione immediata. Chiunque — dipendente, fornitore, autorizzato — rileva un evento anomalo deve segnalarlo a un punto di contatto unico (data breach team o RPD) entro poche ore. Il conto delle 72 ore parte dalla «conoscenza» del titolare, e la giurisprudenza del Garante interpreta la conoscenza in senso ampio: non puoi rallentare la catena interna per guadagnare tempo.

2. Valutazione preliminare e contenimento. Il team qualifica l’evento (è davvero una violazione di dati personali?) e attiva subito le misure di contenimento. Molti eventi si risolvono qui.

3. Test del rischio. Si valuta la probabilità e la gravità del rischio per i diritti e le libertà degli interessati, tenendo conto di natura dei dati, facilità di identificazione, gravità delle conseguenze e numero di interessati. È lo stesso ragionamento che alimenta una valutazione d’impatto sulla protezione dei dati: se il trattamento colpito era ad alto rischio, l’asticella per notificare si abbassa.

4. Decisione e registrazione. In base all’esito: nessuna notifica (ma registrazione con motivazione); notifica al Garante entro 72 ore; e, in caso di rischio elevato, comunicazione agli interessati. Ogni passaggio va annotato nel registro. Per il dettaglio operativo della notifica rimando alla guida sulla notifica della violazione di dati al Garante.

Quando notificare al Garante e quando informare gli interessati

La notifica all’Autorità (art. 33, par. 1) è dovuta a meno che sia «improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche». Il Garante mette a disposizione una procedura telematica dedicata sul proprio portale (servizi.gdpr.garanteprivacy.it) e il termine è di 72 ore dalla conoscenza; oltre, la notifica va corredata dei motivi del ritardo.

La comunicazione agli interessati (art. 34) è un gradino più alto: scatta solo quando il rischio è elevato, per esempio in caso di esfiltrazione di credenziali, dati sanitari o dati bancari che espongono a frodi. La tabella qui sotto sintetizza le tre soglie.

Livello di rischio Registro interno Notifica Garante (art. 33) Comunicazione interessati (art. 34)
Rischio improbabile Sì (con motivazione) No No
Rischio presente Sì, entro 72h No
Rischio elevato Sì, entro 72h Sì, senza ingiustificato ritardo

L’errore che aggrava le sanzioni

Il pattern più penalizzante non è la violazione in sé — nessun sistema è inviolabile — ma la sua cattiva gestione: rilevamento tardivo, catena interna che si inceppa, decisione di non notificare senza motivazione, comunicazione agli interessati omessa quando dovuta. Il caso Postel del 2024 (attacco ransomware, sanzione di 900.000 euro) è emblematico proprio della gestione dilatoria di un incidente. Un registro tenuto bene, con tempi tracciati e decisioni motivate, è la prima linea di difesa in caso di controllo.

Mantenere manualmente questa coerenza — collegando registro delle violazioni, registro dei trattamenti e valutazioni del rischio — diventa complesso appena gli eventi si moltiplicano. Piattaforme come Legiscope strutturano il flusso di segnalazione, guidano il test del rischio e generano il registro con tempi e motivazioni tracciate, riducendo il margine di errore nelle 72 ore.

Per approfondire, sono utili le linee guida dell’EDPB sulla notifica delle violazioni e il testo dell’art. 33 del GDPR su EUR-Lex. La casistica sanzionatoria italiana è consultabile nella raccolta dei provvedimenti del Garante e nella nostra sintesi delle sanzioni del Garante privacy.

Domande frequenti

Devo registrare anche le violazioni che non notifico al Garante?

Sì. L’art. 33, par. 5 GDPR impone di documentare tutte le violazioni, comprese quelle per cui hai valutato che il rischio fosse improbabile e non hai notificato. In questi casi il registro deve riportare la motivazione della decisione: è proprio quella motivazione che il Garante verifica in caso di ispezione.

Da quando decorrono le 72 ore per la notifica?

Dal momento in cui il titolare acquisisce la «conoscenza» della violazione, cioè un ragionevole grado di certezza che si sia verificata. Non dal momento dell’attacco, ma nemmeno dal comodo: se la catena interna di segnalazione è lenta, l’Autorità può contestare la conoscenza ritardata. Per questo la procedura di escalation è parte integrante dell’adempimento.

Chi deve tenere il registro delle violazioni?

Il titolare del trattamento. Il responsabile (art. 28) non notifica direttamente al Garante, ma è obbligato ad avvisare senza ingiustificato ritardo il titolare di ogni violazione di cui venga a conoscenza (art. 33, par. 2), alimentando così il registro del titolare. È buona prassi che anche il responsabile tenga un proprio log interno degli eventi comunicati ai clienti.

Il registro delle violazioni va inviato al Garante ogni anno?

No. Come il registro dei trattamenti, non si trasmette periodicamente: si tiene aggiornato e si esibisce su richiesta dell’Autorità. La notifica riguarda il singolo evento, non il registro nel suo complesso.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →