Il registro delle attività di trattamento è il documento, tenuto in forma scritta anche elettronica, in cui il titolare del trattamento censisce tutti i trattamenti di dati personali che effettua. È previsto dall’art. 30 del Regolamento (UE) 2016/679 (GDPR) e costituisce il primo adempimento sostanziale di ogni progetto di conformità: senza una mappatura completa dei trattamenti non è possibile redigere informative corrette, individuare le basi giuridiche, definire i tempi di conservazione né valutare i rischi. Il registro non va comunicato al Garante in via ordinaria, ma deve essere esibito su richiesta dell’Autorità (art. 30, par. 4). L’obbligo grava sia sul titolare (art. 30, par. 1) sia sul responsabile del trattamento (art. 30, par. 2), con contenuti diversi. In questa guida trovi i campi obbligatori, il modello pronto da compilare, il vero perimetro della cosiddetta esenzione per le PMI e le regole per tenerlo aggiornato secondo le indicazioni del Garante.
Che cos’è il registro dei trattamenti e a cosa serve
Il registro è, nella sostanza, l’inventario ragionato del “chi tratta cosa, perché, per quanto tempo e con quali garanzie”. Non è un adempimento fine a sé stesso: è lo strumento operativo che dà attuazione al principio di responsabilizzazione (accountability) dell’art. 5, par. 2 GDPR. Ogni altro obbligo discende da lì. L’informativa agli interessati riprende finalità, basi giuridiche e tempi indicati nel registro; l’analisi dei rischi e la valutazione d’impatto sulla protezione dei dati partono dalle attività censite; la gestione di una violazione di dati richiede di sapere in tempo reale quali categorie di dati e quanti interessati sono coinvolti in un determinato trattamento.
Per questo il registro va costruito per attività di trattamento (es. “gestione del rapporto di lavoro”, “email marketing”, “videosorveglianza della sede”, “gestione dei fornitori”) e non per singolo dato o singolo software. Ogni attività raggruppa un insieme coerente di operazioni che condividono finalità e categorie di interessati.
Chi è obbligato: titolare, responsabile e il “mito” dell’esenzione
L’art. 30, par. 5 GDPR prevede un’apparente esenzione per le imprese o organizzazioni con meno di 250 dipendenti. La lettura corretta, però, la rende di fatto inapplicabile alla quasi totalità delle realtà. L’esenzione non opera se ricorre anche solo una di queste condizioni:
- il trattamento può presentare un rischio per i diritti e le libertà dell’interessato;
- il trattamento non è occasionale;
- il trattamento include categorie particolari di dati (art. 9) o dati relativi a condanne penali e reati (art. 10).
Basta gestire i dati dei dipendenti — che comportano dati sanitari, buste paga, permessi — o inviare newsletter in modo continuativo perché il trattamento sia “non occasionale”. In pratica, chiunque abbia anche un solo dipendente o una mailing list ricade nell’obbligo. Le stesse Linee guida dell’ex Gruppo di lavoro Art. 29 hanno chiarito che l’esenzione ha portata residuale. La conclusione operativa: considera il registro sempre obbligatorio e non perdere tempo a costruire l’argomentazione per esimerti.
Attenzione alla terminologia italiana: il “titolare del trattamento” è chi decide finalità e mezzi (in inglese controller), mentre il “responsabile del trattamento” è il fornitore che tratta i dati per conto del titolare (in inglese processor). Il responsabile tiene un proprio registro, previsto dall’art. 30, par. 2, e la sua nomina va formalizzata con un contratto ai sensi dell’art. 28 GDPR.
Campi obbligatori del registro del titolare (art. 30, par. 1)
Il registro del titolare deve contenere, per ciascuna attività, le informazioni elencate dall’art. 30, par. 1. La tabella seguente li traduce in un modello pratico da replicare, riga per attività.
| Campo | Contenuto | Esempio |
|---|---|---|
| Titolare e contatti | Denominazione, sede, contatti; eventuale contitolare, rappresentante, RPD | Alfa S.r.l. — DPO: dpo@alfa.it |
| Finalità del trattamento | Perché tratti i dati | Gestione del rapporto di lavoro |
| Base giuridica | Art. 6 (ed eventuale art. 9) | Art. 6.1.b — esecuzione del contratto |
| Categorie di interessati | Chi sono le persone | Dipendenti, collaboratori |
| Categorie di dati | Tipologie di dati trattati | Anagrafici, retributivi, dati sanitari (art. 9) |
| Categorie di destinatari | A chi vengono comunicati | Consulente del lavoro, INPS, banca |
| Trasferimenti extra UE | Paese terzo e garanzie (artt. 44-49) | Nessuno / SCC |
| Termini di conservazione | Tempi previsti per la cancellazione | 10 anni dalla cessazione (obblighi fiscali) |
| Misure di sicurezza | Misure tecniche e organizzative (art. 32) | Cifratura, controllo accessi, backup |
I termini di conservazione meritano una riflessione a parte: vanno determinati per ciascuna finalità e non “a occhio”. Su questo aspetto rimando alla guida sulla conservazione dei dati e limitazione temporale, perché è l’errore più frequente nei registri costruiti in fretta.
Cosa deve contenere il registro del responsabile (art. 30, par. 2)
Il registro del responsabile ha un contenuto più snello. Deve indicare: nome e contatti del responsabile e di ogni titolare per conto del quale agisce; le categorie dei trattamenti effettuati; gli eventuali trasferimenti verso paesi terzi con le relative garanzie; una descrizione generale delle misure di sicurezza dell’art. 32. Un fornitore SaaS, un’agenzia di marketing, un centro elaborazione paghe tengono quindi un registro “specchio” che elenca i servizi resi ai propri clienti-titolari.
Come tenere aggiornato il registro
Il registro è un documento vivo, non un file da archiviare dopo la prima compilazione. Va rivisto ogni volta che cambia qualcosa di rilevante:
- attivazione di un nuovo trattamento (nuovo software, nuova campagna, nuova sede videosorvegliata);
- cambio di un fornitore o attivazione di un sub-responsabile;
- modifica delle finalità o delle basi giuridiche;
- avvio di un trasferimento extra UE;
- esito di una valutazione d’impatto che introduce nuove misure.
È buona prassi fissare una revisione periodica almeno annuale e affidarne la sorveglianza al Responsabile della protezione dei dati (RPD/DPO), quando nominato. Il Garante, in sede ispettiva, guarda innanzitutto la coerenza tra registro, informative e trattamenti realmente in corso: un registro allineato è la migliore difesa in caso di controllo.
Il registro come base di ogni altro adempimento
Chi affronta la conformità partendo dal registro lavora in modo ordinato; chi lo salta si ritrova a rincorrere adempimenti scollegati. Dalla mappatura discendono, in cascata, informative, valutazioni d’impatto, contratti con i responsabili e piani di risposta agli incidenti. Mantenere manualmente questa coerenza su decine di trattamenti, in fogli di calcolo separati, è la causa principale dei disallineamenti. Piattaforme come Legiscope generano il registro in pochi minuti a partire da un questionario guidato e lo mantengono sincronizzato con le altre evidenze (audit dei fornitori, informative, DPIA), riducendo il rischio che il documento invecchi.
Per il testo integrale della norma è utile consultare l’art. 30 del Regolamento (UE) 2016/679 su EUR-Lex e le indicazioni operative del Garante per la protezione dei dati personali. Il quadro nazionale è completato dal Codice Privacy, D.lgs. 196/2003 come modificato dal D.lgs. 101/2018, consultabile su Normattiva.
Domande frequenti
Il registro dei trattamenti va inviato al Garante?
No. Il registro non si comunica preventivamente all’Autorità. Deve però essere tenuto costantemente aggiornato e messo a disposizione del Garante su richiesta, in forma scritta anche elettronica, ai sensi dell’art. 30, par. 4 GDPR. In sede di verifica ispettiva è tra i primi documenti richiesti.
La mia impresa ha meno di 250 dipendenti: devo tenerlo lo stesso?
Quasi certamente sì. L’esenzione dell’art. 30, par. 5 non si applica se i trattamenti non sono occasionali, presentano un rischio o riguardano dati particolari o giudiziari. La gestione del personale e l’attività di marketing continuativa fanno già scattare l’obbligo. In pratica la soglia dei 250 dipendenti quasi non produce effetti: conviene considerare il registro sempre dovuto.
Che differenza c’è tra il registro del titolare e quello del responsabile?
Il registro del titolare (art. 30, par. 1) è più completo e descrive finalità, basi giuridiche, categorie di interessati e di dati, destinatari, conservazione e misure. Il registro del responsabile (art. 30, par. 2) elenca invece le categorie di trattamenti svolti per conto dei clienti-titolari, gli eventuali trasferimenti e una descrizione generale delle misure di sicurezza. Un’organizzazione può essere titolare per alcuni trattamenti e responsabile per altri, e in tal caso tiene entrambi.
Conclusione
Il registro dei trattamenti dell’art. 30 GDPR è il punto di partenza, non un adempimento accessorio. Costruito bene, diventa la mappa da cui derivano informative, valutazioni d’impatto, contratti con i fornitori e gestione delle violazioni; costruito male o non aggiornato, espone l’organizzazione al primo rilievo in caso di ispezione del Garante. La regola pratica è semplice: consideralo sempre obbligatorio, organizzalo per attività di trattamento, indica termini di conservazione motivati e rivedilo con cadenza almeno annuale. Chi tiene il registro allineato alla realtà dei propri trattamenti ha già svolto metà del lavoro di conformità.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial