L'Art. 30 del GDPR (Regolamento UE 2016/679) impone a tutti i titolari e responsabili del trattamento di tenere un Registro delle Attività di Trattamento (RAT). Il Garante per la Protezione dei Dati Personali (Garante Privacy) controlla il rispetto di quest'obbligo e può richiedere l'esibizione del registro in qualsiasi momento durante un'ispezione o un'istruttoria.
Nonostante il GDPR sia in vigore dal 25 maggio 2018, ancora molte organizzazioni italiane — dalle PMI agli studi professionali, dagli enti pubblici alle grandi imprese — non dispongono di un registro aggiornato e completo. Questa guida spiega chi è obbligato, cosa deve contenere il documento, come strutturarlo in sei passaggi e quali sanzioni rischiano chi non vi ottempera.
L'Art. 30 GDPR obbliga le organizzazioni con 250 o più dipendenti e, indipendentemente dalle dimensioni, quelle che trattano dati suscettibili di presentare rischi per i diritti e le libertà degli interessati, dati di categorie particolari (Art. 9 GDPR) o dati relativi a condanne penali e reati (Art. 10 GDPR).
Chi è obbligato a tenere il Registro?
La soglia formale dei 250 dipendenti è spesso fraintesa come unico criterio. In realtà, la quasi totalità delle organizzazioni italiane rientra nell'obbligo per via delle deroghe previste dall'Art. 30, par. 5, GDPR. Sei tenuto a mantenere il registro se almeno una delle seguenti condizioni è soddisfatta:
- Organizzazione con 250 o più dipendenti — obbligo automatico senza eccezioni.
- Trattamento non occasionale — quasi ogni impresa gestisce dati di dipendenti, clienti o fornitori in modo continuativo, anche se il numero di addetti è inferiore a 250.
- Dati di categorie particolari (Art. 9) — dati sulla salute, origine etnica, convinzioni religiose, orientamento sessuale, dati genetici o biometrici.
- Dati su condanne penali e reati (Art. 10) — rilevanti soprattutto per istituti di credito, assicurazioni e studi legali.
- Rischi per i diritti degli interessati — profilazione, videosorveglianza diffusa, trattamenti automatizzati con effetti significativi sulle persone.
In pratica, il Garante raccomanda che tutte le organizzazioni tengano un registro, anche laddove tecnicamente non vi fosse l'obbligo, come strumento fondamentale di accountability (art. 5, par. 2, GDPR). La tenuta del registro è infatti la principale prova del rispetto del principio di responsabilizzazione.
Contenuto obbligatorio del Registro (Art. 30 GDPR)
Il registro deve essere strutturato in due sezioni distinte: una per il titolare del trattamento e una per il responsabile del trattamento. Molte organizzazioni rivestono entrambi i ruoli a seconda del tipo di attività.
Sezione Titolare del trattamento (Art. 30, par. 1)
- Nome e dati di contatto del titolare del trattamento (e dell'eventuale contitolare)
- Nome e dati di contatto del Responsabile della Protezione dei Dati (DPO), se nominato
- Finalità del trattamento (es. gestione del rapporto di lavoro, fatturazione, marketing)
- Categorie di interessati (dipendenti, clienti, utenti del sito web, ecc.)
- Categorie di dati personali trattati (dati identificativi, dati di contatto, dati sanitari, ecc.)
- Categorie di destinatari a cui i dati sono comunicati (inclusi i paesi terzi o organizzazioni internazionali)
- Trasferimenti verso paesi terzi e garanzie adottate (art. 46 o 49 GDPR)
- Termini di cancellazione previsti per le diverse categorie di dati
- Descrizione generale delle misure di sicurezza tecniche e organizzative (art. 32 GDPR)
Sezione Responsabile del trattamento (Art. 30, par. 2)
- Nome e dati di contatto del responsabile del trattamento e di ogni contitolare per conto del quale agisce
- Dati di contatto del DPO del responsabile, se nominato
- Categorie dei trattamenti effettuati per conto di ciascun titolare
- Trasferimenti verso paesi terzi e relative garanzie
- Descrizione generale delle misure di sicurezza tecniche e organizzative
Il registro può essere tenuto in formato elettronico (es. software dedicato, foglio Excel, database) o cartaceo. Il GDPR non impone un formato prestabilito, ma il formato elettronico facilita aggiornamenti, ricerche e produzione in caso di ispezione.
Attività di trattamento più comuni
La tabella seguente riporta le attività di trattamento più frequenti nelle organizzazioni italiane, con la base giuridica applicabile ai sensi dell'Art. 6 GDPR.
| Attività di trattamento | Categorie di interessati | Dati trattati | Base giuridica (Art. 6 GDPR) |
|---|---|---|---|
| Gestione HR e paghe | Dipendenti, collaboratori | Dati anagrafici, fiscali, sanitari (malattia), bancari | Art. 6(1)(b) — contratto; Art. 6(1)(c) — obbligo legale |
| Videosorveglianza | Dipendenti, visitatori, pubblico | Immagini video, orari di ingresso/uscita | Art. 6(1)(f) — legittimo interesse; previo accordo sindacale (L. 300/1970) |
| Newsletter e marketing diretto | Clienti, prospect | Email, preferenze, comportamento di acquisto | Art. 6(1)(a) — consenso; Art. 6(1)(f) — soft opt-in per clienti esistenti |
| CRM clienti | Clienti, potenziali clienti | Dati di contatto, storico acquisti, interazioni | Art. 6(1)(b) — esecuzione contratto; Art. 6(1)(f) — legittimo interesse |
| Contabilità e fatturazione | Clienti, fornitori | Dati fiscali, bancari, transazioni | Art. 6(1)(c) — obbligo legale (D.Lgs. 127/2015 — fatturazione elettronica) |
| Servizio clienti | Clienti, utenti | Dati di contatto, cronologia richieste, registrazioni chiamate | Art. 6(1)(b) — esecuzione contratto; Art. 6(1)(f) — legittimo interesse |
| Dati sanitari (es. strutture mediche) | Pazienti | Cartelle cliniche, diagnosi, terapie, immagini diagnostiche | Art. 6(1)(c) + Art. 9(2)(h) — finalità di medicina preventiva/diagnosi |
Come creare il Registro passo per passo
Creare un registro efficace non richiede necessariamente strumenti costosi, ma esige metodo e coinvolgimento delle funzioni aziendali. Ecco i sei passaggi fondamentali.
-
Nomina il responsabile del progetto (DPO o privacy manager)
Il DPO, se nominato, è il candidato naturale. In assenza di DPO, designa un referente interno con delega scritta e conoscenza delle attività aziendali. Coinvolgi IT, HR, legale e operations fin dal primo giorno.
-
Mappa i flussi di dati ("data mapping")
Identifica tutte le attività in cui vengono trattati dati personali: quali sistemi informatici (gestionale ERP, CRM, sito web, app mobile), quali processi cartacei, quali comunicazioni verso terzi (commercialisti, provider cloud, call center in outsourcing). Usa interviste ai responsabili di funzione e l'inventario dei software aziendali.
-
Individua la base giuridica per ogni trattamento
Per ciascuna attività di trattamento individuata, determina la base giuridica applicabile (consenso, contratto, obbligo legale, legittimo interesse, ecc.). Documenta il ragionamento adottato, soprattutto per i trattamenti fondati sul legittimo interesse, che richiedono il test di bilanciamento (LIA — Legitimate Interest Assessment).
-
Compila le schede di trattamento
Per ogni attività identificata, compila una scheda con tutti i campi richiesti dall'Art. 30 (finalità, categorie di interessati, categorie di dati, destinatari, termini di cancellazione, misure di sicurezza). Usa template strutturati o software dedicati che guidano la compilazione campo per campo.
-
Definisci i periodi di conservazione
Indica per ogni categoria di dati il periodo di conservazione, motivandolo con l'obbligo di legge o con la finalità del trattamento. Per i dati contabili-fiscali: 10 anni. Per le riprese video: generalmente 24–48 ore (salvo esigenze di indagine). Per i dati di candidati non assunti: 6–12 mesi.
-
Mantieni il registro aggiornato con revisioni periodiche
Il registro non è un documento "una tantum". Pianifica revisioni almeno annuali e aggiornamenti ogni volta che introduce un nuovo trattamento, un nuovo software, un trasferimento verso un paese terzo o un nuovo fornitore che agisce da responsabile del trattamento. Documenta data e motivo di ogni aggiornamento.
Garante Privacy: sanzioni per inadempienza
Il Garante per la Protezione dei Dati Personali è l'Autorità di controllo italiana designata ai sensi dell'Art. 51 GDPR. Negli ultimi anni ha intensificato l'attività ispettiva, disponendo accertamenti d'ufficio e su segnalazione, spesso nell'ambito di piani coordinati con il Comitato Europeo per la Protezione dei Dati (EDPB).
Mancato rispetto dell'Art. 30 (registro delle attività di trattamento):
fino a €10.000.000oppure, per le imprese, fino al 2% del fatturato mondiale annuo totale dell'esercizio precedente, se superiore.
Violazioni dei principi fondamentali (Art. 5, 6, 9) che emergono dall'assenza o dall'inadeguatezza del registro:
fino a €20.000.000oppure fino al 4% del fatturato mondiale annuo totale.
Casi di enforcement del Garante
Tra i provvedimenti più rilevanti del Garante italiano in materia di registro e accountability:
- Provvedimento contro un'azienda di telecomunicazioni (2021): sanzione di 27,8 milioni di euro per trattamenti illeciti a scopo di marketing, con il Garante che ha rilevato l'assenza di documentazione aggiornata sui trattamenti e l'incapacità di dimostrare il consenso degli interessati.
- Settore sanitario (2022–2023): numerosi provvedimenti verso strutture ospedaliere e ASL per l'assenza di registro aggiornato relativo ai dati dei pazienti, con sanzioni tra €10.000 e €150.000 a seconda delle dimensioni dell'ente.
- Pubblica Amministrazione: il Garante ha adottato una linea di maggior rigore verso gli enti pubblici che, pur tenuti all'obbligo di accountability, non avevano predisposto registri o li avevano lasciati aggiornati solo formalmente.
- PMI (2023–2025): crescente attenzione verso le piccole e medie imprese che erroneamente ritenevano di non essere soggette all'obbligo per via delle dimensioni. Il Garante ha chiarito in più occasioni che il criterio delle 250 unità è solo una delle condizioni, non l'unica.
Oltre alle sanzioni economiche, il Garante può disporre la limitazione o il divieto del trattamento, un provvedimento con effetti potenzialmente devastanti sull'operatività aziendale (es. blocco del CRM, sospensione delle attività di marketing, interruzione di servizi digitali).
Creare il registro una volta sola senza aggiornarlo. Il Garante verifica che il registro rispecchi la situazione attuale dell'organizzazione. Un registro compilato nel 2018 e mai aggiornato — nonostante l'azienda abbia nel frattempo adottato nuovi software, avviato attività di profilazione o cambiato fornitore cloud — è considerato equivalente all'assenza di registro. Documenta ogni modifica con data e firma del responsabile.
Il DPO e il Registro delle Attività
Il Responsabile della Protezione dei Dati (DPO), obbligatorio per enti pubblici, per chi effettua monitoraggio sistematico di interessati su larga scala e per chi tratta dati sensibili su larga scala (Art. 37 GDPR), riveste un ruolo centrale nella tenuta e nell'aggiornamento del registro.
I compiti del DPO in relazione al registro comprendono:
- Sorveglianza sull'osservanza del GDPR e delle politiche interne sulla protezione dei dati, inclusa la verifica dell'aggiornamento del registro.
- Consulenza all'organizzazione e ai responsabili di funzione su come descrivere correttamente le attività di trattamento, individuare le basi giuridiche appropriate e stimare i periodi di conservazione.
- Punto di contatto con il Garante: il DPO riceve le richieste dell'Autorità e coordina la produzione del registro in caso di ispezione.
- Formazione del personale coinvolto nei trattamenti, affinché comunichi tempestivamente ogni nuovo trattamento o modifica.
DPO esterni e gestione multi-cliente
In Italia è molto diffusa la figura del DPO esterno (consulente o studio legale specializzato in privacy), che assiste più organizzazioni contemporaneamente. Questo scenario richiede strumenti in grado di gestire registri separati per ciascun cliente, mantenendo al contempo una visione d'insieme. Le soluzioni digitali permettono di:
- Centralizzare i registri di più organizzazioni in un'unica piattaforma, con accessi separati per cliente.
- Impostare alert automatici per revisioni periodiche e scadenze di conservazione.
- Esportare il registro in formato PDF o Excel per la presentazione al Garante o al cliente.
- Tracciare le modifiche con log di audit, dimostrando la conformità nel tempo.
RODO Rejestr — Registro delle Attività di Trattamento Online
Crea e aggiorna il tuo Registro delle Attività di Trattamento in modo semplice e conforme al GDPR. Ideale per DPO, aziende e studi di consulenza che gestiscono più clienti.
Inizia gratuitamente →