GDPR: Registro dei trattamenti — Modello

L'articolo 30 del GDPR impone a quasi tutte le organizzazioni di tenere un registro delle attività di trattamento. Il Garante per la Protezione dei Dati Personali lo considera uno strumento fondamentale di accountability — e la sua assenza è tra le prime cose verificate durante un'ispezione.

Chi deve tenere il registro?

In teoria, sono esentate le organizzazioni con meno di 250 dipendenti. In pratica, questa esenzione è quasi inapplicabile perché non si applica se:

• Il trattamento può presentare rischi per i diritti e le libertà degli interessati
• Il trattamento non è occasionale
• Include categorie particolari di dati (sanitari, biometrici, ecc.)

Il Garante italiano raccomanda a tutte le organizzazioni di tenere il registro, indipendentemente dalla dimensione.

Struttura del registro dei trattamenti

Registro del titolare (Art. 30.1)

| Campo | Descrizione | Esempio | |-------|-------------|---------| | Titolare del trattamento | Ragione sociale, indirizzo, contatti | Azienda S.r.l., Via Roma 1, Milano | | DPO | Nome e contatti del DPO (se nominato) | [email protected] | | Finalità del trattamento | Perché trattate i dati | Gestione clienti, fatturazione | | Categorie di interessati | Chi sono le persone i cui dati trattate | Clienti, dipendenti, fornitori | | Categorie di dati | Quali dati trattate | Anagrafica, contatti, dati fiscali | | Destinatari | Chi riceve i dati | Commercialista, hosting provider | | Trasferimenti extra-UE | Se i dati escono dall'UE | Google Analytics → USA (SCCs) | | Termini di cancellazione | Quando cancellate i dati | 10 anni per dati fiscali, 2 anni per marketing | | Misure di sicurezza | Come proteggete i dati | Crittografia, backup, controllo accessi |

Registro del responsabile (Art. 30.2)

Se trattate dati per conto di terzi, dovete tenere anche il registro del responsabile:

| Campo | Descrizione | |-------|-------------| | Responsabile del trattamento | I vostri dati aziendali | | Titolare per cui trattate | Chi vi ha affidato il trattamento | | Categorie di trattamenti | Cosa fate con i dati | | Trasferimenti extra-UE | Se applicabile | | Misure di sicurezza | Descrizione delle misure |

Modello pratico: registro per una PMI italiana

Trattamento 1: Gestione clienti

id: TR-001
nome: Gestione anagrafica clienti
finalita: Gestione del rapporto contrattuale e fatturazione
base_giuridica: Esecuzione contratto (Art. 6.1.b)
categorie_interessati:
  - Clienti persone fisiche
  - Referenti aziendali clienti
categorie_dati:
  - Dati anagrafici (nome, cognome, indirizzo)
  - Dati di contatto (email, telefono)
  - Dati fiscali (partita IVA, codice fiscale)
  - Dati bancari (IBAN per fatturazione)
destinatari:
  - Commercialista (consulenza fiscale)
  - Software gestionale (Fatture in Cloud)
  - Hosting provider (Hetzner, Germania)
trasferimenti_extra_ue: No
termini_cancellazione: 10 anni dalla cessazione del rapporto (obblighi fiscali)
misure_sicurezza:
  - Accesso con autenticazione multi-fattore
  - Crittografia dei backup
  - Controllo degli accessi basato su ruoli
data_ultimo_aggiornamento: 2026-01-15

Trattamento 2: Marketing e newsletter

id: TR-002
nome: Invio newsletter e comunicazioni marketing
finalita: Comunicazioni commerciali e promozionali
base_giuridica: Consenso (Art. 6.1.a)
categorie_interessati:
  - Iscritti alla newsletter
  - Clienti che hanno espresso consenso marketing
categorie_dati:
  - Email
  - Nome e cognome
  - Preferenze di contenuto
  - Dati di interazione (aperture, click)
destinatari:
  - Piattaforma email marketing (Brevo, Francia)
destinatari_terze_parti: No
trasferimenti_extra_ue: No
termini_cancellazione: Fino a revoca del consenso + 30 giorni
misure_sicurezza:
  - Accesso limitato al team marketing
  - Double opt-in per l'iscrizione
  - Link di disiscrizione in ogni email
data_ultimo_aggiornamento: 2026-02-01

Trattamento 3: Gestione dipendenti

id: TR-003
nome: Gestione del personale
finalita: Amministrazione del rapporto di lavoro
base_giuridica: Obbligo legale (Art. 6.1.c) + Esecuzione contratto (Art. 6.1.b)
categorie_interessati:
  - Dipendenti
  - Collaboratori
categorie_dati:
  - Dati anagrafici completi
  - Dati fiscali e previdenziali
  - Dati bancari (busta paga)
  - Dati sanitari (certificati malattia — cat. particolari)
destinatari:
  - Consulente del lavoro
  - INPS, INAIL, Agenzia delle Entrate
  - Banca per accredito stipendi
trasferimenti_extra_ue: No
termini_cancellazione: 10 anni dalla cessazione del rapporto
misure_sicurezza:
  - Accesso ristretto al responsabile HR
  - Documenti sanitari in archivio separato
  - Crittografia dei dati sensibili
data_ultimo_aggiornamento: 2026-01-20

Trattamento 4: Sito web e analytics

id: TR-004
nome: Gestione sito web e analytics
finalita: Funzionamento del sito e analisi del traffico
base_giuridica: Legittimo interesse (Art. 6.1.f) per cookie tecnici + Consenso per analytics
categorie_interessati:
  - Visitatori del sito web
categorie_dati:
  - Indirizzo IP (anonimizzato per analytics)
  - Dati di navigazione (pagine visitate, durata)
  - Dati tecnici (browser, dispositivo)
destinatari:
  - Hosting provider (Hetzner, Germania)
  - Google Analytics (IP anonimizzato)
trasferimenti_extra_ue: "Sì — Google LLC (USA) con SCCs"
termini_cancellazione: Cookie sessione + 26 mesi analytics
misure_sicurezza:
  - HTTPS obbligatorio
  - Cookie banner conforme
  - IP anonimizzato in GA4
data_ultimo_aggiornamento: 2026-03-01

Come mantenere il registro aggiornato

Trigger di aggiornamento

Il registro deve essere aggiornato quando:

• Viene introdotto un nuovo trattamento (nuovo software, nuovo processo)
• Cambia un fornitore che tratta dati per vostro conto
• Cambiano le finalità di un trattamento esistente
• Cambia la base giuridica (es. consenso → legittimo interesse)
• Si aggiungono nuove categorie di dati o interessati
• Cambia il periodo di conservazione

Frequenza di revisione

| Evento | Azione | |--------|--------| | Nuovo fornitore SaaS | Aggiornamento immediato | | Revisione periodica | Almeno annuale | | Post-incidente | Entro 30 giorni | | Nuovo servizio/prodotto | Prima del lancio | | Richiesta del Garante | Immediata |

Errori comuni delle aziende italiane

Registro troppo generico — "Trattiamo dati dei clienti per finalità aziendali" non è sufficiente. Servono finalità specifiche e categorie di dati dettagliate.

Registro statico — Un documento scritto una volta e mai aggiornato è quasi peggio di non averlo. Il Garante verifica la data dell'ultimo aggiornamento.

Dimenticare i trattamenti digitali — Cookie analytics, form di contatto, chatbot, newsletter — sono tutti trattamenti da registrare.

Non includere i fornitori cloud — Se usate SaaS (CRM, email, contabilità), i fornitori sono destinatari dei dati e vanno elencati.

Il registro come strumento di difesa

Durante un'ispezione del Garante, un registro completo e aggiornato dimostra:

• Consapevolezza dei trattamenti effettuati
• Accountability nella gestione dei dati
• Organizzazione nella protezione della privacy
• Impegno nel rispetto del GDPR

Al contrario, l'assenza del registro è una violazione autonoma (sanzione fino a 10M€ / 2% fatturato) e un segnale negativo per tutta l'ispezione.

Scansiona il tuo sito web gratis con WarDek — OWASP, NIS2, GDPR, AI Act in un'unica scansione.