Chi è obbligato a tenere il registro dei trattamenti?

L'art. 30, comma 5 del GDPR prevede esenzioni per le imprese con meno di 250 dipendenti, ma solo se i trattamenti sono occasionali, non riguardano dati particolari e non presentano rischi per gli interessati. In pratica, la quasi totalità delle organizzazioni è tenuta al registro, perché i trattamenti di dati di dipendenti, clienti o fornitori non sono mai 'occasionali'.

Che formato deve avere il registro dei trattamenti?

Il GDPR non prescrive un formato specifico. Può essere un documento Word, un foglio Excel, un software dedicato. L'importante è che sia completo, aggiornato e facilmente consultabile. Noi consegniamo il registro in formato Excel editabile, strutturato per facilitare gli aggiornamenti futuri.

Ogni quanto va aggiornato il registro dei trattamenti?

Il registro deve riflettere la situazione reale in ogni momento. Va aggiornato ogni volta che cambia qualcosa: un nuovo trattamento, un nuovo fornitore, una nuova finalità, una modifica alle misure di sicurezza. In pratica, è buona norma verificarlo almeno ogni 6-12 mesi e ad ogni cambiamento significativo.

Il Garante può chiedere di visionare il registro?

Sì. L'art. 30, comma 4 prevede espressamente che il registro sia messo a disposizione dell'Autorità di controllo su richiesta. In caso di ispezione, è il primo documento che il Garante chiede. Non averlo o averlo incompleto è una violazione sanzionabile.

Servizio · Documentazione GDPR

Registro dei Trattamenti GDPR — Art. 30

Il registro dei trattamenti è il documento fondamentale della compliance GDPR: mappa tutti i trattamenti di dati personali della tua organizzazione. Lo predisponiamo in modo completo, personalizzato e pronto per qualsiasi controllo del Garante.

Richiedi la predisposizione Cosa contiene

Cos'è il registro dei trattamenti

Il registro dei trattamenti è un documento previsto dall'articolo 30 del GDPR che contiene la mappatura di tutti i trattamenti di dati personali effettuati dall'organizzazione. È lo strumento principale di accountability (responsabilizzazione) del Titolare del trattamento: dimostra che l'organizzazione sa quali dati tratta, perché, come, per quanto tempo, con chi li condivide e con quali misure di sicurezza li protegge.

Non è un adempimento burocratico da fare una volta e dimenticare. Il registro, se impostato correttamente, diventa un vero cruscotto di governance: consente di controllare lo stato della conformità, identificare i trattamenti a rischio, verificare la coerenza delle informative, pianificare le DPIA necessarie e prepararsi a eventuali ispezioni.

Chi è obbligato a tenere il registro

L'art. 30, comma 5, prevede un'esenzione per le imprese con meno di 250 dipendenti, ma solo se i trattamenti sono occasionali, non riguardano categorie particolari di dati (sanitari, biometrici, giudiziari) e non presentano rischi per i diritti e le libertà degli interessati.

In pratica, questa esenzione non si applica quasi mai. Qualsiasi azienda che abbia dipendenti (trattamento non occasionale dei dati HR), clienti (dati anagrafici, fatturazione), un sito web (cookie, form di contatto) o rapporti con fornitori (nomine art. 28) è tenuta al registro.

Il Garante italiano lo ha confermato chiaramente: raccomanda a tutte le organizzazioni, indipendentemente dalle dimensioni, di dotarsi del registro dei trattamenti come strumento di accountability.

Cosa contiene il registro dei trattamenti

Il GDPR prevede due tipologie di registro:

Registro del Titolare del trattamento (art. 30, comma 1)

Contiene, per ogni trattamento:

Dati del Titolare e dell'eventuale contitolare, del rappresentante e del DPO
Finalità del trattamento — perché tratti quei dati (es. gestione del rapporto di lavoro, fatturazione, marketing)
Categorie di interessati — di chi sono i dati (dipendenti, clienti, fornitori, utenti del sito)
Categorie di dati personali — quali dati tratti (anagrafici, di contatto, fiscali, sanitari, di navigazione)
Destinatari — a chi comunichi i dati (commercialista, consulente del lavoro, hosting provider, piattaforme CRM)
Trasferimenti extra UE — se i dati vanno fuori dall'Unione Europea e con quali garanzie
Termini di cancellazione — per quanto tempo conservi i dati
Misure di sicurezza — come proteggi i dati (tecniche e organizzative)

Registro del Responsabile del trattamento (art. 30, comma 2)

Se la tua organizzazione tratta dati per conto di altri (es. sei un fornitore IT, un consulente del lavoro, un'agenzia di marketing), devi tenere anche il registro del Responsabile, con l'indicazione dei trattamenti effettuati per conto di ciascun Titolare.

Come predisponiamo il registro per la tua organizzazione

1. Intervista e mappatura

Attraverso una o più videocall strutturate, mappo tutti i trattamenti della tua organizzazione: chi fa cosa, con quali dati, per quali finalità, con quali strumenti, per quanto tempo. Questa fase è cruciale e richiede il coinvolgimento delle persone chiave (direzione, HR, IT, marketing, amministrazione).

2. Redazione del registro

Sulla base della mappatura, redigo il registro in formato Excel strutturato, con una riga per ogni trattamento e tutte le colonne previste dall'art. 30. Ogni campo è compilato con dati specifici della tua organizzazione — non template generici.

3. Verifica di coerenza

Verifico che il registro sia coerente con le informative, con le nomine ai responsabili, con le misure di sicurezza dichiarate. Se emergono gap, li segnalo e li colmiamo insieme.

4. Consegna e formazione

Consegno il registro in formato editabile (Excel) con istruzioni per il mantenimento. Ti formo su come aggiornarlo autonomamente quando cambiano i trattamenti, i fornitori o le procedure.

Il registro come strumento di governance, non come burocrazia

Troppi consulenti consegnano un registro compilato una volta e mai più aggiornato. Un foglio Excel dimenticato in una cartella non è compliance: è una finzione.

Il mio approccio è diverso. Il registro che predispongo è strutturato per essere un documento vivo:

Collegato alle informative — ogni trattamento nel registro corrisponde a un'informativa specifica. Se ne cambi uno, sai cosa aggiornare nell'altra.
Collegato alle nomine — ogni destinatario nel registro corrisponde a una nomina art. 28. Se cambi fornitore, il registro ti dice quale nomina aggiornare.
Con data review integrata — ogni trattamento ha una data di ultima verifica e una data di prossima review. Nulla resta scoperto.
Utilizzabile in caso di ispezione — il formato è chiaro, leggibile, pronto per essere consegnato al Garante in qualsiasi momento.

Domande frequenti sul registro dei trattamenti

Chi è obbligato a tenere il registro?

In pratica, tutte le organizzazioni. L'esenzione per le imprese sotto 250 dipendenti si applica solo se i trattamenti sono occasionali e non riguardano dati particolari — condizioni raramente soddisfatte.

Che formato deve avere?

Il GDPR non prescrive un formato. Può essere Excel, Word o un software dedicato. L'importante è che sia completo, aggiornato e consultabile. Noi consegniamo in Excel strutturato.

Ogni quanto va aggiornato?

Ogni volta che cambia qualcosa: nuovo trattamento, nuovo fornitore, nuova finalità, modifica alle misure di sicurezza. Come buona prassi, verifica almeno ogni 6-12 mesi.

Il Garante può chiederlo?

Sì. È il primo documento richiesto in caso di ispezione (art. 30, comma 4). Non averlo o averlo incompleto è una violazione sanzionabile.

Quanto costa la predisposizione del registro?

Dipende dalla complessità dell'organizzazione. Per una PMI con trattamenti standard, il costo è incluso nel pacchetto di consulenza GDPR completa. Come servizio singolo, parte indicativamente da 800 €. Richiedi un preventivo.

Hai bisogno del registro dei trattamenti?

Contattami per una valutazione gratuita dello stato della tua documentazione. Riceverai un preventivo trasparente entro 24 ore.

Richiedi un preventivo gratuito Scrivimi su WhatsApp