Registro dei Trattamenti GDPR: Chi Deve Averlo e Come Compilarlo nel 2026
Il registro delle attività di trattamento (Art. 30 GDPR) è obbligatorio per aziende sopra 250 dipendenti e per chi tratta dati particolari o ad alto rischio. Guida alla compilazione, contenuto obbligatorio e casi pratici.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato e Full-Stack Developer · Diritto IT & Privacy
Chi deve tenere il registro dei trattamenti GDPR?
Il registro delle attività di trattamento (ROPA — Record of Processing Activities) è obbligatorio per le organizzazioni con almeno 250 dipendenti. Al di sotto di questa soglia, l'obbligo si applica comunque se il trattamento presenta un rischio per i diritti e le libertà degli interessati, non è occasionale, o riguarda categorie particolari di dati (salute, biometria, opinioni politiche, ecc.) o dati relativi a condanne penali. Il Garante Privacy italiano raccomanda la tenuta del registro a tutte le organizzazioni come strumento di accountability, indipendentemente dalla soglia dimensionale.
Il registro delle attività di trattamento (o ROPA, dall'inglese Record of Processing Activities) è lo strumento documentale con cui il titolare del trattamento dimostra di conoscere e governare tutti i trattamenti di dati personali che svolge. La sua tenuta è disciplinata dall'Art. 30 del Regolamento (UE) 2016/679 (GDPR) ed è uno dei principali strumenti del principio di accountability (responsabilizzazione) sancito dall'Art. 5.2 GDPR.
Fonti primarie: Art. 30 Reg. UE 2016/679 — EUR-Lex · Garante Privacy — Orientamenti sul registro dei trattamenti · EDPB — Guidelines 07/2020 sull'accountability
Chi è obbligato a tenere il registro dei trattamenti?
L'Art. 30.5 GDPR prevede un'esenzione dall'obbligo per le organizzazioni con meno di 250 dipendenti, ma questa esenzione è soggetta a eccezioni rilevanti. Il registro è obbligatorio anche sotto i 250 dipendenti nei seguenti casi:
| Condizione | Esempio pratico |
|---|---|
| Il trattamento non è occasionale | Un negozio online che raccoglie dati dei clienti in modo continuativo |
| Il trattamento riguarda categorie particolari di dati (Art. 9 GDPR) | Studio medico, palestra con dati sulla salute, HR con dati sindacali |
| Il trattamento riguarda dati relativi a condanne penali (Art. 10 GDPR) | Agenzie investigative, sicurezza privata |
| Il trattamento presenta un rischio per i diritti degli interessati | Profilazione comportamentale, sorveglianza, decisioni automatizzate |
In pratica, quasi tutte le imprese attive trattano dati in modo non occasionale: l'esenzione è applicabile solo a soggetti che effettuano trattamenti veramente episodici e privi di rischio, categoria molto ristretta.
Posizione del Garante Privacy italiano: Il Garante ha chiarito (FAQ pubblicate sul proprio sito) di raccomandare la tenuta del registro a tutte le organizzazioni, indipendentemente dalle dimensioni, in quanto strumento essenziale di accountability e supporto alle attività di verifica in caso di ispezione o data breach.
Qual è il contenuto obbligatorio del registro?
Registro del titolare del trattamento
Per ogni attività di trattamento, il registro del titolare deve contenere (Art. 30.1 GDPR):
- Nome e dati di contatto del titolare (e del DPO, se nominato)
- Finalità del trattamento: descrivere lo scopo specifico (es. "gestione contratti con fornitori", "invio newsletter commerciale", "videosorveglianza locali aziendali")
- Categorie di interessati: chi sono le persone fisiche i cui dati vengono trattati (clienti, dipendenti, fornitori, visitatori, ecc.)
- Categorie di dati personali: le tipologie di dati trattati (anagrafiche, dati contrattuali, dati di pagamento, dati biometrici, ecc.)
- Destinatari o categorie di destinatari: a chi vengono comunicati i dati (dipendenti autorizzati, responsabili del trattamento, autorità pubbliche, partner, ecc.)
- Trasferimenti extra-UE: indicare il paese destinatario e il meccanismo di garanzia (SCCs, adeguatezza, DPF)
- Termini di conservazione: per quanto tempo si conservano i dati di ogni categoria
- Misure di sicurezza: descrizione delle misure tecniche e organizzative adottate
Informazioni raccomandate ma non esplicitamente obbligatorie
Il Garante Privacy e l'EDPB raccomandano di includere anche:
- Base giuridica per ogni trattamento (Art. 6 e, dove applicabile, Art. 9 GDPR)
- Contatti dei responsabili del trattamento (Art. 28 GDPR)
- Valutazione d'impatto (DPIA) collegata al trattamento, se effettuata
- Rischio del trattamento (basso, medio, alto)
Nella consulenza a imprese, raccomando sempre di includere la base giuridica nel registro anche se non esplicitamente richiesta dall'Art. 30: semplifica enormemente le risposte alle richieste degli interessati e alle ispezioni del Garante, evitando di dover ricostruire a posteriori le basi giuridiche di ogni trattamento.
Registro del responsabile del trattamento
Se la tua organizzazione è responsabile del trattamento (es. un'agenzia web che gestisce il CRM del cliente, una società di payroll, un cloud provider), deve tenere un registro separato (Art. 30.2 GDPR) con:
- Dati del responsabile e del DPO
- Per ogni titolare: le stesse categorie di dati del registro del titolare (finalità, interessati, destinatari, trasferimenti, sicurezza)
Come si struttura praticamente il registro?
Non esiste un formato obbligatorio. Il GDPR richiede che il registro sia "in forma scritta, anche in formato elettronico" (Art. 30.3). Le soluzioni più comuni:
| Strumento | Pro | Contro |
|---|---|---|
| Foglio Excel/Google Sheets | Semplice, accessibile, personalizzabile | Difficile da aggiornare su larga scala, scarso controllo versioni |
| Software dedicato GDPR | Strutturato, workflow di approvazione | Costo, curva di apprendimento |
| CMS/documentale aziendale | Integrato nei processi | Richiede configurazione ad hoc |
| Documento Word/PDF | Semplice per organizzazioni piccole | Non scalabile, aggiornamento manuale |
Struttura consigliata di una scheda di trattamento
Per ogni attività di trattamento, la scheda dovrebbe includere:
ID trattamento: [codice univoco]
Nome trattamento: [es. "Gestione dipendenti"]
Titolare: [ragione sociale + P.IVA]
Data ultima revisione: [gg/mm/aaaa]
FINALITÀ: [descrizione specifica]
BASE GIURIDICA: [Art. 6.1.X GDPR — motivazione]
INTERESSATI: [categorie]
DATI TRATTATI: [categorie di dati]
ORIGINE DEI DATI: [direttamente dall'interessato / da terzi]
DESTINATARI: [interni + esterni + paesi terzi]
CONSERVAZIONE: [periodo + criteri]
TRASFERIMENTI EXTRA-UE: [paese + meccanismo]
MISURE DI SICUREZZA: [tecniche + organizzative]
DPIA EFFETTUATA: [sì/no — riferimento]
RESPONSABILE DESIGNATO: [interno referente]
Con quale frequenza va aggiornato il registro?
Il registro non è un documento da compilare una volta e archiviare: è uno strumento dinamico che deve riflettere in tempo reale la situazione dei trattamenti.
Va aggiornato quando:
- Si avvia un nuovo trattamento (es. adozione di un nuovo software, nuova finalità di marketing)
- Si modifica un trattamento esistente (cambia la base giuridica, si aggiungono destinatari, cambia il fornitore)
- Si cessa un trattamento
- Cambia la struttura organizzativa (fusione, acquisizione, nuovo responsabile)
- Si aggiornano le misure di sicurezza
In caso di ispezione da parte del Garante Privacy, il registro viene richiesto come prima evidenza della governance dei dati. Un registro obsoleto o incompleto è un indicatore di non conformità.
Cosa rischia chi non tiene il registro dei trattamenti?
La mancata tenuta del registro o la tenuta di un registro incompleto viola l'Art. 30 GDPR ed è sanzionabile ai sensi dell'Art. 83.4 GDPR:
| Violazione | Sanzione massima |
|---|---|
| Mancata tenuta del registro | Fino a 10 milioni EUR o 2% fatturato mondiale |
| Registro incompleto o non aggiornato | Fino a 10 milioni EUR o 2% fatturato mondiale |
| Rifiuto di esibire il registro al Garante | Fino a 10 milioni EUR o 2% fatturato mondiale |
Oltre alle sanzioni amministrative, l'assenza del registro complica significativamente la gestione dei data breach (obbligo di notifica Art. 33 GDPR), delle richieste degli interessati (artt. 15-22), e delle DPIA (Art. 35). Un registro ben tenuto è la base di ogni altra attività di compliance.
Registro dei trattamenti e altri strumenti GDPR: come si collegano?
Il registro non è un documento isolato: è il punto di partenza dell'intera governance privacy. La struttura ideale è:
Registro trattamenti (Art. 30)
↓ alimenta
Privacy Policy / Informative (Art. 13-14)
↓ e
DPA con responsabili del trattamento (Art. 28)
↓ e
DPIA per trattamenti ad alto rischio (Art. 35)
↓ e
Procedure per diritti degli interessati (Art. 15-22)
↓ e
Piano di risposta ai data breach (Art. 33-34)
Un registro accurato riduce il tempo e i costi di tutti gli altri adempimenti, perché la mappatura dei trattamenti è il presupposto di ogni altra misura.
Domande Frequenti (FAQ)
Un libero professionista con studio individuale deve tenere il registro? Se il professionista tratta dati non occasionalmente (es. anagrafiche dei clienti, documentazione sanitaria, dati di dipendenti), la raccomandazione del Garante è di tenere il registro anche sotto i 250 dipendenti. La dimensione individuale dello studio non esonera dall'obbligo se il trattamento non è occasionale o riguarda categorie particolari.
Il registro deve essere firmato digitalmente o può essere un file Excel? L'Art. 30.3 GDPR richiede la forma scritta, "anche in formato elettronico". Non è richiesta la firma digitale né un formato specifico. Un file Excel, un Google Sheet condiviso con accesso controllato, o un software GDPR dedicato sono tutti formati validi. L'importante è che il documento sia aggiornabile, consultabile e esibibile all'Autorità su richiesta.
Il registro dei trattamenti è riservato o va pubblicato? Il registro non è un documento pubblico. Non deve essere pubblicato sul sito. Deve essere tenuto internamente e messo a disposizione del Garante Privacy su richiesta (Art. 30.4 GDPR). Alcune grandi organizzazioni pubblicano volontariamente un estratto del registro come segnale di trasparenza, ma non è un obbligo.
Qual è la differenza tra il registro dei trattamenti e la DPIA? Sono strumenti distinti. Il registro mappa tutti i trattamenti dell'organizzazione. La DPIA (Valutazione d'Impatto sulla Protezione dei Dati, Art. 35 GDPR) è un'analisi approfondita obbligatoria solo per i trattamenti ad alto rischio. La DPIA presuppone il registro: prima si mappano i trattamenti nel registro, poi si identificano quelli ad alto rischio che richiedono DPIA.
Se uso un fornitore SaaS che tratta i dati per mio conto, va incluso nel registro? Sì. Il fornitore è un responsabile del trattamento (Art. 28 GDPR). Nel registro del titolare va indicato come destinatario/responsabile, con riferimento al DPA firmato con lui. Se il fornitore ha sede fuori UE, va indicato il paese e il meccanismo di trasferimento.
Quando serve una consulenza personalizzata
La compilazione del registro dei trattamenti richiede una mappatura preliminare di tutti i flussi di dati dell'organizzazione: quali dati vengono raccolti, da chi, per quali finalità, con quali strumenti, da chi trattati e per quanto tempo conservati. Per organizzazioni con più di 10-15 trattamenti attivi, o in presenza di trattamenti di categorie particolari di dati, si raccomanda un supporto professionale che garantisca completezza e correttezza del documento.
Disclaimer: Questo articolo ha finalità informative e non costituisce parere legale né consulenza professionale. Il contenuto rispecchia il quadro normativo vigente alla data di pubblicazione. Per valutare gli obblighi specifici della propria organizzazione e compilare il registro dei trattamenti in modo conforme, è necessaria una consulenza individuale.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze tecniche →