Adempimenti | DPIA | Vulnerability Assessment | Servizio DPO | Normativa | News | Consulenti | Prezzi | Contattaci

  • Numero verde 800 62 89 74

IL REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO


Categoria: Privacy

Hai un dubbio o un problema su questo argomento?

Scrivi alla nostra redazione giuridica e ricevi la tua risposta entro 5 giorni

Non condivideremo mai la tua email con nessuno.

Ho letto ed accetto i termini dell'informativa privacy.



Introduzione e quadro normativo

L'articolo 30 del Regolamento (UE) 2016/679 (GDPR) prevede, tra gli adempimenti principali del titolare e del responsabile del trattamento, la tenuta del registro delle attività di trattamento. Si tratta di un documento contenente le principali informazioni relative alle operazioni di trattamento svolte, specificamente individuate dallo stesso articolo 30.
Il Considerando 82 del GDPR chiarisce la ratio di tale obbligo: "Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l'autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti."
Il registro costituisce dunque uno dei principali elementi di accountability (responsabilizzazione) del titolare, configurandosi come strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all'interno dell'organizzazione. Tale documento risulta indispensabile per ogni attività di valutazione o analisi del rischio e costituisce un presupposto preliminare rispetto a tali attività.
Come sottolineato dall'Autorità Garante italiana, il registro rappresenta una "misura per dimostrare la conformità al RGPD" e non deve essere considerato un mero adempimento formale, bensì parte integrante di un sistema di corretta gestione dei dati personali.

 

Soggetti obbligati alla tenuta del Registro

La regola generale

Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento, come previsto dall'articolo 30, paragrafi 1 e 2 del GDPR.

La deroga per le organizzazioni con meno di 250 dipendenti

L'articolo 30, paragrafo 5, prevede una deroga per le imprese o organizzazioni con meno di 250 dipendenti. Tuttavia, come chiarito dal Gruppo di Lavoro Articolo 29 (ora Comitato Europeo per la Protezione dei Dati - EDPB) nel suo Position Paper del 19 aprile 2018, tale deroga non è assoluta.
L'obbligo di tenuta del registro permane anche per le organizzazioni con meno di 250 dipendenti qualora il trattamento:

  • possa presentare un rischio (anche non elevato) per i diritti e le libertà dell'interessato;
  • non sia occasionale (ad esempio: gestione clienti, gestione fornitori, gestione dipendenti);
  • includa categorie particolari di dati di cui all'articolo 9, paragrafo 1 del GDPR (dati sensibili);
  • riguardi dati relativi a condanne penali e reati di cui all'articolo 10 del GDPR.

È importante sottolineare che, secondo l'interpretazione del WP29/EDPB, le tre condizioni sopra indicate sono alternative e non cumulative: è sufficiente che ricorra anche una sola di esse per far scattare l'obbligo di tenuta del registro.

Soggetti obbligati in ambito privato

In particolare, sono tenuti all'obbligo di redazione del registro:

  • Imprese o organizzazioni con almeno 250 dipendenti (obbligo generale);
  • Esercizi commerciali, pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, ecc.) e/o che trattino dati sanitari dei clienti (parrucchieri, estetisti, ottici, odontotecnici, tatuatori);
  • Liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici);
  • Associazioni, fondazioni e comitati che trattino categorie particolari di dati e/o dati relativi a condanne penali o reati (organizzazioni di tendenza, associazioni a tutela di soggetti vulnerabili, associazioni sportive con riferimento ai dati sanitari, partiti politici, sindacati, associazioni religiose);
  • Condomini che trattino categorie particolari di dati (ad esempio, delibere per interventi volti al superamento delle barriere architettoniche, richieste di risarcimento danni comprensive di spese mediche).

Semplificazioni per le PMI

Le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro possono beneficiare di alcune misure di semplificazione, potendo circoscrivere l'obbligo di redazione alle sole specifiche attività di trattamento che determinano l'obbligo stesso. Ad esempio, se il trattamento di categorie particolari di dati si riferisce esclusivamente ai dati di un lavoratore dipendente, il registro potrà essere predisposto con riferimento a tale limitata tipologia di trattamento.

Raccomandazione del Garante

Al di fuori dei casi di tenuta obbligatoria, il Garante Privacy italiano raccomanda comunque la redazione del registro a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare il principio di accountability e, al contempo, agevola in maniera dialogante e collaborativa l'attività di controllo del Garante stesso.

Il Registro del Titolare del trattamento

Contenuti obbligatori

Ai sensi dell'articolo 30, paragrafo 1 del GDPR, il registro delle attività di trattamento del titolare deve contenere le seguenti informazioni:

a) Dati identificativi del titolare e altri soggetti

  • Nome e dati di contatto del titolare del trattamento;
  • Nome e dati di contatto del contitolare del trattamento (ove applicabile);
  • Nome e dati di contatto del rappresentante del titolare (ove applicabile);
  • Nome e dati di contatto del Responsabile della Protezione dei Dati (DPO/RPD).

b) Finalità del trattamento Deve essere indicata la finalità precipua di ciascun trattamento, distinta per tipologia. Ad esempio: trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini.

c) Descrizione delle categorie di interessati e delle categorie di dati personali Devono essere specificate sia le tipologie di interessati (clienti, fornitori, dipendenti, ecc.) sia le tipologie di dati personali oggetto di trattamento (dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.).

d) Categorie di destinatari Devono essere riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (ad esempio, enti previdenziali per gli obblighi contributivi). È opportuno indicare anche gli eventuali responsabili e sub-responsabili del trattamento cui siano trasmessi i dati.

e) Trasferimenti verso paesi terzi o organizzazioni internazionali Ove applicabile, devono essere indicati i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, con l'indicazione del paese/i terzo/i e delle garanzie adottate ai sensi del Capo V del GDPR (decisioni di adeguatezza, norme vincolanti d'impresa, clausole contrattuali tipo, ecc.).

f) Termini ultimi previsti per la cancellazione Ove possibile, devono essere individuati i tempi di cancellazione per tipologia e finalità di trattamento. Qualora non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri indicativi (norme di legge, prassi settoriali).

g) Descrizione generale delle misure di sicurezza Deve essere fornita una descrizione generale delle misure di sicurezza tecniche e organizzative adottate ai sensi dell'articolo 32 del GDPR. Tale descrizione può essere in forma riassuntiva e sintetica, con possibilità di rinvio a documenti esterni (procedure organizzative interne, security policy, ecc.).

Contenuti facoltativi ma raccomandati

Oltre ai contenuti obbligatori, il Garante Privacy italiano raccomanda di inserire nel registro informazioni ulteriori che possono risultare utili 

  • Base giuridica del trattamento (articolo 6 GDPR per dati non sensibili, articolo 9 per dati sensibili): questo elemento, pur non essendo espressamente richiesto, è considerato fondamentale per la valutazione di legittimità del trattamento;
  • Descrizione del legittimo interesse concretamente perseguito (in caso di trattamento basato su tale base giuridica);
  • Garanzie adeguate eventualmente approntate;
  • Valutazione d'impatto (DPIA) eventualmente effettuata;
  • Modalità di raccolta del consenso;
  • Referenti interni individuati dal titolare per specifiche tipologie di trattamento.

Modello di registro del Titolare

Il Manuale T4DATA per i RPD suggerisce la seguente struttura per ciascuna voce del registro:

Parte 1 - Informazioni sul titolare

  • Dati di contatto del titolare
  • Dati di contatto del contitolare (se applicabile)
  • Dati di contatto del rappresentante (se applicabile)
  • Dati di contatto del RPD

Parte 2 - Informazioni essenziali sull'attività di trattamento

  • Denominazione dell'attività di trattamento
  • Responsabile dell'unità ("referente")
  • Finalità dell'attività di trattamento
  • Categorie di interessati
  • Categorie di dati
  • Indicazione della presenza di dati sensibili
  • Base legale per il trattamento
  • Indicazione di trasferimenti verso paesi terzi
  • Garanzie adeguate per trasferimenti extra-UE
  • Limiti temporali per la cancellazione
  • Dettagli dei sistemi e delle misure di sicurezza
  • Indicazione dell'utilizzo di responsabili del trattamento

Il Registro del Responsabile del trattamento

Contenuti obbligatori

Ai sensi dell'articolo 30, paragrafo 2 del GDPR, il responsabile del trattamento deve tenere un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare. Tale registro deve contenere: 

a) Dati identificativi 

  • Nome e dati di contatto del responsabile o dei responsabili del trattamento;
  • Nome e dati di contatto di ogni titolare del trattamento per conto del quale agisce il responsabile;
  • Nome e dati di contatto del rappresentante del titolare o del responsabile (ove applicabile);
  • Nome e dati di contatto del Responsabile della Protezione dei Dati (ove applicabile). 

b) Categorie dei trattamenti effettuati Devono essere indicate le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento. 

c) Trasferimenti verso paesi terzi o organizzazioni internazionali Ove applicabile, con identificazione del paese terzo o dell'organizzazione internazionale e documentazione delle garanzie adeguate. 

d) Descrizione generale delle misure di sicurezza Ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.

Specificità del registro del Responsabile

Il registro del responsabile presenta alcune peculiarità rispetto a quello del titolare:

  • Pluralità di titolari: quando uno stesso soggetto agisce in qualità di responsabile del trattamento per conto di più clienti (ad esempio, una software house o un'agenzia di marketing), le informazioni devono essere riportate con riferimento a ciascuno dei titolari. In questi casi, il registro deve essere suddiviso in tante sezioni quanti sono i titolari per conto dei quali si opera.

  • Semplificazione in caso di numerosi titolari: qualora l'attività di puntuale indicazione e continuo aggiornamento dei nominativi dei titolari risulti eccessivamente difficoltosa a causa dell'ingente numero di clienti, il registro può contenere un rinvio a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti, purché tali schede riportino comunque tutte le indicazioni richieste dall'articolo 30, paragrafo 2.

  • Riferimento al contratto di nomina: per la descrizione delle categorie di trattamenti effettuati, è possibile fare riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell'articolo 28 del GDPR, deve individuare la natura e la finalità del trattamento, il tipo di dati personali, le categorie di interessati e la durata del trattamento.

  • Sub-responsabili: in caso di sub-responsabile, il registro delle attività può fare specifico riferimento ai contenuti del contratto stipulato tra lo stesso e il responsabile ai sensi dell'articolo 28, paragrafi 2 e 4 del GDPR. 

Distinzione tra ruoli

L'articolo 30 del GDPR prevede obblighi specifici per il registro del titolare e per il registro del responsabile. Se un organismo agisce sia come titolare sia come responsabile del trattamento, il registro deve distinguere chiaramente le due categorie di attività. In pratica, la CNIL raccomanda di tenere due registri separati: uno per i trattamenti di cui si è titolari e uno per i trattamenti effettuati per conto di altri titolari.

Forma e modalità di conservazione

Forma del registro

Ai sensi dell'articolo 30, paragrafo 3 del GDPR, i registri devono essere tenuti in forma scritta, anche in formato elettronico. Non è prescritta una forma specifica: può trattarsi di un documento cartaceo, di un foglio di calcolo, di un database o di qualsiasi altro formato che garantisca la tracciabilità e l'aggiornamento delle informazioni.

Aggiornamento

Il registro è un documento di censimento e analisi dei trattamenti e deve essere mantenuto costantemente aggiornato affinché il suo contenuto corrisponda sempre all'effettività dei trattamenti posti in essere. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati o categorie di interessati, deve essere immediatamente inserito nel registro.

Data di istituzione e ultimo aggiornamento

Il registro deve recare, in maniera verificabile:

  • La data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento);
  • La data dell'ultimo aggiornamento.
  • Un'annotazione tipo può essere:
  • "Scheda creata in data: [DATA]"
  • "Ultimo aggiornamento: [DATA]"

Messa a disposizione dell'autorità di controllo

Ai sensi dell'articolo 30, paragrafo 4, su richiesta, il titolare o il responsabile del trattamento devono mettere il registro a disposizione dell'autorità di controllo (in Italia, il Garante per la protezione dei dati personali). Il registro deve quindi essere strutturato in modo da poter essere esibito in caso di accertamenti ispettivi.

Il ruolo del DPO nella tenuta del Registro

Possibilità di affidamento al DPO

Come chiarito dalle Linee Guida del Gruppo Articolo 29 sui Responsabili della Protezione dei Dati (WP243 rev.1), l'articolo 39, paragrafo 1 del GDPR contiene un elenco non esaustivo dei compiti affidati al RPD. Pertanto, nulla vieta al titolare o al responsabile del trattamento di affidare al RPD il compito di tenere il registro delle attività di trattamento sotto la propria responsabilità.

Il registro come strumento del DPO

Il registro va considerato come uno degli strumenti che consentono al RPD di adempiere ai propri obblighi di: 

  • Sorveglianza del rispetto del regolamento;
  • Informazione e consulenza nei riguardi del titolare o del responsabile del trattamento.
  • Per un nuovo RPD, la prima attività consiste nella supervisione della creazione di un inventario di tutte le attività di trattamento potenzialmente concernenti dati personali effettuate dall'organizzazione.

Raccomandazione in caso di dubbio

In caso di dubbio sull'obbligo di tenuta del registro (ad esempio, per organizzazioni con meno di 250 dipendenti), il RPD dovrebbe propendere per la creazione di un registro completo, piuttosto che rischiare che l'organizzazione sia ritenuta responsabile di non aver adempiuto agli obblighi previsti dall'articolo 30.

Interpretazione del concetto di "trattamento occasionale"

Posizione del WP29/EDPB

Il Gruppo di Lavoro Articolo 29, nel suo Position Paper del 19 aprile 2018, ha chiarito che un trattamento è da ritenersi "occasionale" solo se non viene condotto su base regolare e ha luogo al di fuori della normale attività imprenditoriale o di altro genere svolta dall'organizzazione.

Esempi pratici

Trattamenti NON occasionali (che fanno scattare l'obbligo di registro): 

  • Gestione dei dati dei dipendenti (anche per una piccola azienda);
  • Gestione della clientela;
  • Gestione dei fornitori;
  • Form di contatto su un sito web.
  • Trattamenti potenzialmente occasionali (che potrebbero non richiedere la registrazione):
  • Trattamenti sporadici non collegati all'attività ordinaria dell'organizzazione.

Tuttavia, anche i trattamenti occasionali devono figurare nel registro se possono presentare un rischio per i diritti e le libertà degli interessati o riguardano categorie particolari di dati o dati relativi a condanne penali e reati.

L'approccio della CNIL francese

Il registro come strumento di pilotaggio

La Commission Nationale de l'Informatique et des Libertés (CNIL) francese sottolinea che il registro costituisce uno strumento di pilotaggio della conformità che deve prima di tutto aiutare l'organismo a gestire i propri trattamenti. Si tratta di un documento interno ed evolutivo che, oltre a soddisfare i requisiti dell'articolo 30, può essere arricchito con menzioni complementari per renderlo uno strumento più globale di governance.

Metodologia raccomandata dalla CNIL

La CNIL raccomanda il seguente approccio per la costruzione del registro: 

  • Identificare e incontrare i responsabili operativi dei diversi servizi suscettibili di trattare dati personali;
  • Analizzare il sito internet dell'organismo per identificare i dati raccolti tramite formulari online, le informative privacy, l'utilizzo di cookie;
  • Utilizzare come base la lista dei trattamenti precedentemente dichiarati all'autorità di controllo;
  • Compilare una scheda di registro per ogni attività di trattamento;
  • Identificare e analizzare i rischi sulla base del registro e elaborare un piano d'azione di conformità.

Aggiornamento continuo

Secondo la CNIL, il registro deve essere aggiornato regolarmente in funzione delle evoluzioni funzionali e tecniche dei trattamenti. In pratica, ogni modifica apportata alle condizioni di implementazione di ciascun trattamento (nuovi dati raccolti, allungamento della durata di conservazione, nuovo destinatario, ecc.) deve essere riportata nel registro.

Sanzioni per mancata o inadeguata tenuta del Registro

La mancata tenuta del registro delle attività di trattamento, o la sua tenuta in modo incompleto o non aggiornato, può comportare l'applicazione delle sanzioni amministrative previste dall'articolo 83 del GDPR.
In particolare, le violazioni delle disposizioni relative agli obblighi del titolare e del responsabile di cui all'articolo 30 sono soggette a sanzioni amministrative pecuniarie fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

Sviluppi recenti e proposte di semplificazione

Proposta della Commissione Europea

Nel quadro del pacchetto legislativo Omnibus, la Commissione Europea ha proposto di semplificare gli obblighi di tenuta del registro ai sensi dell'articolo 30 del GDPR. La proposta mira ad alleggerire gli oneri di conformità per alcune categorie di organizzazioni.

Posizione dell'EDPB e dell'EDPS

L'EDPB e il Garante Europeo della Protezione dei Dati (EDPS) hanno espresso un sostegno preliminare alla proposta di semplificazione, riconoscendone il potenziale di ridurre gli oneri di conformità senza compromettere la protezione dei dati personali. Tuttavia, hanno sottolineato che la semplificazione non deve compromettere i diritti fondamentali degli interessati e che deve essere mantenuto un approccio basato sul rischio.

Conclusioni e raccomandazioni operative

Il registro come investimento

La tenuta del registro delle attività di trattamento non deve essere vista come un mero adempimento burocratico, ma come un investimento strategico per l'organizzazione. Un registro ben strutturato e aggiornato:

  • Facilita la gestione quotidiana dei dati personali;
  • Supporta le attività di valutazione del rischio;
  • Semplifica la risposta alle richieste degli interessati;
  • Riduce i tempi di risposta in caso di ispezioni;
  • Dimostra l'impegno dell'organizzazione verso la conformità.

Per una corretta redazione del registro, si raccomanda di:

  • Effettuare una mappatura completa di tutte le attività di trattamento;
  • Coinvolgere i responsabili di tutti i reparti (HR, IT, marketing, vendite, ecc.);
  • Documentare la base giuridica di ciascun trattamento;
  • Verificare i flussi di dati interni ed esterni;
  • Identificare i responsabili del trattamento e verificare i contratti in essere;
  • Definire i tempi di conservazione per ogni tipologia di dato;
  • Documentare le misure di sicurezza adottate;
  • Prevedere un processo di aggiornamento periodico;
  • Designare un responsabile per la tenuta e l'aggiornamento del registro;
  • Conservare la documentazione in modo sicuro e accessibile.
Data pubblicazione: 16-02-2026
Data revisione: 16-02-2026
Autore: Roberto Pagano

Dott. Roberto Pagano

Privacy Officer e Consulente della Privacy

Fondatore di WRP Srl, IusPrivacy.eu e co-founder cercolavoro.com, Data Protection Officer certificato esperto in legal tech in materia di protezione dei dati e IA

Fonti / Citazioni
[1] - Registro attività di trattamento
[2] - Accountability
[3] - Gruppo di Lavoro Articolo 29
[4] - articolo 30, paragrafo 1 del GDPR
[5] - DPIA
[6] - Il Manuale T4DATA per i RPD
[7] - Il responsabile del trattamento
[8] - Aggiornamento del registro
[9] - Responsabile della Protezione Dati
[10] - CNIL