Registro delle Attività di Trattamento

Il Registro delle Attività di Trattamento in Italia è l'atto disciplinato da Reg. UE 2016/679 art. 30; D.Lgs. 196/2003 (Codice Privacy); Linee guida EDPB.

Il Registro delle Attività di Trattamento in Italia documenta, per ciascuna attività di trattamento omogenea (una scheda per ciascuna attività, non un documento generico), le informazioni fondamentali: titolare e, se nominato, il DPO (Responsabile della Protezione dei Dati, obbligatorio per enti pubblici, organismi di vigilanza e titolari che effettuano trattamenti su larga scala di categorie particolari di dati); finalità specifica del trattamento (non formule generiche); base giuridica ex art. 6 GDPR e, per le categorie particolari, base ex art. 9 GDPR; categorie di interessati (dipendenti, clienti, fornitori, prospect, visitatori del sito); categorie di dati personali (anagrafici, contatto, salute, biometrici, navigazione); destinatari, compresi i responsabili del trattamento ex art. 28 GDPR con riferimento alla nomina stipulata; trasferimenti verso paesi extra-UE con le relative garanzie (Clausole Contrattuali Standard Decisione 2021/914, Decisione di adeguatezza, Data Privacy Framework UE-USA); periodi di conservazione specifici o criteri per determinarli; misure di sicurezza tecniche e organizzative ex art. 32 GDPR. Il Garante per la protezione dei dati personali italiano, nell'ambito delle proprie attività ispettive programmate e straordinarie, richiede sistematicamente la produzione del Registro come prima evidenza della conformità al GDPR, e la sua assenza o incompletezza è trattata come grave indice di mancata accountability con impatto diretto sulla quantificazione della sanzione.

Il Registro delle Attività di Trattamento in Italia è obbligatorio per tutti i titolari del trattamento e i responsabili del trattamento che non rientrano nell'esenzione dell'art. 30, par. 5 GDPR. La norma prevede un'esenzione per organizzazioni con meno di 250 dipendenti, ma solo se cumulativamente: il trattamento non può presentare un rischio per i diritti e le libertà degli interessati; il trattamento non è effettuato in modo non occasionale; il trattamento non include categorie particolari di dati ex art. 9 GDPR; il trattamento non include dati relativi a condanne penali o reati ex art. 10 GDPR. In pratica, quasi nessuna impresa italiana — nemmeno quelle con meno di 250 dipendenti — può beneficiare dell'esenzione: trattare i dati dei dipendenti per paghe e presenze (che include dati di salute per le assenze per malattia, categoria particolare ex art. 9 GDPR) o inviare newsletter (trattamento non occasionale) esclude già dall'esenzione, come confermato dalle linee guida EDPB 07/2020.

Altre situazioni che rendono urgente la tenuta del Registro: avvio di attività soggette a valutazione d'impatto sulla protezione dei dati (DPIA ex art. 35 GDPR) — la cui esecuzione richiede a monte la mappatura nel Registro; trattamento di dati particolari (dati sulla salute in strutture sanitarie e studi medici, dati biometrici per il controllo accessi, dati relativi a opinioni politiche o religiose, dati sull'orientamento sessuale); trattamento su larga scala di dati di navigazione e comportamentali degli utenti tramite sistemi di analytics e profilazione; nomina da parte di un titolare che richiede al proprio responsabile esterno (consulente del lavoro, commercialista, studio legale, provider IT) di esibire il proprio Registro prima di sottoscrivere la nomina ex art. 28 GDPR. Forms-legal.com mette a disposizione questo template precompilato con le schede per le attività di trattamento più comuni nelle PMI italiane, aggiornabile ogni volta che cambiano i trattamenti dell'organizzazione o vengono introdotti nuovi provider.

Anche le pubbliche amministrazioni italiane — inclusi comuni, ASL, università, enti previdenziali come INPS e INAIL — hanno l'obbligo del Registro ai sensi dell'art. 30 GDPR, senza alcuna possibilità di esenzione. L'Agenzia per l'Italia Digitale (AgID) ha pubblicato linee guida specifiche sul Registro per le PA, integrate con le indicazioni del Garante per la protezione dei dati personali nei provvedimenti del 2019 e 2021. Il mancato adempimento dell'obbligo di Registro costituisce in Italia uno degli elementi che il Garante verifica sistematicamente nelle ispezioni programmate e nelle istruttorie avviate a seguito di data breach segnalati ex art. 33 GDPR.

Il Registro delle Attività di Trattamento conforme all'art. 30 GDPR si compone di elementi strutturali precisi, che riflettono la struttura bipartita prevista dal Regolamento per i titolari (art. 30, par. 1) e per i responsabili del trattamento (art. 30, par. 2). Il frontespizio identifica il titolare del trattamento: denominazione, sede legale, partita IVA, PEC, nome del legale rappresentante, nome e contatti del DPO se nominato, data dell'ultima revisione del Registro con numero di versione. La sezione principale è costituita dalle schede di trattamento, una per ciascuna attività omogenea — ogni scheda descrive un singolo trattamento, non l'intera attività aziendale. Ciascuna scheda deve indicare:

1. Nome dell'attività di trattamento (es. 'Gestione del personale', 'Email marketing', 'Videosorveglianza', 'Gestione ordini e-commerce'). 2. Finalità: descrizione specifica dello scopo per cui i dati sono trattati (non formule generiche come 'migliorare i servizi'). 3. Base giuridica ex art. 6 GDPR: contratto (art. 6.1.b), obbligo legale (art. 6.1.c), consenso (art. 6.1.a), legittimo interesse (art. 6.1.f). Per le categorie particolari anche la base ex art. 9.2 GDPR. 4. Categorie di interessati: dipendenti, clienti, fornitori, prospect, visitatori del sito, minori. 5. Categorie di dati personali: anagrafici, di contatto, di pagamento, di salute, biometrici, di navigazione. 6. Responsabili del trattamento ex art. 28 GDPR: elenco dei fornitori con nomina stipulata. 7. Trasferimenti extra-UE: paese di destinazione e garanzia adottata (SCC, Data Privacy Framework, Decisione di adeguatezza della Commissione Europea). 8. Periodo di conservazione: termine specifico (es. '10 anni per adempimenti fiscali', '24 mesi per il marketing') o criteri per determinarlo. 9. Misure di sicurezza ex art. 32 GDPR: crittografia, pseudonimizzazione, controllo degli accessi, backup, penetration test. Forms-legal.com include in questo template 8 schede precompilate per le attività di trattamento più diffuse nelle PMI italiane.

Per compilare correttamente il Registro delle Attività di Trattamento in Italia è necessario partire da una mappatura sistematica e documentata dei trattamenti effettivamente svolti nell'organizzazione, che risponda alle seguenti domande operative fondamentali: Quali categorie di dati personali raccogliamo e da quali categorie di interessati? Per quale scopo specifico e determinato (finalità)? Con quale base giuridica specifica tra le sei previste dall'art. 6 GDPR? A chi li comunichiamo (destinatari interni e fornitori esterni con relativa nomina ex art. 28 GDPR)? Per quanto tempo li conserviamo (termini specifici per ciascuna categoria o criteri determinabili)? Come li proteggiamo tecnicamente e organizzativamente (misure di sicurezza ex art. 32 GDPR)? Vengono trasferiti dati fuori dall'UE e verso quale paese terzo?

Nel frontespizio inserire: denominazione del titolare, sede legale, partita IVA, PEC, nome del legale rappresentante e del DPO se nominato. Per ciascuna attività di trattamento individuata nella mappatura, compilare una scheda separata. Nella casella 'Finalità' essere specifici: 'Gestione delle buste paga e degli adempimenti previdenziali verso INPS e INAIL' è accettabile; 'Gestione del personale' è troppo vaga. Nella casella 'Base giuridica' indicare l'articolo specifico del GDPR (art. 6.1.b per il contratto di lavoro, art. 6.1.c per gli obblighi fiscali, art. 6.1.a per il consenso al marketing). Nella casella 'Responsabili del trattamento' elencare tutti i fornitori che trattano i dati per conto del titolare con la nomina ex art. 28 GDPR: studio di consulenza del lavoro, commercialista, piattaforma e-commerce, provider di email marketing, hosting provider, fornitore del software gestionale. Nella casella 'Trasferimenti extra-UE' indicare i provider stranieri (Google Analytics — USA, AWS — USA, Mailchimp — USA) con la garanzia adottata per ciascuno. Nella casella 'Periodo di conservazione' indicare un termine specifico per ciascuna categoria di dato: dati fiscali e contabili (10 anni per obbligo legale ex art. 2220 c.c.), dati marketing (24 mesi dall'ultimo consenso), curricula non assunti (12 mesi). Concludere con data di ultimo aggiornamento del Registro e firma del titolare o del DPO delegato.

Il Registro delle Attività di Trattamento in Italia deve rispettare i requisiti dell'art. 30 del Reg. UE 2016/679 (GDPR), applicabile direttamente in tutta l'Unione Europea dal 25 maggio 2018. L'art. 30, par. 1 elenca gli elementi obbligatori del Registro del titolare: nome e dati di contatto del titolare e, ove applicabile, del contitolare e del DPO; finalità specifiche del trattamento (non generiche); descrizione delle categorie di interessati e di dati personali trattati; categorie di destinatari a cui sono comunicati i dati; eventuali trasferimenti verso paesi terzi con identificazione del paese e delle garanzie adottate; termini previsti per la cancellazione delle diverse categorie di dati; descrizione generale delle misure di sicurezza tecniche e organizzative. L'art. 30, par. 3 stabilisce che il Registro deve essere redatto in forma scritta, anche in formato elettronico. L'art. 30, par. 4 impone che il Registro sia messo a disposizione dell'autorità di controllo su richiesta, senza ritardi. L'art. 83, par. 4 GDPR sanziona la violazione dell'art. 30 (mancata tenuta del Registro o Registro incompleto) con sanzioni fino a € 10.000.000 o al 2% del fatturato mondiale annuo totale dell'esercizio precedente, se superiore.

Il principio di accountability (art. 5, par. 2 GDPR) impone al titolare del trattamento di dimostrare in qualsiasi momento la conformità ai principi del trattamento elencati nell'art. 5, par. 1 GDPR: liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza. Il Registro è lo strumento principale attraverso cui questa dimostrazione avviene durante le ispezioni del Garante e nei procedimenti giudiziari per responsabilità da trattamento illecito. L'EDPB (European Data Protection Board) ha pubblicato le Linee guida 07/2020 sull'accountability, che specificano il contenuto minimo del Registro e forniscono esempi pratici per le diverse categorie di organizzazioni. Il Garante per la protezione dei dati personali italiano ha inserito la verifica del Registro come passaggio standard delle proprie ispezioni programmate e delle istruttorie avviate a seguito di violazioni dei dati (data breach notificati ex art. 33 GDPR). Studi di consulenza del lavoro, commercialisti e avvocati devono tenere il proprio Registro ex art. 30, par. 2 GDPR come responsabili del trattamento per conto dei loro clienti, con schede separate per ciascun cliente-titolare servito. La mancata tenuta del Registro è considerata dal Garante indicatore di scarsa accountability e aggravante in caso di violazioni dei dati personali — come emerge dalla prassi sanzionatoria pubblicata sul sito garanteprivacy.it, dove numerosi provvedimenti fanno riferimento all'assenza o all'inadeguatezza del Registro come elemento di gravità della condotta.

Tra gli errori più frequenti nella tenuta del Registro delle Attività di Trattamento da parte delle organizzazioni italiane vi è la compilazione di un Registro unico generico per tutti i trattamenti, invece di schede separate e specifiche per ciascuna attività omogenea: un Registro che descrive tutti i trattamenti in poche righe generiche non soddisfa il requisito dell'art. 30 GDPR e non consente l'audit del Garante per la protezione dei dati personali in sede di ispezione. Un secondo errore comune è non includere nel Registro i trattamenti effettuati da fornitori/responsabili esterni: il Registro del titolare deve elencare anche i trattamenti affidati all'esterno (elaborazione paghe da uno studio di consulenza del lavoro, gestione dell'email marketing da un'agenzia digitale, hosting del sito web) con il riferimento alla nomina ex art. 28 GDPR stipulata con ciascun fornitore.

Altre insidie ricorrenti: non aggiornare il Registro quando cambiano i trattamenti (nuovo software, nuovo fornitore, nuova finalità), esponendo l'organizzazione a contestazioni del Garante in sede di ispezione; indicare periodi di conservazione indefiniti ('fino a quando necessario') senza specificare il termine o i criteri per determinarlo, in violazione del principio di limitazione della conservazione (art. 5.1.e GDPR); omettere i trasferimenti extra-UE dei dati verso provider cloud internazionali (AWS, Google, Microsoft) che sono tra i più diffusi nelle PMI italiane; non distinguere nel Registro le attività di trattamento per cui il consenso è la base giuridica da quelle in cui la base è il contratto o l'obbligo legale — questa distinzione è fondamentale per la gestione delle revoche del consenso; pensare erroneamente che il Registro non sia obbligatorio per le organizzazioni con meno di 250 dipendenti, ignorando le eccezioni all'esenzione che si applicano quasi universalmente. Per evitare questi errori, il Registro dovrebbe essere tenuto e aggiornato dal DPO o dal responsabile privacy interno con revisione annuale sistematica.