Articolo 30 GDPR — Il Registro dei Trattamenti

Cos'è il Registro dei Trattamenti?

Il Registro dei Trattamenti (RoPA — Record of Processing Activities) è disciplinato dall'Art. 30 GDPR. Documenta in modo strutturato tutte le attività di trattamento dei dati personali svolte da un'organizzazione, indicando finalità, categorie di interessati e dati, destinatari, tempi di conservazione e misure di sicurezza.

La sua funzione è duplice: strumento di accountability (Art. 5, par. 2 GDPR) e strumento di trasparenza verso le autorità di controllo. Non è una mera formalità: rappresenta la mappa operativa con cui il titolare dimostra di conoscere e governare i propri trattamenti.

Riferimento: Art. 30 Reg. UE 2016/679 — "Registro delle attività di trattamento".

Chi deve tenere il Registro?

Esenzioni (Art. 30, par. 5)

L'Art. 30, par. 5 prevede un'esenzione per le imprese con meno di 250 dipendenti, salvo casi eccezionali.

Eccezioni che eliminano l'esenzione

Trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati;
Trattamenti non occasionali (svolti in modo abituale);
Trattamenti che includono categorie particolari di dati (Art. 9 — salute, biometrici, sindacali, ecc.);
Trattamenti relativi a condanne penali e reati (Art. 10).

Attenzione: nella pratica, l'esenzione è raramente applicabile. Basta una delle eccezioni sopra per far scattare l'obbligo del registro.

Sempre obbligati

Organizzazioni con 250+ dipendenti;
Soggetti che svolgono trattamenti sistematici;
Aziende sanitarie e strutture che trattano dati sulla salute;
Enti pubblici di ogni dimensione.

Informazioni minime obbligatorie

Per il Titolare — Art. 30, par. 1

Nome e dati di contatto del titolare, del contitolare, del rappresentante e del DPO;
Finalità del trattamento;
Categorie di interessati e di dati personali;
Categorie di destinatari (compresi destinatari in Paesi terzi);
Periodi di conservazione previsti per le diverse categorie di dati;
Descrizione generale delle misure di sicurezza tecniche e organizzative (Art. 32 GDPR).

Per il Responsabile — Art. 30, par. 2

Contenuti simili a quelli del titolare, con l'aggiunta del nome di ogni titolare per conto del quale il responsabile opera, dei trattamenti effettuati per ciascuno, e delle eventuali trasmissioni verso Paesi terzi.

Format e documentazione

Il GDPR non impone un formato specifico. Il registro può essere:

Cartaceo o digitale (Word, Excel, PDF);
Database o software dedicato di gestione privacy;
Foglio di calcolo strutturato.

Ciò che conta è che garantisca accessibilità, facilità di aggiornamento e chiarezza espositiva. Il registro deve essere disponibile su richiesta dell'autorità di controllo (Art. 30, par. 4).

Sanzioni per non conformità

Fino a 10 milioni di euro;
Oppure il 2% del fatturato annuo globale (se importo superiore);
Riferimento: Art. 83, par. 4, lett. a) GDPR;
Rischi reputazionali significativi e perdita di fiducia di clienti, partner, dipendenti.

Evoluzioni 2026 — Omnibus IV

Sono in corso a livello europeo discussioni su possibili semplificazioni degli adempimenti GDPR (pacchetto Omnibus IV). Tra le proposte:

Innalzare la soglia di esenzione dal registro da 250 a 1000 dipendenti per alcune categorie di trattamento;
Semplificazioni documentali per le PMI a basso rischio.

Tuttavia: i trattamenti ad alto rischio rimangono sempre soggetti all'obbligo completo, a prescindere dalla dimensione dell'organizzazione.

Conclusioni

Il Registro dei Trattamenti non è una formalità: è uno strumento strategico di governance dei dati. Una documentazione accurata e aggiornata significa, allo stesso tempo, conformità normativa e protezione concreta in caso di controllo del Garante.

Chi non ha un registro — o lo tiene in modo incompleto — rischia una sanzione fino a 10 milioni di euro e problemi reputazionali rilevanti.

Vuoi una valutazione del tuo Registro dei Trattamenti? Contattami per un primo colloquio gratuito.