Il registro delle attività di trattamento previsto dall'art. 30 del GDPR è spesso trattato come un adempimento burocratico secondario. In realtà è la dorsale documentale di tutta la compliance privacy aziendale: viene richiesto in sede ispettiva, è utilizzato dal Garante per valutare la coerenza dell'intero sistema di protezione dei dati, e la sua assenza o incompletezza può costituire, da sola, una violazione sanzionabile. Mentre in Europa si discute una riforma che potrebbe modificarne radicalmente il perimetro di applicazione, le imprese italiane devono fare i conti con un'attività ispettiva del Garante che non conosce sosta e con un quadro giurisprudenziale sempre più esigente sul piano dell'accountability documentale.
Nemo potest prudenter agere nisi qui scit quid agere velit: nessuno può agire con prudenza se prima non sa con esattezza cosa sta facendo. Questa massima, attribuita alla tradizione latina del diritto romano, coglie con precisione il senso profondo del registro delle attività di trattamento previsto dall'art. 30 del Regolamento (UE) 2016/679: non un modulo da compilare per mettere la spunta a un adempimento, ma uno strumento di consapevolezza organizzativa attraverso cui il titolare del trattamento descrive, e soprattutto comprende, cosa fa con i dati personali delle persone che tratta.
L'immagine calzante la offre Franz Kafka, che in Il processo scrisse di un sistema in cui le regole esistono ma nessuno le conosce davvero, e la mancata conoscenza diventa essa stessa la colpa. Ecco: nella compliance GDPR, tenere un registro lacunoso o non aggiornato equivale esattamente a questo: essere esposti a responsabilità per qualcosa che si ignorava di stare facendo.
Il registro delle attività di trattamento — in inglese Record of Processing Activities, ROPA — è disciplinato dall'art. 30 del GDPR e rappresenta uno degli strumenti cardine del principio di accountability sancito dall'art. 5, par. 2, del Regolamento. L'art. 30 del Regolamento (UE) n. 679/2016 prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento. Non si tratta di un mero archivio di dati: è la fotografia dinamica e aggiornata di ogni operazione di trattamento compiuta dall'organizzazione, dalla raccolta dei curricula dei candidati alla gestione delle comunicazioni commerciali, dal trattamento dei dati di salute dei dipendenti all'utilizzo di sistemi di videosorveglianza.
Chi è obbligato, chi può essere tentato di non farlo: il perimetro attuale
La norma vigente costruisce un'esenzione parziale per le organizzazioni con meno di 250 dipendenti, ma tale esenzione è svuotata nella pratica da tre condizioni che la rendono inapplicabile a quasi tutte le realtà imprenditoriali reali. Sono tenuti a redigere il registro le imprese o le organizzazioni con almeno 250 dipendenti e — al di sotto dei 250 dipendenti — qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi anche non elevati per i diritti e le libertà delle persone, o che effettui trattamenti non occasionali di dati, oppure trattamenti di particolari categorie di dati come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull'origine etnica, o di dati relativi a condanne penali e a reati.
Il risultato pratico è che quasi ogni impresa, professionista o associazione che tratti dati con una qualche continuità — e quindi quasi ogni datore di lavoro, ogni studio medico, ogni esercente che utilizzi un sistema di videosorveglianza — ricade nell'obbligo. La ratio è chiara: i trattamenti "non occasionali" sono la normalità, non l'eccezione, della vita aziendale.
Il registro, che è un documento interno, deve essere tenuto in forma scritta, anche in formato elettronico, e va esibito all'autorità di controllo in caso di verifiche. Deve essere costantemente aggiornato e deve recare in maniera verificabile sia la data della sua prima istituzione sia la data dell'ultimo aggiornamento.
Sul punto si apre una delle questioni più dibattute in dottrina e nella prassi: secondo alcuni il registro dovrebbe avere data certa ed essere sottoscritto anche digitalmente, in base all'art. 20, co. 1 bis, del Codice dell'Amministrazione Digitale. Secondo altri lo si può tenere in forma libera, ad esempio come file spreadsheet. La prima tesi appare non conciliabile con la natura dinamica e in costante evoluzione del registro. Il Garante italiano privilegia la natura fluida del documento: il registro dei trattamenti non è un documento con valore giuridico che esprime una volontà negoziale del titolare, quanto più un adempimento finalizzato alla documentazione delle scelte dell'azienda.
Il profilo sanzionatorio è tutt'altro che teorico. La violazione degli obblighi inerenti la tenuta del registro dei trattamenti comporta l'applicazione di una sanzione fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato annuo dell'esercizio precedente, se superiore. È la forbice dell'art. 83, par. 4, lett. a), del GDPR, applicabile anche autonomamente quando il registro è assente, incompleto o non aggiornato, indipendentemente dall'esistenza di altri illeciti privacy.
Il registro viene poi sistematicamente valorizzato nei procedimenti ispettivi del Garante come prova della complessiva postura di compliance del titolare. Lo dimostra bene il Provvedimento del Garante per la protezione dei dati personali n. 569 del 25 settembre 2025 (doc. web n. 10191266), nell'ambito del quale — a fronte di un reclamo per mancato riscontro a un'istanza di esercizio dei diritti — al fine di dimostrare la liceità dei trattamenti eseguiti, il titolare trasmetteva copia del registro dei trattamenti, predisposto ai sensi dell'art. 30 del Regolamento, e dell'informativa di cui all'art. 13 del Regolamento, sottoscritta dal reclamante. (NB: provvedimento del 25 settembre 2025, anteriore al periodo novembre 2025 – maggio 2026 richiesto, citato per la sua pertinenza specifica al tema del registro come strumento difensivo). Il dato è illuminante: il registro non è solo un obbligo passivo, ma uno strumento attivo di difesa processuale nelle istruttorie avviate dall'Autorità.
Sul versante del responsabile del trattamento — figura spesso trascurata dalle analisi — va ricordato che il GDPR costruisce un doppio obbligo simmetrico: il paragrafo 2 dell'articolo 30 del GDPR prevede che anche i responsabili del trattamento debbano tenere un registro simile in relazione alle attività svolte per conto del titolare. Ciò significa che il fornitore di servizi informatici, l'agenzia di marketing, il consulente del lavoro che elabora buste paga, il centro di elaborazione dati devono tenere — ciascuno — il proprio ROPA del responsabile, distinto da quello del titolare e contenente le informazioni richieste dall'art. 30, par. 2, GDPR. Il Garante ha ribadito questo principio nel Provvedimento n. 105 del 12 febbraio 2026 (doc. web n. 10223637), in cui ha accertato che una società che operava come responsabile del trattamento nell'ambito di attività di marketing telefonico era venuta meno anche ai doveri incombenti sul responsabile del trattamento in ordine agli obblighi di informazione nei confronti del titolare. La catena di responsabilità tra titolare e responsabile — di cui il ROPA è snodo documentale imprescindibile — è stata ancora una volta al centro dell'attenzione ispettiva.
Sul piano dell'attività di vigilanza più ampia, il quadro per il primo semestre del corrente anno è stato definito con il Provvedimento n. 797 del 30 dicembre 2025 del Garante per la protezione dei dati personali. Con tale provvedimento, il Garante ha varato il piano delle proprie attività ispettive che continueranno a svolgersi regolarmente durante il primo semestre. Tra i trattamenti sotto la lente dell'Autorità vi sono quelli relativi ai data breach che hanno interessato banche dati pubbliche, gli applicativi per la gestione delle segnalazioni whistleblowing, gli strumenti di intelligenza artificiale in ambito scolastico, il dossier sanitario elettronico, il telemarketing con particolare riferimento al settore energetico, il Sistema informativo doganale, nonché le tecniche di anonimizzazione dei dati implementate dalle Telco. Per ognuna di queste aree tematiche, la verifica documentale del registro dei trattamenti costituisce una delle prime richieste degli ispettori: la sua assenza o incompletezza segnala immediatamente una debolezza sistemica dell'intero apparato di compliance.
Le ispezioni del Garante consistono nella verifica della correttezza di tutti i sistemi di acquisizione, archiviazione, protezione, gestione e cancellazione dei dati personali trattati da un'azienda, e non si tratta di controlli puramente formali o documentali, ma sono volti ad accertare che i trattamenti di dati personali avvengano in conformità al GDPR. In questo senso, un registro redatto correttamente, con indicazione della base giuridica, dei tempi di conservazione, delle misure di sicurezza adottate e dei trasferimenti verso paesi terzi, non è solo un adempimento formale ma la mappa cognitiva del sistema di governance della privacy aziendale.
La riforma dell'art. 30 GDPR: il Trilogo europeo e le incognite per le PMI italiane
Il tema del registro dei trattamenti è oggi al centro di un dibattito normativo europeo di straordinaria rilevanza, che potrebbe modificarne radicalmente il perimetro di applicabilità. Il Trilogo istituzionale UE sulla proposta di revisione del Regolamento (UE) 2016/679, il cosiddetto GDPR Omnibus, è entrato in una fase decisiva con la votazione degli emendamenti del Parlamento europeo alla proposta della Commissione COM(2025)0501.
La Riforma GDPR, presentata dalla Commissione Europea il 21 maggio 2025, mira a ridurre gli oneri burocratici per le imprese senza compromettere la tutela dei dati personali. Il provvedimento amplia le agevolazioni previste per le PMI anche a una nuova categoria di imprese: le small mid-cap enterprises (SMC), aziende con meno di 750 dipendenti che pur non essendo più PMI in senso stretto non dispongono della struttura tipica delle grandi imprese.
Il punto più controverso riguarda proprio la soglia di esenzione dall'obbligo di tenuta del ROPA. Attualmente, solo le imprese con meno di 250 dipendenti possono — in teoria — evitare la tenuta del registro delle attività di trattamento. La riforma eleva il limite a 750 dipendenti. Tuttavia, l'obbligo rimane per i trattamenti che possono comportare un alto rischio per i diritti e le libertà degli interessati.
Le tre istituzioni europee non convergono tuttavia su un testo unico. Il Parlamento europeo ha proposto di alzare la soglia a 1.000 dipendenti, adottando però un approccio più sofisticato in cui il registro resta obbligatorio per trattamenti ad alto rischio e, soprattutto, per le attività "core" che richiedono la designazione del DPO ai sensi dell'art. 37(1)(b)-(c) GDPR. Il Consiglio, invece, opta per una formula netta e business-oriented, con soglia a 1.000 dipendenti e obbligo di registro solo se, a seguito di assessment, il trattamento presenta un rischio elevato — una posizione più semplificatrice e meno "garantista" rispetto a quella parlamentare.
Un elemento di continuità trasversale alle tre posizioni è che l'esenzione non si applicherà alle pubbliche amministrazioni, come ministeri, agenzie pubbliche, comuni, università, scuole e altri enti pubblici.
Il tema non è affatto solo tecnico. Si tratta di un momento di definizione del modello europeo di accountability: alleggerimento numerico degli obblighi o rafforzamento sostanziale della governance documentale. L'esito inciderà direttamente sul perimetro dell'art. 30 GDPR, sulla tenuta del registro dei trattamenti e sul ruolo del DPO quale garante interno dell'equilibrio tra rischio, organizzazione e tutela dei diritti.
Dal punto di vista operativo, le imprese italiane devono ricordare che le ipotizzate esenzioni riguarderanno esclusivamente il perimetro soggettivo dell'obbligo: non incideranno sulla qualità del registro per chi rimane tenuto alla sua redazione. L'emendamento 97 al testo della proposta inserisce un obbligo esplicito di documentare la valutazione relativa all'esenzione e renderla accessibile alle Autorità Garanti Privacy, rafforzando la controllabilità. In altri termini: anche chi ritiene di poter fare a meno del registro dovrà documentare in modo verificabile le ragioni di tale scelta. L'accountability non scompare, si trasforma.
Sul piano del coordinamento con gli altri strumenti di compliance, il registro dei trattamenti deve essere letto in stretta correlazione con la DPIA (valutazione d'impatto sulla protezione dei dati), con il modello organizzativo ex D.Lgs. 231/2001, con il sistema di gestione della cybersicurezza ai sensi della normativa NIS2 e con il registro dei sistemi di IA ad alto rischio previsto dall'AI Act. Si tratta di strumenti che si alimentano reciprocamente: un registro dei trattamenti ben costruito, con l'indicazione delle misure di sicurezza adottate e dei trasferimenti verso paesi terzi, costituisce il punto di partenza naturale per la redazione della DPIA e per la mappatura dei rischi cyber nell'ambito NIS2. La Riforma GDPR, peraltro, rafforza il legame tra protezione dei dati e responsabilità amministrativa degli enti ex Decreto 231 del 2001, dato che numerosi reati legati al trattamento illecito dei dati o all'accesso abusivo a sistemi informatici rientrano tra i reati presupposto previsti dal D.Lgs. 231/01.
La redazione e il mantenimento di un registro dei trattamenti accurato, aggiornato e coerente con la realtà operativa dell'impresa non è quindi un adempimento isolabile: è l'asse portante attorno a cui si costruisce l'intera architettura della governance del dato. Ignorarlo, o ridurlo a un documento compilato una volta e poi dimenticato in un cassetto, espone le organizzazioni a rischi sanzionatori diretti e, soprattutto, alla impossibilità di dimostrare — quando conta — che i propri trattamenti sono stati condotti in modo lecito, corretto e trasparente.
Redazione - Staff Studio Legale MP
