← Torna a GDPR (Reg. UE 2016/679)
Ultimo aggiornamento: 17 Aprile 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Prassi e linee guida
  4. Casi pratici
  5. Domande frequenti
  6. Vedi anche
In sintesi
  • L'art. 30 GDPR impone registri delle attività di trattamento a titolari e responsabili.
  • Il registro è prima evidenza di accountability in ispezione.
  • Contenuto del titolare (par. 1): finalità, categorie, destinatari, trasferimenti, retention, sicurezza.
  • Contenuto del responsabile (par. 2): titolari per cui agisce, categorie di trattamenti, sicurezza.
  • Eccezione PMI (par. 5) di fatto limitata: si applica raramente.
  • Disponibilità all'Autorità di controllo su richiesta (par. 4).

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Articolo 30 del Regolamento (UE) 2016/679 (GDPR) — Registri delle attività di trattamento.

Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.

Commento

Logica del registro come strumento di accountability

L'art. 30 GDPR impone a titolari e responsabili di mantenere registri delle attività di trattamento. Il registro è strumento operativo di accountability: documenta in modo strutturato cosa si tratta, perché, con quali basi, per chi, dove, per quanto. È prima evidenza esibita in ispezione del Garante e prima risorsa per esercitare la governance privacy. Senza registro, l'accountability è destituita di fondamento; con registro inadeguato, l'organizzazione è in violazione. Le linee guida EDPB hanno chiarito che il registro è documento dinamico, da aggiornare ad ogni cambio di trattamento.

Registro del titolare (par. 1)

Il par. 1 elenca il contenuto del registro del titolare: nome e dati di contatto del titolare e, ove applicabile, del contitolare, del rappresentante del titolare e del DPO; finalità del trattamento; descrizione delle categorie di interessati e delle categorie di dati personali; categorie di destinatari, compresi quelli di paesi terzi o organizzazioni internazionali; trasferimenti verso paesi terzi o organizzazioni internazionali e relative garanzie; termini ultimi per la cancellazione delle diverse categorie di dati, ove possibile; descrizione generale delle misure di sicurezza ex art. 32, ove possibile.

Registro del responsabile (par. 2)

Il par. 2 fissa il contenuto del registro del responsabile, parzialmente sovrapponibile ma con specificità: nome e contatti del responsabile, di ogni titolare per conto del quale agisce, e del DPO; categorie di trattamenti effettuati per conto di ciascun titolare; trasferimenti verso paesi terzi con garanzie; descrizione generale delle misure di sicurezza. Il registro del responsabile riflette la sua posizione di processor: per ogni titolare cliente, i trattamenti svolti per suo conto.

Forma, lingua, accessibilità

I registri sono tenuti in forma scritta, anche elettronica. Le PMI tipicamente usano fogli di calcolo o software dedicati (privacy management tools). La struttura deve essere tale da consentire ricerca rapida per finalità, categoria di dati, base giuridica, sistemi coinvolti. Il registro va aggiornato ad ogni modifica: nuove finalità, nuovi destinatari, nuovi sub-responsabili, nuovi paesi terzi, nuove misure. La governance del registro è uno dei principali KPI del DPO.

Eccezione PMI (par. 5)

Il par. 5 prevede un'eccezione per PMI con meno di 250 dipendenti, salvo che il trattamento effettuato possa presentare un rischio per i diritti e le libertà dell'interessato, non sia occasionale o includa il trattamento di categorie particolari di dati ex art. 9 o di dati personali relativi a condanne penali ex art. 10. L'eccezione è di fatto poco operativa: la maggior parte delle PMI tratta dati con un certo rischio (HR, marketing, clienti) e dunque rientra nell'obbligo. L'EDPB raccomanda comunque la tenuta del registro come buona pratica.

Disponibilità all'autorità (par. 4)

Il par. 4 prevede che il registro sia messo a disposizione dell'Autorità di controllo su richiesta. È canale standard di prima verifica in ispezione: il Garante chiede il registro per identificare i trattamenti e valutare conformità. L'incapacità di esibire registro adeguato è red flag e si traduce in valutazione negativa. Le sanzioni del Garante hanno colpito titolari che hanno opposto registri sommari, fogli Excel obsoleti, mancanza di copertura di trattamenti rilevanti.

Regola pratica e checklist operativa

Compliance art. 30: (i) mappare tutti i trattamenti; (ii) software privacy management o foglio strutturato; (iii) review periodica del DPO; (iv) aggiornamento ad ogni modifica; (v) integrazione con DPIA, contratti art. 28, informative; (vi) preparazione per esibizione in ispezione. È il documento più richiesto.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.

Prassi e linee guida

Garante per la protezione dei dati personali

Leggi il documento su www.garanteprivacy.it

Casi pratici

Caso 1: Tizio: PMI senza registro

Tizio, PMI 30 dipendenti, tratta dati HR e clienti. Sostiene di rientrare nell'eccezione par. 5. Errato: tratta categorie particolari (salute lavoratori) e marketing non occasionale. Deve tenere registro.

Caso 2: Caio: cloud provider e registro

Caio, cloud provider, tiene registro del responsabile art. 30, par. 2: elenco titolari clienti, categorie di trattamenti per ciascuno, sub-processor, sicurezza.

Caso 3: Sempronio: PA con registro frammentato

Sempronio, PA, ha registri frammentati per uffici, senza vista unitaria. In ispezione, il Garante critica: serve registro consolidato con governance del DPO.

Caso 4: Commento applicativo

L'art. 30 è il registro di accountability. Software privacy management facilitano governance; fogli Excel sono ammessi ma fragili. La governance del registro è KPI del DPO.

Domande frequenti

Chi deve tenere il registro?

Tutti i titolari e responsabili, salvo eccezione del par. 5 (PMI <250 dipendenti, trattamenti occasionali e a basso rischio). L'eccezione è di fatto poco operativa.

Cosa contiene il registro?

Titolare (par. 1): finalità, categorie, destinatari, trasferimenti, retention, sicurezza. Responsabile (par. 2): titolari per cui agisce, categorie di trattamenti, sicurezza.

Posso usare un foglio Excel?

Sì, ma è soluzione fragile. Per organizzazioni complesse, privacy management tools facilitano governance, versioning, integrazione con DPIA.

Devo esibirlo al Garante?

Sì, su richiesta (par. 4). È prima evidenza di accountability in ispezione. Incapacità di esibire registro adeguato è red flag.

Come si tiene aggiornato?

Ad ogni modifica: nuove finalità, destinatari, sub-responsabili, paesi terzi, misure. Governance dinamica con review periodiche del DPO.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.