Salta al contenuto
Guida

Registro dei trattamenti GDPR: template Excel per PMI italiane

Template Excel per il registro delle attività di trattamento ex art. 30 GDPR: anagrafica del titolare, trattamenti tipici di una PMI, responsabili esterni con alert sui DPA mancanti e riepilogo automatico.

SynSphere Italia

C’è un documento che un’autorità di controllo chiede per primo in caso di ispezione e che i clienti più strutturati pretendono di vedere prima di affidare i propri dati a un fornitore: il registro delle attività di trattamento, previsto dall’articolo 30 del GDPR. Sulla carta è un elenco ordinato: chi tratta dati personali in azienda, perché, con quale base giuridica, per quanto tempo e con quali protezioni. Nella pratica è la fotografia che dimostra se un’azienda ha il controllo dei propri dati oppure no.

Molte PMI italiane sono convinte di esserne esonerate perché l’obbligo formale scatta sopra i 250 dipendenti. L’esenzione, però, non si applica quando il trattamento è non occasionale, presenta rischi per gli interessati o riguarda categorie particolari di dati — e basta gestire le paghe dei dipendenti, con le assenze per malattia che ne derivano, per rientrarci. La posizione espressa dal Garante va in questa direzione: nella pratica il registro riguarda quasi tutte le aziende. Il caso specifico va verificato con il proprio consulente privacy o con il DPO, ma aspettare un’ispezione per scoprirlo non è una strategia.

Il problema vero, del resto, non è l’obbligo: è che il registro viene percepito come burocrazia e rimandato, finché una richiesta — di un cliente enterprise, di un’assicurazione, di un auditor — non lo rende urgente. Questa guida propone un template Excel scaricabile che struttura il registro in versione titolare, con esempi realistici da adattare. Fa parte della serie “Template Excel per PMI” di SynSphere.

Scarica il template

Scarica il template “Registro dei trattamenti GDPR” (.xlsx)

Il file è pre-popolato con dodici trattamenti tipici di una PMI italiana — dalle paghe alla videosorveglianza, dal CRM all’helpdesk — e otto responsabili esterni d’esempio, così da mostrare subito come funzionano menu a tendina, evidenze colorate e conteggi automatici.

Una premessa doverosa: compilare un file Excel non rende conformi al GDPR. Il registro è un documento di accountability: serve a mappare i trattamenti e a far emergere le lacune — contratti mancanti con i fornitori, basi giuridiche da verificare, trasferimenti extra-UE senza garanzie. Per le valutazioni legali serve un professionista; il template serve ad arrivarci con il lavoro preparatorio già fatto.

Perché partire da un template

L’articolo 30 elenca con precisione il contenuto minimo del registro. Un foglio costruito da zero rischia di dimenticare colonne obbligatorie, oppure di riempirle in modo incoerente da una riga all’altra. Il template risolve tre problemi concreti:

  • la struttura è già quella giusta: le colonne ricalcano il contenuto richiesto dall’articolo 30, paragrafo 1;
  • i valori critici sono guidati: base giuridica, dati particolari, trasferimenti extra-UE e stato del DPA si scelgono da menu a tendina, così i conteggi del riepilogo restano sempre corretti;
  • gli esempi mostrano il livello di dettaglio adeguato: né il generico “gestione dati clienti”, né il censimento maniacale di ogni singolo file.

Cosa contiene il template

Il workbook ha cinque fogli: una copertina di istruzioni con i riferimenti normativi essenziali e quattro fogli operativi.

Foglio 1 — Anagrafica

Raccoglie i dati del titolare del trattamento (ragione sociale, sede, contatti, legale rappresentante) e le tre figure da censire solo se esistono: i contitolari quando il trattamento avviene insieme ad altri titolari (articolo 26), il DPO se nominato e il rappresentante nell’UE per i titolari extraeuropei (articolo 27). Note a margine ricordano quando ogni sezione è davvero applicabile: la nomina del DPO, ad esempio, è obbligatoria solo nei casi previsti dall’articolo 37, e molte PMI non vi rientrano — anche qui, nel dubbio, conferma con il consulente.

Foglio 2 — Registro trattamenti titolare

È il cuore del template: una riga per ogni processo che tratta dati personali, tredici colonne per descriverlo. Oltre a ID, nome dell’attività e finalità, trovi base giuridica, categorie di interessati, categorie di dati, presenza di dati particolari (articolo 9), destinatari, eventuale trasferimento extra-UE con relative garanzie, termine di cancellazione, misure di sicurezza e sistemi utilizzati.

Le dodici righe d’esempio coprono i trattamenti che quasi ogni PMI ha, anche senza saperlo: amministrazione del personale e paghe, gestione clienti e CRM, fatturazione e contabilità, videosorveglianza della sede, form di contatto e statistiche del sito web, newsletter, gestione fornitori, selezione del personale, log di sicurezza informatica, salute e sicurezza sul lavoro, rilevazione presenze, assistenza clienti.

Due meccanismi guidano la compilazione. La colonna della base giuridica accetta solo le sei basi dell’articolo 6 (consenso, contratto, obbligo legale, interesse legittimo, interesse vitale, interesse pubblico), scelte da menu a tendina. E quando segni “Sì” su dati particolari o su trasferimento extra-UE, la cella si evidenzia in giallo: non è un errore, è un punto che merita attenzione — misure rafforzate nel primo caso, garanzie adeguate (come le clausole contrattuali standard) nel secondo.

Foglio 3 — Responsabili esterni

Ogni fornitore che tratta dati per tuo conto — studio paghe, commercialista, hosting del sito, piattaforma di email marketing, fornitore IT — è un responsabile del trattamento ai sensi dell’articolo 28 e va vincolato con un contratto o altro atto giuridico, il cosiddetto DPA. Il foglio li censisce uno per riga: servizio svolto, dati trattati, sede dei dati e una colonna decisiva, Contratto/DPA firmato. Se la risposta è “No”, la cella diventa rossa.

Negli esempi, due fornitori sono volutamente in rosso: è la lacuna più frequente che incontriamo nelle PMI, soprattutto con web agency e fornitori storici dove il rapporto è nato a voce molto prima del GDPR.

Conteggi automatici, nessuna compilazione richiesta: trattamenti censiti, quanti con dati particolari, quanti con trasferimenti extra-UE, responsabili esterni censiti e — in rosso se maggiore di zero — DPA mancanti da firmare. Sotto, la distribuzione dei trattamenti per base giuridica: in un colpo d’occhio vedi se il consenso sta facendo da jolly dove non dovrebbe. Ogni indicatore è una formula live sui fogli precedenti e si aggiorna a ogni modifica.

Come usarlo, passo per passo

  1. Compila l’anagrafica. Cinque minuti per i dati del titolare; le sezioni su contitolari, DPO e rappresentante UE si compilano solo se applicabili.
  2. Mappa i processi, non i sistemi. Parti dalle dodici righe di esempio e intervista chi gestisce amministrazione, HR, commerciale e IT. La domanda giusta non è “che software usiamo?” ma “in quali attività trattiamo dati di persone?”. Per la colonna dei sistemi e applicativi aiuta avere accanto un inventario degli asset IT aggiornato.
  3. Censisci i fornitori. Una riga per ogni soggetto esterno che tocca dati personali per tuo conto, con i contratti alla mano: il DPA esiste davvero o è sempre stato dato per scontato?
  4. Leggi il riepilogo e risolvi i rossi. I DPA mancanti sono la criticità più rapida da sanare: spesso basta chiedere al fornitore il suo modello standard. Le evidenze gialle (dati particolari, trasferimenti extra-UE) vanno invece discusse con il consulente.
  5. Mantieni vivo il registro. Riesame almeno annuale e a ogni nuovo trattamento, software o fornitore. Un registro fermo a una versione superata è quasi peggio di nessun registro: dimostra che l’adempimento è stato trattato come una tantum.

Gli errori più comuni

Lasciare gli esempi così come sono

Le dodici righe sono un punto di partenza, non un registro pronto. Un documento fotocopia, identico a quello di mille altre aziende, si smonta alla prima domanda di un auditor: finalità, termini di cancellazione e misure di sicurezza devono descrivere la tua azienda.

Usare il consenso come base giuridica universale

Le paghe si fondano sull’obbligo legale, il CRM sul contratto, la videosorveglianza sull’interesse legittimo. Il consenso è la base corretta in pochi casi — newsletter, cookie non tecnici — ed è anche la più fragile, perché revocabile in ogni momento. Se nel riepilogo il consenso domina, è un segnale da approfondire.

Dimenticare i trattamenti non digitali

Videosorveglianza, archivi cartacei, sorveglianza sanitaria, registro visitatori in portineria: il GDPR non riguarda solo il software, e sono proprio queste le voci che mancano più spesso.

Confondere destinatari e responsabili

Il consulente del lavoro che riceve i dati delle presenze è un destinatario nel registro, ma è anche un responsabile esterno: va censito in entrambi i fogli, con il suo DPA. La doppia vista del template serve esattamente a non perdere il filo.

Dichiarare misure di sicurezza che non esistono

Scrivere “cifratura, MFA, backup” fa bella figura, ma il registro è una dichiarazione: se le misure indicate non corrispondono alla realtà, in caso di violazione il documento gioca contro. Meglio fotografare lo stato vero e pianificare i miglioramenti, formalizzandoli in una policy di sicurezza informatica che impegni davvero l’azienda.

Quando il foglio non basta più

Tre segnali indicano che il file Excel ha esaurito il suo compito.

Volume e collaborazione. Con decine di trattamenti, più sedi o più persone che aggiornano il documento, servono versioning, permessi e tracciabilità delle modifiche. Il passaggio minimo è spostare il registro su SharePoint con cronologia delle versioni e accessi profilati — funzionalità già incluse in Microsoft 365, senza acquistare nulla di nuovo. Per classificare e proteggere i documenti che il registro censisce, il passo successivo sono le etichette di riservatezza di Microsoft Purview: il nostro tutorial sulle sensitivity labels mostra come partire.

Le misure vanno implementate, non solo scritte. Il registro elenca MFA, accessi profilati, cifratura, protezione degli endpoint: prima o poi qualcuno deve configurarle e presidiarle davvero. Per una PMI senza team di sicurezza interno, un servizio di cyber security gestita copre esattamente questo spazio: trasformare le dichiarazioni del registro in controlli attivi e monitorati.

Il GDPR non è più solo. Per molte PMI gli obblighi privacy si intrecciano ormai con NIS2, DORA e AI Act, e il registro diventa una delle evidenze di un quadro più ampio: la nostra guida alla compliance IT per le PMI aiuta a orientarsi tra i diversi adempimenti senza duplicare il lavoro.

Cosa fare adesso

  1. Scarica il template e compila l’anagrafica del titolare.
  2. Adatta le dodici righe di esempio alla tua realtà, intervistando le funzioni aziendali: meglio un registro corto e vero che uno lungo e copiato.
  3. Censisci i fornitori e verifica i DPA: le celle rosse del riepilogo sono la prima cosa da sanare.
  4. Fai validare il risultato dal consulente privacy o dal DPO: il template prepara il lavoro, la conformità la valuta un professionista.
  5. Metti in calendario il riesame periodico, almeno annuale, insieme alla revisione di fornitori e applicativi.

Per un assessment delle misure di sicurezza e protezione dati sul tuo stack Microsoft — dalla MFA alle etichette di riservatezza, fino al monitoraggio gestito — contattaci: valutazione gratuita iniziale e piano d’azione concreto.

Tag

Prodotti SynSphere correlati

I prodotti del catalogo SynSphere richiamati in questo articolo.

Potrebbe interessarti anche

Articoli correlati per argomento e categoria editoriale.

Hai bisogno di un consiglio sul tuo scenario?

L'articolo ti ha dato spunti utili ma vuoi confrontarti con un esperto sul tuo specifico contesto aziendale? Discovery iniziale gratuita, senza impegno.

Contattaci