Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
26/09/2025
Per rispettare il GDPR, se gestisci un sito web oppure un ecommerce devi possedere un registro dei trattamenti. Il registro dei trattamenti è così importante che l’8 settembre 2018 il Garante Privacy ha pubblicato delle FAQ che hanno spiegato come redigere questo documento richiesto dal GDPR.
Le FAQ sono pensate anche per i siti web ed ecommerce. Questo perchè il registro dei trattamenti mappa il modo di trattare i dati personali degli utenti.
E’ quindi un documento che deve essere sempre redatto dai titolari di siti web e siti di commercio elettronico.
La presente guida è stata pubblicata poco dopo la pubblicazione delle FAQ del Garante Privacy.
Il documento si è poi arricchito con le risposte alle domande pervenute negli ultimi due anni al nostro Team di legali, tutti avvocati esperti in privacy e diritto digitale.
Vuoi rimanere aggiornato sulle novità legali del mondo e-commerce e digitale? Seguici sui nostri gruppi social: Facebook, YouTube e LinkedIn!
SOMMARIO
Cos'è il registro dei trattamenti. Chi deve redigerlo
Molte App per generare il registro dei trattamenti non sono corrette
Il contenuto del registro dei trattamenti
Quanti registri dei trattamenti deve avere una web agency?
Modelli semplificati di registro dei trattamenti
Ogni quanto aggiornare il registro dei trattamenti
Come redigere il registro dei trattameni con LegalBlink
FAQ 2025
Il Registro è compreso in tutti i pacchetti di LegalBlink
Il registro dei trattamenti “mappa” le operazioni di trattamento dei dati personali effettuate dal titolare del trattamento e dal responsabile del trattamento, se presente.
Ricordiamo che il titolare del sito web agisce in qualità di titolare del trattamento (in quanto decide i mezzi e le finalità del trattamento).
Diversamente, la web agency (che tratta i dati personali dei clienti del sito web), agisce in qualità di responsabili del trattamento.
Ciò posto, vi sono ambiti dove anche la web agency può agire anche come titolare del trattamento.
Ciò avviene quando tratta, per esempio, i dati personali dei suoi dipendenti o consulenti. Pertanto, la web agency deve redigere due registri del trattamento, uno in qualità di responsabile, l’altro in qualità di titolare del trattamento.
Il registro dei trattamenti deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
La forma più comune di conservazione del registro dei trattamenti è un foglio excel.
In particolare, sono obbligati a redigere il registro dei trattamenti i titolari di siti web (e-commerce o “vetrina”) e le web agency:
a. con almeno 250 dipendenti
b. che effettuano trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’utente.
c. che effettuino trattamenti non occasionali.
Quale sito web o web agency tratta dati personali in modo occasionale? Probabilmente solamente il sito che è stato aperto e chiuso in pochi giorni.
Pertanto, se il sito web è online, è necessario dotarsi di un registro dei trattamenti.
Stesso discorso vale per la web agency. Se una web agency è operativa e tratta i dati personali dei clienti del sito web, deve dotarsi di un registro dei trattamenti.
Quanto sopra ci fa capire che il registro dei trattamenti serve praticamente sempre.
L’unica esclusione in ambito digitale può riguardare il sito rimasto offline e che, pertanto, non tratta dati personali degli utenti.
Il GDPR ha rappresentato una importante novità in ambito digitale ed ecommerce. Purtroppo è stata l’occasione per proporre servizi non sempre necessari per rispettare il Regolamento. Servizi molto spesso costosi o non riferiti alla concreta situazione del singolo sito web.
Questo è avvenuto anche per il registro dei trattamenti.
Infatti, su internet si possono vedere molti servizi che, con quanto stabilito dalle FAQ del Garante Privacy, c’entrano poco o nulla.
Molto spesso sono app per generare il registro dei trattamenti complesse e difficile da usare.
Come avrai invece modo di scoprire in questo articolo, generare il registro dei trattamenti per la tua attività può essere facile e veloce!
Il registro dei trattamenti deve contenere sempre almeno le seguenti informazioni:
Quali sono le tipiche finalità di trattamento per un sito di ecommerce o un sito web?
Di solito sono (almeno) queste:
(i) esecuzione del contratto;
(ii) adempimento di obblighi di legge (contabili e amministrativi);
(iii) customer care;
(iv) difesa in giudizio (eh sì, a volte gli utenti del sito possono fare causa …).
Inoltre, è necessario indicare nel registro dei trattamenti la base giuridica del trattamento, che in ambito digitale ed e-commerce può essere:
a. il consenso dell’utente (ad esempio, rilasciato per ricevere newsletter dal Merchant)
b. l’esecuzione di un contratto (l’ordine di acquisto)
c. l’adempimento di un obbligo di legge (si pensi a tutti gli obblighi fiscali che gravano sul Merchant …)
d. il legittimo interesse (ad esempio, per rispondere alle richieste dell’utente pervenute tramite il sito). Il Garante Privacy ha suggerito di indicare una descrizione del legittimo interesse concretamente perseguito.
Per “interessato” si deve intendere l’utente del sito web.
Per il sito di commercio elettronico è anche il cliente o potenziale cliente.
Le categorie di dati personali sono quelli conferiti direttamente sul sito. Ad esempio:
a. dati anagrafici
b. indirizzo di residenza
c. codice fiscale
d. email.
I destinatari possono essere indicati anche semplicemente per categoria di appartenenza.
Sono quei soggetti ai quali vengono comunicati i dati personali degli utenti del sito web.
Tra questi soggetti possono figurare:
a. lo spedizioniere
b. il commercialista
c. la web agency
d. le autorità pubbliche, su loro richiesta.
E’ molto frequente che un sito web trasferisca dati personali fuori dall’Unione europea.
Molto spesso, ciò accade senza saperlo. O senza prestarci particolare attenzione.
Stesso discorso vale per la web agency. Molto spesso i dati sono conservati in server allocati fuori dall’Unione europea.
Un tipico esempio? Sito web oppure sito di ecommerce che utilizza una società americana per l’invio di newsletter: 9 volte su 10 la piattaforma che ospita i dati personali degli utenti (le email) è allocata su server statunitensi: questo significa che i dati personali vengono trasferiti in USA per essere trattati al fine dell’invio di newsletter.
Ebbene, se i dati personali degli utenti sono conservati presso server allocati fuori dall’Unione europea, questa è una informazione da inserire nel registro dei trattamenti.
Medesimo discorso vale se i dati vengono comunicati a soggetti fuori dall’UE: informazione da indicare nel registro del trattamento.
Il registro dei trattamenti deve indicare anche le misure di sicurezza applicate.
Le misure possono essere descritte in forma riassuntiva e sintetica.
L’importante è fornire un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte. E’ possibile anche fare rinvio a documenti esterni che descrivano in modo dettagliato le misure di sicurezza implementate (es. procedure organizzative interne; security policy ecc.).
Verso i propri clienti, la web agency agisce in qualità di responsabile del trattamento.
Ebbene, quanti registri dei trattamenti deve possedere la web agency? Uno per ogni cliente?
Sotto questo profilo, il Garante Privacy ha chiarito che il responsabile del trattamento deve avere tante sezioni del registro dei trattamenti per quanti sono i titolari del trattamento (clienti della web agency.)
Se, a causa dell’ingente numero di titolari per cui si operi, l’attività di puntuale indicazione e di continuo aggiornamento dei nominativi degli stessi nonché di correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile può riportare il rinvio, ad es., a schede o banche dati anagrafiche siti web, contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste per la corretta compilazione del registro.
Cliccando qui puoi visionare il modello semplificato di registro dei trattamenti predisposto dal Garante Privacy per il titolare del trattamento.
Mentre in questa pagina accedi al modello di registro dei trattamenti per il responsabile (es.: la web agency).
Questi modelli di registro dei trattamenti rappresentano una utile “traccia” per qualsiasi sito web o web agency.
Non si può ovviamente mai prescindere dal caso concreto. Inoltre, è sempre meglio farsi assistere da un professionista competente in grado di aiutare la web agency e il titolare del sito web nella corretta compilazione di questo registro.
Anche la gestione del registro dei trattamenti è più semplice di quanto si possa pensare.
Infatti, il registro dei trattamenti deve essere modificato quando si modificano uno o più degli elementi in esso indicati.
Pertanto, è molto importante conservare nel tempo le diverse versioni del registro. Ciò anche per dimostrare al Garante Privacy di aver monitorato nel tempo la gestione della privacy.
In ogni caso suggeriamo di effettuare un check al registro dei trattamenti almeno 1 volta all'anno, possibilmente con l'assistenza di un avvocato esperto in privacy digitale.
Con LegalBlink puoi generare il registro dei trattamenti in modo facile e intuitivo. Infatti, in ogni pacchetto è stato inserito il template per poter generare:
Di seguito rispondiamo alle domande più frequenti alle quali i nostri avvocati hanno risposto nel corso di quest'anno.
Se utilizzi chatbot o sistemi AI che trattano dati personali (es. assistenza clienti, profilazione, raccomandazioni di prodotto), devi documentare: finalità, tipologie di dati trattati, logiche utilizzate e misure di mitigazione dei rischi (es. anonimizzazione o pseudonimizzazione).
Sì, anche se agiscono come responsabili del trattamento. Nel registro vanno riportati i fornitori di servizi di hosting o cloud, la localizzazione dei server e l’eventuale adesione a meccanismi di trasferimento internazionale (es. Data Privacy Framework).
Sì, perché questi trattamenti hanno finalità e basi giuridiche diverse da quelle commerciali o di marketing. Un titolare che gestisce sia un e-commerce sia personale dipendente deve predisporre almeno due sezioni distinte nel registro.
Non è espressamente imposto dal GDPR, ma è fortemente consigliato. Conservare le versioni precedenti dimostra un monitoraggio continuo e può facilitare la difesa in caso di ispezioni o contestazioni.
Non servono dettagli tecnici (che potrebbero costituire un rischio di sicurezza), ma una descrizione di alto livello: es. “backup giornalieri”, “autenticazione a due fattori”, “cifratura dei dati a riposo e in transito”. Eventuali documenti tecnici di dettaglio possono essere tenuti separati e citati come allegati.
No, il registro è un documento “interno”, da esibire solo al Garante o, su richiesta, agli interessati. Tuttavia, è utile predisporre versioni semplificate o estratti per i team interni, così da formare il personale sulle corrette modalità di trattamento dei dati.
Sì, molti professionisti suggeriscono di mantenere un unico sistema documentale integrato. In pratica, lo stesso file o software può contenere il registro dei trattamenti, le valutazioni d’impatto (DPIA) e la sezione dedicata alla gestione dei data breach, per facilitare la compliance.
Con LegalBlink non devi preoccuparti di costi aggiuntivi: tutti i nostri pacchetti includono già il registro dei trattamenti, conforme al GDPR e pronto per essere utilizzato dal tuo sito web o e-commerce.
Se la tua attività presenta esigenze particolari (ad esempio trattamenti complessi, uso di sistemi di intelligenza artificiale o trasferimenti extra-UE), puoi contare sulla consulenza diretta dei nostri avvocati. Tempi rapidi, preventivi chiari e un livello di competenza che solo LegalBlink è in grado di garantire, grazie a un team specializzato nel diritto digitale e nella privacy.
Team LegalBlink