← Indice pacchetto onboarding

Registro dei Trattamenti (art. 30 GDPR) — Gonzato Group

Pacchetto onboarding IT Gonzato · Fase P1 · Vendor & Compliance · v1 03/07/2026 · bozza da compilare in azienda

Scopo

Registro delle attività di trattamento ex art. 30 GDPR per il Gruppo. Obbligatorio e prerequisito per NIS 2 (governance dati + supply-chain). Con ~24 società su 5 continenti, il punto critico è la mappatura dei trasferimenti extra-UE: ogni flusso verso un paese terzo (fornitori cloud, filiali, PMS hospitality con datacenter fuori UE) richiede una base legale valida (decisione di adeguatezza o clausole contrattuali tipo — SCC).

Compilare intervistando i responsabili di funzione (HR, Vendite, Amministrazione, Marketing, IT) e incrociando con il registro fornitori (vendor-register.md) per identificare i responsabili del trattamento esterni.

Struttura minima richiesta dall'art. 30

Per ogni trattamento: finalità, categorie di interessati, categorie di dati, categorie di destinatari, trasferimenti extra-UE + garanzie, termini di cancellazione, misure di sicurezza. Il titolare è la singola società del Gruppo (verificare titolarità autonoma vs contitolarità post-split).

Tabella registro (pronta per Excel)

IDTrattamentoTitolare (società)DivisioneFinalitàBase giuridicaCategorie interessatiCategorie di datiDati particolari (art. 9)?Responsabile esternoDestinatariTrasferimento extra-UE?PaeseGaranzia (adeguatezza/SCC/BCR)ConservazioneMisure sicurezzaNote
T01Gestione dipendenti (HR/paghe)[società]CrossAdempimenti contratto lavoroContratto + obbligo legaleDipendentiAnagrafici, retributivi, presenze[Sì/No][studio paghe][enti previdenziali][Sì/No][paese][adeguatezza/SCC][durata legale][cifratura/accessi][note]
T02Gestione clienti B2B ferro/design[società]Ferro/DesignEsecuzione ordiniContrattoClienti/contattiAnagrafici, ordiniNo[CRM/ERP vendor][logistica][Sì/No][paese][garanzia][durata][misure][note]
T03Prenotazioni ospiti hospitality[struttura]HospitalityErogazione soggiornoContrattoOspitiAnagrafici, documento, pagamento[preferenze?][PMS/OTA vendor][OTA, PSP][paese datacenter PMS][SCC da verificare][durata][misure]Alto rischio extra-UE via OTA/PMS
T04Marketing / newsletter[società]CrossComunicazione promozionaleConsenso / legittimo interesseProspect/clientiEmail, preferenzeNo[mail platform][—][Sì/No][paese][SCC][fino a revoca][misure]Verificare consenso raccolto
T05Videosorveglianza sedi[società]CrossSicurezza beni/personeLegittimo interesseDipendenti, visitatoriImmaginiNo[manutentore impianto][vigilanza]NoUEN/A[24-72h/legge][accesso ristretto]Informativa affissa?
T06Fornitori e amministrazione[società]CrossGestione contabileObbligo legaleFornitori, contattiAnagrafici, fiscaliNo[commercialista/gestionale][Agenzia Entrate][Sì/No][paese][garanzia][10 anni][misure][note]

Trasferimenti extra-UE — focus (multi-country)

FlussoDa (società UE)Verso (paese)Fornitore/destinatarioBase trasferimentoDocumento in essere?Azione
[da compilare][società][paese terzo][vendor/filiale][Adeguatezza/SCC/BCR][Sì/No][Reperire/Firmare SCC]

Prossimi passi

  1. [da compilare: completare mappatura trattamenti per funzione]
  2. Incrociare responsabili esterni con vendor-register.md → verificare nomine ex art. 28 (DPA firmati)
  3. Isolare tutti i flussi extra-UE → verificare SCC/adeguatezza per ciascuno (priorità hospitality via OTA/PMS)
  4. Verificare titolarità post-split: contitolarità o titolari autonomi per società
  5. Definire se nominare DPO (valutare soglia + settore) — [da compilare]