Registro dei Trattamenti (art. 30 GDPR) — Gonzato Group
Pacchetto onboarding IT Gonzato · Fase P1 · Vendor & Compliance · v1 03/07/2026 · bozza da compilare in azienda
Scopo
Registro delle attività di trattamento ex art. 30 GDPR per il Gruppo. Obbligatorio e prerequisito per NIS 2 (governance dati + supply-chain). Con ~24 società su 5 continenti, il punto critico è la mappatura dei trasferimenti extra-UE: ogni flusso verso un paese terzo (fornitori cloud, filiali, PMS hospitality con datacenter fuori UE) richiede una base legale valida (decisione di adeguatezza o clausole contrattuali tipo — SCC).
Compilare intervistando i responsabili di funzione (HR, Vendite, Amministrazione, Marketing, IT) e incrociando con il registro fornitori (vendor-register.md) per identificare i responsabili del trattamento esterni.
Struttura minima richiesta dall'art. 30
Per ogni trattamento: finalità, categorie di interessati, categorie di dati, categorie di destinatari, trasferimenti extra-UE + garanzie, termini di cancellazione, misure di sicurezza. Il titolare è la singola società del Gruppo (verificare titolarità autonoma vs contitolarità post-split).
Tabella registro (pronta per Excel)
| ID | Trattamento | Titolare (società) | Divisione | Finalità | Base giuridica | Categorie interessati | Categorie di dati | Dati particolari (art. 9)? | Responsabile esterno | Destinatari | Trasferimento extra-UE? | Paese | Garanzia (adeguatezza/SCC/BCR) | Conservazione | Misure sicurezza | Note |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| T01 | Gestione dipendenti (HR/paghe) | [società] | Cross | Adempimenti contratto lavoro | Contratto + obbligo legale | Dipendenti | Anagrafici, retributivi, presenze | [Sì/No] | [studio paghe] | [enti previdenziali] | [Sì/No] | [paese] | [adeguatezza/SCC] | [durata legale] | [cifratura/accessi] | [note] |
| T02 | Gestione clienti B2B ferro/design | [società] | Ferro/Design | Esecuzione ordini | Contratto | Clienti/contatti | Anagrafici, ordini | No | [CRM/ERP vendor] | [logistica] | [Sì/No] | [paese] | [garanzia] | [durata] | [misure] | [note] |
| T03 | Prenotazioni ospiti hospitality | [struttura] | Hospitality | Erogazione soggiorno | Contratto | Ospiti | Anagrafici, documento, pagamento | [preferenze?] | [PMS/OTA vendor] | [OTA, PSP] | Sì | [paese datacenter PMS] | [SCC da verificare] | [durata] | [misure] | Alto rischio extra-UE via OTA/PMS |
| T04 | Marketing / newsletter | [società] | Cross | Comunicazione promozionale | Consenso / legittimo interesse | Prospect/clienti | Email, preferenze | No | [mail platform] | [—] | [Sì/No] | [paese] | [SCC] | [fino a revoca] | [misure] | Verificare consenso raccolto |
| T05 | Videosorveglianza sedi | [società] | Cross | Sicurezza beni/persone | Legittimo interesse | Dipendenti, visitatori | Immagini | No | [manutentore impianto] | [vigilanza] | No | UE | N/A | [24-72h/legge] | [accesso ristretto] | Informativa affissa? |
| T06 | Fornitori e amministrazione | [società] | Cross | Gestione contabile | Obbligo legale | Fornitori, contatti | Anagrafici, fiscali | No | [commercialista/gestionale] | [Agenzia Entrate] | [Sì/No] | [paese] | [garanzia] | [10 anni] | [misure] | [note] |
Trasferimenti extra-UE — focus (multi-country)
| Flusso | Da (società UE) | Verso (paese) | Fornitore/destinatario | Base trasferimento | Documento in essere? | Azione |
|---|---|---|---|---|---|---|
| [da compilare] | [società] | [paese terzo] | [vendor/filiale] | [Adeguatezza/SCC/BCR] | [Sì/No] | [Reperire/Firmare SCC] |
Prossimi passi
- [da compilare: completare mappatura trattamenti per funzione]
- Incrociare responsabili esterni con
vendor-register.md→ verificare nomine ex art. 28 (DPA firmati) - Isolare tutti i flussi extra-UE → verificare SCC/adeguatezza per ciascuno (priorità hospitality via OTA/PMS)
- Verificare titolarità post-split: contitolarità o titolari autonomi per società
- Definire se nominare DPO (valutare soglia + settore) — [da compilare]