Checklist GDPR per un'azienda auditabile
Un audit GDPR non si regge su una sola privacy policy. Servono inventario trattamenti, contratti con responsabili, processo diritti degli interessati ed evidenze sulle misure di sicurezza.
Autore: Marco Zoratto, fondatore di Splnit.eu
Registro dei trattamenti
Il registro dei trattamenti è la mappa operativa dei dati personali. Per ogni attività registrate finalità, base giuridica, categorie di dati, destinatari, tempi di conservazione e trasferimenti fuori UE.
Il punto debole più comune è una lista strumenti non aggiornata. CRM, analytics, helpdesk, contabilità e sistemi HR cambiano più spesso della documentazione legale.
- Dati clienti e CRM
- HR e paghe
- Strumenti marketing
- Analytics e supporto
Responsabili e sicurezza
Ogni fornitore importante che tratta dati personali deve avere un rapporto documentato: contratto, DPA, descrizione sicurezza e idealmente una revisione periodica del rischio.
I controlli di sicurezza dovrebbero coprire MFA, diritti di accesso, backup, incident response e cifratura dove coerente col rischio del trattamento.
Incidenti e 72 ore
In un incidente sui dati personali il tempo conta. Servono log, decisione sull'obbligo di notifica, lista dei dati coinvolti e un modello di comunicazione pronto per l'autorità privacy.
Panoramica normativa correlata
Apri panoramica: GDPR →Trasforma la checklist GDPR in registri ed evidenze
Mantieni trattamenti, responsabili, DPIA e incidenti come record vivi collegati a sistemi e owner.
Apri la panoramica GDPR