GDPR Audit Interno: Template e Checklist per PMI 2026
Il GDPR non è un progetto che si chiude: è un processo continuo. L'audit interno è lo strumento per verificare che la compliance non sia rimasta sulla carta. Ecco come condurlo senza impazzire.
Cybersecurity & Compliance Specialist presso BullTech Informatica
Perché Serve un Audit GDPR Interno
Molte PMI hanno adeguato la documentazione al GDPR nel 2018 e poi non l'hanno più toccata. Otto anni dopo, quei documenti non riflettono più la realtà: nuovi software, dipendenti che usano strumenti non autorizzati, fornitori cambiati, trattamenti mai mappati.
L'audit interno serve a fotografare lo stato attuale della compliance e a identificare i gap prima che lo faccia il Garante Privacy — o peggio, un data breach.
Dato chiave: nel 2025, il Garante italiano ha comminato sanzioni per oltre 30 milioni di euro. Le PMI rappresentano il 40% dei destinatari.
Checklist Audit GDPR: 20 Punti di Verifica
Documentazione (Punti 1-7)
- Registro dei Trattamenti aggiornato (Art. 30)
- Informative privacy (clienti, dipendenti, fornitori) allineate ai trattamenti reali
- Contratti con i Responsabili del Trattamento (Art. 28) firmati e aggiornati
- DPIA (Valutazione d'Impatto) eseguita per trattamenti ad alto rischio
- Nomina DPO documentata (se obbligatoria)
- Policy interna protezione dati comunicata a tutti i dipendenti
- Registro data breach (anche se vuoto) con procedura di notifica
Misure Tecniche (Punti 8-14)
- Crittografia dei dati personali a riposo e in transito
- Controllo accessi basato su ruoli (RBAC) attivo
- Backup dei dati personali con test di ripristino periodici
- Log degli accessi ai dati personali attivi e conservati (min. 6 mesi)
- Antivirus/EDR aggiornato su tutti gli endpoint
- Patch management automatico per sistemi con dati personali
- Segmentazione di rete per isolare i sistemi con dati sensibili
Misure Organizzative (Punti 15-20)
- Formazione privacy per tutti i dipendenti (documentata con firma)
- Procedura per gestione richieste diritti interessati (accesso, cancellazione, portabilità)
- Procedura di data breach: chi fa cosa, entro quando, come si notifica
- Revisione autorizzazioni di accesso: utenti cessati rimossi, permessi rivisti
- Inventario dei sub-responsabili (fornitori cloud, SaaS, servizi esterni)
- Verifica trasferimenti extra-UE: clausole contrattuali standard aggiornate
I 5 Gap Più Comuni che Troviamo nelle PMI
- Registro Trattamenti obsoleto: non include gli strumenti adottati negli ultimi 2-3 anni (Teams, CRM cloud, marketing automation)
- Contratti Art. 28 mancanti: il fornitore SaaS è cambiato ma il contratto di responsabile del trattamento non è stato aggiornato
- Log accessi assenti: il Provvedimento del Garante 2008 richiede log degli admin, ma molte PMI non li raccolgono
- Formazione non documentata: la formazione è stata fatta ma non ci sono registri di partecipazione firmati
- Procedura data breach inesistente: nessuno sa chi chiamare e cosa fare nelle prime 72 ore dopo un incidente
Piano di Remediation: Dalla Checklist all'Azione
Una volta completata la checklist, i gap vanno classificati per priorità:
| Priorità | Tipo | Tempistica |
|---|---|---|
| Critica | Dati esposti, log mancanti, nessuna procedura breach | Entro 2 settimane |
| Alta | Registro obsoleto, contratti Art. 28 mancanti | Entro 1 mese |
| Media | Formazione da documentare, informative da aggiornare | Entro 3 mesi |
| Bassa | Ottimizzazioni, miglioramenti non urgenti | Entro 6 mesi |
BullTech supporta le PMI con consulenza GDPR completa: dall'audit iniziale al piano di remediation, fino alla gestione continuativa della compliance con supporto DPO esterno.
Come Condurre l'Audit: 5 Passi Pratici
- Preparazione (1 settimana): raccogliere tutta la documentazione esistente, identificare i referenti interni per ogni area
- Interviste (1-2 settimane): parlare con i responsabili di reparto per capire quali dati trattano e con quali strumenti
- Verifica tecnica (1 settimana): controllo dei sistemi IT, log, backup, crittografia, accessi
- Analisi e reportistica (1 settimana): compilare la checklist, classificare i gap, redigere il report
- Piano di azione (1 settimana): definire le priorità, assegnare le responsabilità, stabilire le scadenze
Totale: circa 4-6 settimane per una PMI di 20-50 dipendenti. Con il supporto di un consulente esperto si dimezzano i tempi e si evitano errori.
Domande Frequenti
Ogni quanto va fatto un audit GDPR interno?
Almeno una volta all'anno, come raccomandato dal Garante Privacy. In caso di cambiamenti significativi (nuovi trattamenti, data breach, cambi organizzativi) va eseguito anche prima della scadenza annuale.
Chi deve condurre l'audit GDPR interno?
Idealmente il DPO (se nominato) o un team interno con competenze privacy e IT. Per le PMI senza DPO, è consigliabile affidarsi a un consulente esterno che garantisce imparzialità e competenza aggiornata.
Quali documenti sono obbligatori per il GDPR?
I documenti essenziali sono: Registro dei Trattamenti (Art. 30), informative privacy (Art. 13-14), DPIA per trattamenti ad alto rischio (Art. 35), accordi con responsabili del trattamento (Art. 28), procedure per data breach (Art. 33-34) e policy interne sulla protezione dati.
Quanto costa un audit GDPR per una PMI?
Un audit GDPR interno semplificato può essere condotto internamente con costi minimi. Un audit professionale esterno per una PMI con 20-50 dipendenti costa tra 2.000 e 5.000 euro, a seconda della complessità dei trattamenti.
Cosa rischia un'azienda che non fa audit GDPR?
Le sanzioni GDPR arrivano fino a 20 milioni di euro o il 4% del fatturato globale. Ma il rischio reale per le PMI è la sanzione del Garante (mediamente 50.000-200.000 euro) più il danno reputazionale in caso di data breach non gestito.