{"id":1811,"date":"2022-03-02T15:33:00","date_gmt":"2022-03-02T14:33:00","guid":{"rendered":"https:\/\/brentasoft.com\/blog\/gdpr-audit-checklist-dpia-pmi-30-giorni-2022\/"},"modified":"2022-03-02T15:33:00","modified_gmt":"2022-03-02T14:33:00","slug":"gdpr-audit-checklist-dpia-pmi-30-giorni-2022","status":"publish","type":"post","link":"https:\/\/brentasoft.com\/blog\/gdpr-audit-checklist-dpia-pmi-30-giorni-2022\/","title":{"rendered":"GDPR audit PMI 2022: checklist completa e DPIA in 30 giorni"},"content":{"rendered":"<p>Il <strong>GDPR (Regolamento UE 2016\/679)<\/strong> e&#8217; applicabile da maggio 2018, eppure a quasi quattro anni di distanza la fotografia delle PMI italiane resta preoccupante. Nel solo 2021 il <strong>Garante per la Protezione dei Dati Personali<\/strong>, guidato dal presidente Pasquale Stanzione, ha emesso oltre 700 provvedimenti sanzionatori, e una quota rilevante ha colpito piccole e medie imprese: RoPA mancante, informative copia-incollate da generatori online, cookie banner non conformi alle linee guida del 10 giugno 2021, nessuna procedura di gestione data breach.<\/p>\n<p>L&#8217;errore piu&#8217; comune e&#8217; considerare il GDPR un adempimento &#8220;una tantum&#8221; da chiudere con un fascicolo cartaceo. In realta&#8217; il Regolamento e il <strong>Codice Privacy aggiornato dal D.Lgs. 101\/2018<\/strong> (che ha modificato il vecchio D.Lgs. 196\/2003) impongono un approccio di <em>accountability<\/em> continua: dimostrare la conformita&#8217; attraverso processi, evidenze, revisioni periodiche. In questa guida operativa raccogliamo la <strong>checklist di audit GDPR<\/strong> che usiamo nei progetti di compliance per PMI italiane, con focus su 7 aree critiche, sulla <strong>DPIA (Data Protection Impact Assessment)<\/strong> ai sensi dell&#8217;Art. 35 e su una <strong>roadmap di 30 giorni<\/strong> per chiudere l&#8217;audit senza paralizzare l&#8217;operativita&#8217;.<\/p>\n<div style=\"background:#f0f9ff;border-left:4px solid #0ea5e9;padding:20px;margin:25px 0;border-radius:4px;\">\n<p style=\"margin:0 0 10px 0;font-weight:700;color:#0c4a6e;\">TL;DR &mdash; In 30 secondi<\/p>\n<ul style=\"margin:0;padding-left:22px;\">\n<li>L&#8217;audit GDPR si articola in 7 aree: RoPA, basi giuridiche, informative, diritti interessati, data breach, trasferimenti extra-UE, misure tecniche.<\/li>\n<li>La DPIA e&#8217; obbligatoria nei casi dell&#8217;Art. 35 + WP248 (9 criteri EDPB): non e&#8217; opzionale, e per molte PMI scatta su HR, videosorveglianza, marketing profilato.<\/li>\n<li>Dopo Schrems II (luglio 2020) e i provvedimenti CNIL Austria del 12 gennaio 2022 e CNIL Francia del 10 febbraio 2022, l&#8217;uso di Google Analytics Universal e&#8217; a forte rischio: serve TIA documentato.<\/li>\n<li>Una roadmap realistica chiude l&#8217;audit in 30 giorni: settimana 1 mappatura, settimana 2 gap analysis, settimana 3 remediation, settimana 4 nomine, formazione, evidenze.<\/li>\n<li>Sanzioni medie 2021: da poche migliaia di euro per PMI a centinaia di milioni (Amazon Lussemburgo 746 milioni, WhatsApp Ireland 225 milioni, Google Francia 50 milioni). Il rischio reputazionale spesso supera quello monetario.<\/li>\n<\/ul>\n<\/div>\n<h2>GDPR non e&#8217; paura burocratica: e&#8217; un processo continuo<\/h2>\n<p>Il primo riposizionamento culturale che proponiamo ai clienti PMI e&#8217; smettere di trattare il GDPR come una &#8220;scartoffia&#8221; da archiviare. Il Regolamento si fonda sui sei principi dell&#8217;<strong>Art. 5<\/strong> (liceita&#8217;, correttezza, trasparenza; limitazione della finalita&#8217;; minimizzazione; esattezza; limitazione della conservazione; integrita&#8217; e riservatezza) e su un settimo principio trasversale, l&#8217;<strong>accountability<\/strong>: il titolare non deve solo rispettare le regole, deve <em>poter dimostrare<\/em> di rispettarle. Non basta aver scritto un&#8217;informativa: serve mostrare quando e&#8217; stata aggiornata, chi l&#8217;ha redatta, come viene consegnata. Non basta dichiarare di applicare misure di sicurezza: servono log, policy approvate, evidenze di formazione. L&#8217;audit GDPR e&#8217; lo strumento che mette in fila tutto questo, evidenzia le lacune e produce un piano di rientro misurabile.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-large\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2026\/06\/gdpr_inline1.jpg\" alt=\"Consulenza legale GDPR DPO meeting\" width=\"940\" height=\"650\" \/><\/p>\n<h2>Il framework GDPR-audit a 7 aree<\/h2>\n<p>Il framework si compone di 7 macro-aree, ciascuna con checklist puntuale e scala di maturita&#8217; a 4 livelli (assente, parziale, sostanziale, completo). Vediamo le aree una per una.<\/p>\n<h2>1. Mappatura dei trattamenti e Registro Art. 30 (RoPA)<\/h2>\n<p>Il <strong>Registro delle Attivita&#8217; di Trattamento (RoPA)<\/strong>, previsto dall&#8217;<strong>Art. 30<\/strong>, e&#8217; il cuore di ogni audit GDPR. E&#8217; obbligatorio per i soggetti con piu&#8217; di 250 dipendenti e in pratica per tutte le PMI che trattano dati su base non occasionale, dati particolari (Art. 9) o relativi a condanne penali. Deve contenere, per ogni trattamento: titolare e contatti; DPO se nominato; finalita&#8217;; categorie di interessati e di dati; categorie di destinatari; trasferimenti extra-UE; tempi di conservazione; descrizione generale delle misure di sicurezza. Il Garante mette a disposizione un template Excel gratuito; tool come <strong>OneTrust<\/strong>, <strong>Iubenda<\/strong> o il software open-source <strong>CNIL PIA<\/strong> consentono di mantenerlo aggiornato in modo strutturato.<\/p>\n<p>La checklist operativa che usiamo in audit: sono mappati tutti i trattamenti HR (dipendenti, candidati, ex dipendenti)? Trattamenti commerciali (clienti, prospect, newsletter)? Fornitori? Videosorveglianza? Sito web e cookie? Gestionali ed ERP? Amministrazione e fatturazione? Una PMI media ha tra 15 e 30 trattamenti distinti, e nella prima sessione di audit ne emergono sempre alcuni dimenticati.<\/p>\n<h2>2. Una base giuridica per ogni trattamento<\/h2>\n<p>L&#8217;<strong>Art. 6<\/strong> elenca sei basi giuridiche: consenso, contratto, obbligo legale, interesse vitale, interesse pubblico, legittimo interesse. Per i dati particolari l&#8217;<strong>Art. 9<\/strong> aggiunge requisiti rafforzati. Ogni riga del RoPA deve avere una base giuridica esplicita.<\/p>\n<p>Gli errori piu&#8217; frequenti in audit: consenso usato come &#8220;passe-partout&#8221; dove sarebbe disponibile una base contrattuale o di legittimo interesse (col problema che il consenso e&#8217; revocabile in qualsiasi momento); legittimo interesse dichiarato senza <em>Legitimate Interest Assessment (LIA)<\/em> documentato; base giuridica diversa fra informativa e RoPA; per HR, uso del consenso del lavoratore che l&#8217;<strong>EDPB (European Data Protection Board)<\/strong> considera generalmente non valido per squilibrio di potere. Sui <strong>dati particolari<\/strong> (salute, opinioni, biometrici, genetici) l&#8217;Art. 9 richiede una condizione specifica oltre alla base dell&#8217;Art. 6: rientrano trattamenti sottovalutati come assenze per malattia, visite mediche, iscrizioni sindacali in busta paga.<\/p>\n<h2>3. Informative privacy e gestione del consenso (Art. 13-14)<\/h2>\n<p>L&#8217;informativa privacy e&#8217; il primo punto di contatto fra azienda e interessato, e anche il piu&#8217; sanzionato. Gli <strong>Art. 13 e 14<\/strong> elencano in modo tassativo le informazioni da fornire: identita&#8217; e contatti del titolare, DPO, finalita&#8217;, basi giuridiche, destinatari, trasferimenti extra-UE con riferimento agli strumenti di garanzia, periodo di conservazione, diritti e modalita&#8217; di esercizio, diritto di reclamo al Garante, processi decisionali automatizzati ex Art. 22.<\/p>\n<p>In audit verifichiamo: informative distinte per ogni canale (sito web, modulo contatti, newsletter, area clienti, candidature, contratti dipendenti, fornitori); linguaggio chiaro come richiesto dal Considerando 39; data di ultimo aggiornamento visibile; coerenza con il RoPA; per il consenso, prova della raccolta (timestamp, IP, copia del testo), revoca semplice, granularita&#8217; delle finalita&#8217;. Una <em>tick-box<\/em> unica per piu&#8217; finalita&#8217; non e&#8217; un consenso valido. Strumenti come <strong>Iubenda<\/strong>, <strong>Termly<\/strong>, <strong>Cookiebot<\/strong> o piattaforme enterprise come <strong>OneTrust<\/strong> generano informative conformi e versionabili: restano template da adattare, perche&#8217; il copia-incolla acritico e&#8217; uno dei rilievi piu&#8217; frequenti del Garante.<\/p>\n<h2>4. Diritti degli interessati (Art. 15-22) e processo di gestione<\/h2>\n<p>Gli interessati godono di otto diritti principali: accesso (Art. 15), rettifica (Art. 16), cancellazione\/oblio (Art. 17), limitazione (Art. 18), portabilita&#8217; (Art. 20), opposizione (Art. 21), non essere sottoposti a decisioni unicamente automatizzate (Art. 22), revoca del consenso. Il titolare deve rispondere entro <strong>30 giorni<\/strong>, prorogabili a 60 in casi di complessita&#8217; particolare.<\/p>\n<p>L&#8217;audit verifica l&#8217;esistenza di un processo formalizzato: indirizzo email dedicato (tipicamente privacy@); registro delle richieste con data ingresso, identificazione del richiedente, esito, data risposta; modelli di risposta; procedura per il rifiuto motivato; verifica dell&#8217;identita&#8217; del richiedente. La maggior parte delle PMI manca di tre elementi su cinque, e nei casi peggiori privacy@ non e&#8217; nemmeno monitorata. Particolare attenzione all&#8217;<strong>Art. 22 sulla decisione automatizzata<\/strong>: scoring creditizio, profilazione marketing, screening curricula con algoritmi rientrano nella norma e richiedono informativa specifica, base giuridica rafforzata, possibilita&#8217; di intervento umano.<\/p>\n<h2>5. Procedura data breach (Art. 33-34): le 72 ore<\/h2>\n<p>Il <strong>data breach<\/strong> ex <strong>Art. 33<\/strong> impone al titolare di notificare al Garante entro <strong>72 ore<\/strong> dalla conoscenza ogni violazione che presenti un rischio per i diritti e le liberta&#8217; degli interessati. L&#8217;<strong>Art. 34<\/strong> aggiunge la comunicazione agli interessati stessi quando il rischio e&#8217; elevato. Saltare la notifica o farlo in ritardo configura una violazione autonoma sanzionabile.<\/p>\n<p>In audit verifichiamo: un <em>incident response plan<\/em> scritto e approvato; un registro interno dei breach (obbligatorio anche per eventi non notificati); un canale di segnalazione interno; modelli di notifica al Garante; procedura di valutazione del rischio per decidere se notificare gli interessati; responsabili esterni Art. 28 obbligati a segnalare i breach al titolare entro tempi compatibili con le 72 ore. Casi reali aiutano a misurare le conseguenze: il provvedimento ICO su <strong>Marriott International<\/strong> ha portato a una sanzione di 18,4 milioni di sterline (originariamente impostata su circa 99 milioni) proprio per gestione carente di un breach prolungato. Per PMI da 10-50 dipendenti, sanzioni da 20-50 mila euro non sono rare.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-large\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2026\/06\/gdpr_inline2.jpg\" alt=\"Misure tecniche sicurezza dati GDPR Art 32\" width=\"940\" height=\"650\" \/><\/p>\n<h2>6. Trasferimenti extra-UE: SCC nuove, Schrems II e TIA<\/h2>\n<p>I trasferimenti verso paesi al di fuori dello Spazio Economico Europeo sono disciplinati dagli <strong>Art. 44-49<\/strong>. La sentenza <strong>Schrems II<\/strong> della Corte di Giustizia UE del 16 luglio 2020 ha invalidato il Privacy Shield e ha posto requisiti rafforzati per l&#8217;uso delle <strong>Standard Contractual Clauses (SCC)<\/strong>. La Commissione Europea ha pubblicato le <strong>nuove SCC il 4 giugno 2021<\/strong>, con periodo transitorio fino a fine 2022. L&#8217;<strong>EDPB<\/strong> con le <strong>Recommendations 01\/2020<\/strong> (versione definitiva del giugno 2021) ha chiarito che, oltre alle SCC, il titolare deve effettuare un <strong>Transfer Impact Assessment (TIA)<\/strong> per valutare se nel paese di destinazione esistono leggi o pratiche che ostacolino l&#8217;efficacia delle garanzie contrattuali, e in caso integrare con misure supplementari (cifratura end-to-end, pseudonimizzazione, controlli organizzativi).<\/p>\n<p>Il tema e&#8217; diventato critico per chi usa servizi cloud statunitensi. Il <strong>provvedimento CNIL Austria del 12 gennaio 2022<\/strong> ha dichiarato non conforme l&#8217;uso di <strong>Google Analytics Universal<\/strong>, seguito dal <strong>provvedimento CNIL Francia del 10 febbraio 2022<\/strong> nello stesso senso. Entrambe le decisioni si basano sul fatto che gli identificatori online (IP, cookie ID) sono dati personali e che il loro trasferimento verso gli USA, in assenza di misure supplementari efficaci, non e&#8217; compatibile con Schrems II. Il Garante italiano sta valutando posizioni analoghe. In audit, per ogni trasferimento extra-UE verifichiamo: base giuridica del trasferimento (decisione di adeguatezza, SCC, BCR, deroghe Art. 49); versione delle SCC firmata (le vecchie restano valide fino al 27 dicembre 2022); TIA documentato; misure supplementari effettivamente implementate; informativa che indica esplicitamente i trasferimenti.<\/p>\n<h2>7. Misure tecniche e organizzative (Art. 32)<\/h2>\n<p>L&#8217;<strong>Art. 32<\/strong> impone misure tecniche e organizzative &#8220;adeguate&#8221; al rischio. Il Regolamento cita esplicitamente: pseudonimizzazione e cifratura; riservatezza, integrita&#8217;, disponibilita&#8217; e resilienza dei sistemi; capacita&#8217; di ripristino dopo incidente; verifica periodica dell&#8217;efficacia.<\/p>\n<p>La checklist tecnica che usiamo copre: <strong>autenticazione<\/strong> (password policy robuste, <strong>MFA<\/strong> per accessi privilegiati e servizi cloud, gestione del ciclo di vita utenti); <strong>cifratura<\/strong> at-rest e in-transit (TLS 1.2+); <strong>backup<\/strong> 3-2-1 con test di restore e isolamento anti-ransomware; <strong>controllo accessi<\/strong> con least privilege e log; <strong>patch management<\/strong> e dismissione EOL; <strong>endpoint<\/strong> con antivirus\/EDR, full-disk encryption, MDM mobile; <strong>rete<\/strong> con segmentazione, VPN, firewall regolarmente rivisto. Sul lato organizzativo: policy approvate, formazione periodica, registro asset, gestione fornitori. <strong>ISO 27001:2013<\/strong> e l&#8217;estensione <strong>ISO 27701<\/strong> per il privacy information management offrono un framework strutturato; per realta&#8217; SaaS strumenti come <strong>Vanta<\/strong> e <strong>Drata<\/strong> automatizzano i controlli SOC 2 + GDPR.<\/p>\n<h2>DPIA: quando e&#8217; obbligatoria e come si fa<\/h2>\n<p>La <strong>Data Protection Impact Assessment (DPIA)<\/strong>, prevista dall&#8217;<strong>Art. 35<\/strong>, e&#8217; una valutazione preventiva del rischio per i diritti e le liberta&#8217; degli interessati, obbligatoria quando il trattamento presenta probabilmente un rischio elevato. L&#8217;Art. 35 cita esplicitamente: valutazione sistematica basata su processo automatizzato, trattamento su larga scala di dati particolari, sorveglianza sistematica di zone accessibili al pubblico.<\/p>\n<p>Il <strong>WP248<\/strong> dell&#8217;ex Article 29 Working Party (oggi EDPB) elenca <strong>9 criteri<\/strong>: valutazione\/scoring, decisione automatizzata con effetti significativi, monitoraggio sistematico, dati particolari, larga scala, abbinamento dataset, soggetti vulnerabili, uso innovativo, blocco di servizi\/contratti. Quando ricorrono <strong>almeno due criteri<\/strong>, la DPIA e&#8217; di norma necessaria. Il Garante con il provvedimento dell&#8217;11 ottobre 2018 ha integrato una lista specifica: valutazione del personale, geolocalizzazione, dati genetici e biometrici per identificazione, whistleblowing.<\/p>\n<p>Come si fa una DPIA: descrizione sistematica del trattamento; valutazione di necessita&#8217; e proporzionalita&#8217;; identificazione e valutazione dei rischi per i diritti degli interessati; misure di mitigazione; eventuale consultazione preventiva del Garante se i rischi residui restano elevati. Il <strong>template Garante<\/strong> e il software gratuito <strong>CNIL PIA<\/strong> sono ottimi punti di partenza, coerenti con il WP248. La DPIA va aggiornata a ogni cambio sostanziale del trattamento.<\/p>\n<h2>Nomina del DPO: chi e&#8217; obbligato (Art. 37)<\/h2>\n<p>Il <strong>Data Protection Officer<\/strong>, disciplinato dagli <strong>Art. 37-39<\/strong>, e&#8217; obbligatorio in tre casi: trattamento svolto da autorita&#8217; pubbliche; attivita&#8217; principali del titolare che richiedono monitoraggio regolare e sistematico su larga scala; trattamento su larga scala di dati particolari o relativi a condanne penali. Per molte PMI private il DPO non e&#8217; tecnicamente obbligatorio, ma diventa fortemente consigliato come misura di accountability.<\/p>\n<p>Il DPO puo&#8217; essere interno o esterno, deve avere competenze giuridiche e tecniche, deve riportare al vertice senza ricevere istruzioni nei propri compiti, non puo&#8217; essere in conflitto di interessi (no IT manager che si auto-controlla, no responsabile HR che fa DPO sui dati dipendenti). La nomina va comunicata al Garante tramite il portale dedicato. Tariffe di mercato per DPO esterno in PMI italiane vanno da 3.000 a 15.000 euro l&#8217;anno in funzione di complessita&#8217; e settore.<\/p>\n<h2>Responsabili del trattamento (Art. 28) e contratti<\/h2>\n<p>L&#8217;<strong>Art. 28<\/strong> disciplina il rapporto fra titolare e <strong>responsabile del trattamento (DPA)<\/strong>: ogni soggetto esterno che tratta dati per conto del titolare (hosting, SaaS gestionali, mail marketing, cloud storage, payroll, consulente del lavoro, agenzia marketing) deve essere vincolato da un contratto scritto che riporti elementi tassativi: oggetto e durata, natura e finalita&#8217;, tipologia di dati e categorie di interessati, obblighi e diritti del titolare, sub-responsabili e autorizzazione, misure di sicurezza, gestione richieste interessati, supporto su breach e DPIA, audit, cancellazione\/restituzione dei dati a fine contratto.<\/p>\n<p>In audit la verifica dei DPA e&#8217; uno dei punti piu&#8217; onerosi: per una PMI tipica i fornitori da nominare responsabili sono fra 15 e 40. I grandi fornitori (Microsoft, Google, AWS, principali ERP\/CRM cloud) pubblicano i propri DPA standard sottoscrivibili online; i piccoli fornitori locali spesso non hanno mai sentito parlare di Art. 28 e vanno gestiti uno per uno.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-large\" src=\"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2026\/06\/gdpr_inline3.jpg\" alt=\"Formazione team PMI compliance privacy GDPR\" width=\"940\" height=\"650\" \/><\/p>\n<h2>Cookie ed ePrivacy: le linee guida del Garante<\/h2>\n<p>Le <strong>linee guida del Garante del 10 giugno 2021<\/strong> sull&#8217;uso dei cookie hanno chiuso una zona grigia durata anni. Punti chiave: i <strong>cookie tecnici<\/strong> (sessione, autenticazione, preferenze) non richiedono consenso preventivo; i <strong>cookie analitici di prima parte<\/strong> con IP mascherato e senza profilazione possono essere assimilati a tecnici; i <strong>cookie di profilazione e di terze parti<\/strong> richiedono consenso preventivo, libero, specifico, informato, granulare e dimostrabile. Il banner deve avere &#8220;Accetta&#8221; e &#8220;Rifiuta&#8221; sullo stesso piano (no dark pattern), link per personalizzare le preferenze, no <em>scroll = consenso<\/em>, possibilita&#8217; di revoca in ogni momento, registro dei consensi conservato. Strumenti come <strong>Cookiebot<\/strong>, <strong>Iubenda<\/strong>, <strong>Termly<\/strong> e le piattaforme enterprise generano banner conformi e gestiscono il registro automaticamente.<\/p>\n<p>Si lega qui il tema Google Analytics: dopo i provvedimenti CNIL del gennaio-febbraio 2022, molte PMI stanno valutando il passaggio a strumenti EU-based (Matomo on-premise, Plausible self-hosted) o l&#8217;attesa di indicazioni del Garante. Mantenere GA Universal senza un TIA documentato e&#8217; una scelta da valutare con il proprio legale.<\/p>\n<h2>I 5 errori piu&#8217; comuni nelle PMI italiane<\/h2>\n<p>Sulla base degli audit svolti negli ultimi 24 mesi, ecco i cinque rilievi ricorrenti.<\/p>\n<p><strong>1. RoPA mancante o incompleto.<\/strong> Quattro PMI su cinque non hanno il registro o lo hanno limitato a HR e marketing dimenticando videosorveglianza, gestionali, contabilita&#8217;.<\/p>\n<p><strong>2. Informative copia-incollate.<\/strong> Spesso scaricate da un generatore gratuito anni prima, mai aggiornate, ancora con riferimenti al Codice 196\/2003 senza menzione del D.Lgs. 101\/2018, basi giuridiche generiche, sezione cookie incoerente con il banner effettivo.<\/p>\n<p><strong>3. Nessuna formazione del personale.<\/strong> La formazione e&#8217; richiesta dall&#8217;Art. 39 e dal principio di accountability ma resta l&#8217;area piu&#8217; trascurata: in molte PMI nessuno sa cos&#8217;e&#8217; un data breach e a chi segnalarlo.<\/p>\n<p><strong>4. Nessuna procedura di incident response.<\/strong> Le 72 ore dell&#8217;Art. 33 sono pochissime: senza procedura preparata in tempo di pace, in caso di incidente reale si va in panico e si rischia di rispondere male o tardi.<\/p>\n<p><strong>5. DPIA assente.<\/strong> Anche dove i criteri WP248 sono palesemente integrati (videosorveglianza estesa, scoring marketing, geolocalizzazione flotte, whistleblowing), la DPIA spesso non c&#8217;e&#8217; o e&#8217; una compilazione formale senza reale valutazione del rischio.<\/p>\n<h2>Roadmap 30 giorni: come chiudere l&#8217;audit GDPR completo<\/h2>\n<p>La roadmap che proponiamo divide le quattro settimane in obiettivi misurabili. E&#8217; realistica per una PMI di 10-50 dipendenti, eventualmente con il supporto di un consulente esterno per le aree tecniche.<\/p>\n<p><strong>Settimana 1 &mdash; Mappatura.<\/strong> Interviste con i responsabili di funzione (HR, commerciale, marketing, IT, amministrazione). Bozza RoPA. Inventario fornitori Art. 28. Mappatura trasferimenti extra-UE. Estrazione informative in uso. Output: foto AS-IS.<\/p>\n<p><strong>Settimana 2 &mdash; Gap analysis.<\/strong> Confronto fra AS-IS e requisiti GDPR su tutte e 7 le aree. Valutazione di maturita&#8217;. Identificazione DPIA necessarie. Verifica obbligo DPO. Output: registro rilievi e piano di rientro priorizzato.<\/p>\n<p><strong>Settimana 3 &mdash; Remediation.<\/strong> Aggiornamento informative. Riallineamento cookie banner. Stipula o aggiornamento DPA con i fornitori. Procedura data breach e incident response plan. Avvio DPIA con template Garante o CNIL PIA. Output: documentazione conforme.<\/p>\n<p><strong>Settimana 4 &mdash; Nomine, formazione, evidenze.<\/strong> Nomina formale degli incaricati Art. 29. Nomina o riconferma del DPO se obbligatorio. Formazione del personale (2 ore generali + sessioni di funzione). Approvazione policy dal vertice. Fascicolo evidenze accountability. Output: audit chiuso, mantenimento attivato.<\/p>\n<p>L&#8217;audit a 30 giorni non e&#8217; un punto di arrivo, e&#8217; un punto di partenza. Il GDPR richiede revisioni periodiche (consigliato annuali) e aggiornamenti ad ogni cambio sostanziale di trattamento, fornitore, tecnologia o normativa.<\/p>\n<h2>Sanzioni recenti: il benchmark da tenere d&#8217;occhio<\/h2>\n<p>Negli ultimi 24 mesi le autorita&#8217; europee hanno alzato sensibilmente il livello sanzionatorio. <strong>Amazon Europe Core<\/strong>: 746 milioni di euro dalla CNPD lussemburghese a luglio 2021, sanzione singola piu&#8217; alta mai irrogata, per pubblicita&#8217; comportamentale senza valido consenso. <strong>WhatsApp Ireland<\/strong>: 225 milioni dalla DPC irlandese a settembre 2021 per violazione degli obblighi di trasparenza. <strong>Google LLC<\/strong>: 50 milioni dalla CNIL nel 2019, modello tipico di consenso non valido. <strong>Marriott International<\/strong>: 18,4 milioni di sterline dall&#8217;ICO britannico nel 2020 per data breach prolungato. Per le PMI italiane le cifre tipiche vanno da poche migliaia a decine di migliaia di euro, con casi che hanno raggiunto i 100.000 euro per realta&#8217; medie. Aggiungendo costi legali, sostituzione fornitori, comunicazione di crisi e danno reputazionale, il <strong>TCO<\/strong> reale di una violazione e&#8217; tipicamente 3-5 volte la sanzione amministrativa nuda.<\/p>\n<h2>Come Brentasoft supporta l&#8217;audit GDPR delle PMI<\/h2>\n<p>Il nostro approccio si fonda su tre principi: <em>pragmatismo<\/em> (output utilizzabili, non malloppi cartacei), <em>integrazione<\/em> (la compliance lavora dentro i processi aziendali, non in parallelo), <em>continuita&#8217;<\/em> (preferiamo un piccolo retainer di mantenimento a un audit una-tantum che invecchia in sei mesi). Siamo team multidisciplinare con competenze giuridiche, IT e organizzative, e collaboriamo con DPO esterni accreditati per le nomine.<\/p>\n<div style=\"background:linear-gradient(135deg,#0ea5e9 0%,#1e40af 100%);color:#ffffff;padding:35px;border-radius:12px;margin:30px 0;text-align:center;\">\n<h3 style=\"color:#ffffff;margin:0 0 12px 0;font-size:24px;\">Vuoi chiudere il tuo audit GDPR in 30 giorni?<\/h3>\n<p style=\"color:#e0f2fe;margin:0 0 20px 0;font-size:16px;\">Riceverai un preventivo personalizzato con scope, tempi e costi sulla base della reale complessita&#8217; della tua PMI: numero di trattamenti, fornitori, eventuali DPIA da effettuare, formazione del personale.<\/p>\n<p style=\"margin:0;\"><a href=\"https:\/\/brentasoft.com\/preventivatore.php\" style=\"background:#ffffff;color:#1e40af;padding:14px 32px;border-radius:8px;text-decoration:none;font-weight:700;display:inline-block;font-size:16px;\">Richiedi un preventivo audit GDPR<\/a><\/p>\n<\/div>\n<h2>Domande frequenti su audit GDPR e DPIA per PMI<\/h2>\n<h3>L&#8217;audit GDPR e&#8217; obbligatorio?<\/h3>\n<p>Non esiste un obbligo formale di &#8220;fare un audit&#8221; con quella denominazione, ma il principio di accountability dell&#8217;Art. 5 e l&#8217;Art. 24 impongono al titolare di poter dimostrare la conformita&#8217;: in pratica una revisione strutturata e&#8217; l&#8217;unico modo realistico per soddisfare l&#8217;obbligo. L&#8217;audit periodico e&#8217; inoltre richiesto dall&#8217;Art. 32 come parte delle misure di sicurezza adeguate.<\/p>\n<h3>Quando e&#8217; obbligatoria la DPIA per una PMI?<\/h3>\n<p>Quando ricorrono i criteri dell&#8217;Art. 35 o quando si integrano almeno due dei 9 criteri del WP248 EDPB. In pratica per molte PMI scatta su: videosorveglianza con riconoscimento; valutazioni sistematiche del personale; geolocalizzazione di flotte e dipendenti; sistemi di whistleblowing; trattamenti su larga scala di dati particolari (sanitari, biometrici). Il Garante ha integrato la lista con il provvedimento dell&#8217;11 ottobre 2018.<\/p>\n<h3>Devo nominare un DPO se ho meno di 250 dipendenti?<\/h3>\n<p>Non automaticamente. L&#8217;obbligo dipende dalla natura delle attivita&#8217; principali (monitoraggio regolare e sistematico su larga scala, trattamento su larga scala di dati particolari) non dal numero di dipendenti. Tuttavia anche dove non e&#8217; obbligatorio, nominare un DPO esterno e&#8217; spesso consigliabile come misura di accountability e per ridurre il rischio di sanzioni.<\/p>\n<h3>Posso ancora usare Google Analytics?<\/h3>\n<p>Dopo i provvedimenti CNIL Austria del 12 gennaio 2022 e CNIL Francia del 10 febbraio 2022, l&#8217;uso di Google Analytics Universal senza misure supplementari documentate e un TIA puntuale e&#8217; a rischio. Le opzioni pratiche: passare ad alternative EU-based (Matomo on-premise, Plausible self-hosted), implementare misure supplementari efficaci (proxy server in UE, pseudonimizzazione), o attendere l&#8217;orientamento del Garante italiano e nel frattempo mantenere documentata l&#8217;analisi.<\/p>\n<h3>Come funziona una notifica data breach al Garante?<\/h3>\n<p>La notifica va effettuata entro 72 ore dalla conoscenza tramite il portale online del Garante. Va indicato: natura della violazione, categorie e numero approssimativo di interessati e di record coinvolti, conseguenze probabili, misure adottate o proposte. Se le 72 ore non bastano per avere informazioni complete, e&#8217; ammessa una notifica iniziale seguita da integrazioni successive. La notifica non e&#8217; richiesta solo se la violazione e&#8217; improbabile presenti un rischio per i diritti degli interessati: la valutazione va comunque documentata.<\/p>\n<h3>Quanto costa un audit GDPR per una PMI?<\/h3>\n<p>Le tariffe di mercato per PMI di 10-50 dipendenti vanno da 3.500 a 12.000 euro per un audit completo con remediation, in funzione di numero di trattamenti, DPIA, trasferimenti extra-UE, automazione. Un retainer annuale di mantenimento parte tipicamente da 1.500-3.000 euro l&#8217;anno.<\/p>\n<h3>Le sanzioni GDPR si applicano davvero alle piccole imprese?<\/h3>\n<p>Si. Il Garante nel 2021 ha emesso oltre 700 provvedimenti, molti verso PMI, con sanzioni da poche migliaia a decine di migliaia di euro. La quantificazione dipende da gravita&#8217;, durata, intenzionalita&#8217;, collaborazione, misure adottate: una PMI che dimostra un percorso di compliance attivo viene trattata in modo significativamente piu&#8217; favorevole.<\/p>\n<p><script type=\"application\/ld+json\">\n{\n  \"@context\": \"https:\/\/schema.org\",\n  \"@type\": \"HowTo\",\n  \"name\": \"Come chiudere un audit GDPR completo in 30 giorni\",\n  \"description\": \"Roadmap operativa in 4 settimane per portare una PMI italiana alla conformita' GDPR con RoPA, DPIA, nomine e formazione.\",\n  \"totalTime\": \"P30D\",\n  \"step\": [\n    {\n      \"@type\": \"HowToStep\",\n      \"name\": \"Settimana 1: Mappatura dei trattamenti\",\n      \"text\": \"Interviste con i responsabili di funzione (HR, commerciale, marketing, IT, amministrazione). Compilazione bozza RoPA Art. 30. Inventario fornitori da nominare responsabili Art. 28. Mappatura trasferimenti extra-UE. Estrazione informative attualmente in uso.\"\n    },\n    {\n      \"@type\": \"HowToStep\",\n      \"name\": \"Settimana 2: Gap analysis\",\n      \"text\": \"Confronto fra stato AS-IS e requisiti GDPR su 7 aree: RoPA, basi giuridiche, informative, diritti interessati, data breach, trasferimenti extra-UE, misure tecniche Art. 32. Identificazione DPIA da effettuare e verifica obbligo DPO.\"\n    },\n    {\n      \"@type\": \"HowToStep\",\n      \"name\": \"Settimana 3: Remediation\",\n      \"text\": \"Aggiornamento delle informative privacy. Riallineamento del cookie banner alle linee guida Garante 10 giugno 2021. Stipula o aggiornamento DPA Art. 28 con i fornitori. Scrittura procedura data breach 72 ore. Avvio DPIA con template Garante o software CNIL PIA.\"\n    },\n    {\n      \"@type\": \"HowToStep\",\n      \"name\": \"Settimana 4: Nomine, formazione, evidenze\",\n      \"text\": \"Nomina formale degli incaricati Art. 29. Nomina o riconferma DPO se obbligatorio. Sessione di formazione del personale. Approvazione delle policy dal vertice. Predisposizione del fascicolo evidenze accountability.\"\n    },\n    {\n      \"@type\": \"HowToStep\",\n      \"name\": \"Mantenimento continuo\",\n      \"text\": \"Revisione periodica annuale del RoPA e delle informative. Aggiornamento delle DPIA ad ogni cambio sostanziale. Test periodico delle procedure incident response. Formazione di aggiornamento.\"\n    }\n  ]\n}\n<\/script><\/p>\n<p><script type=\"application\/ld+json\">\n{\n  \"@context\": \"https:\/\/schema.org\",\n  \"@type\": \"FAQPage\",\n  \"mainEntity\": [\n    {\n      \"@type\": \"Question\",\n      \"name\": \"L'audit GDPR e' obbligatorio?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"Non esiste un obbligo formale con quella denominazione, ma il principio di accountability dell'Art. 5 e l'Art. 24 impongono al titolare di dimostrare la conformita'. Una revisione strutturata e' l'unico modo realistico per soddisfare l'obbligo, ed e' richiesta anche dall'Art. 32 come parte delle misure di sicurezza adeguate.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Quando e' obbligatoria la DPIA per una PMI?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"Quando ricorrono i criteri dell'Art. 35 o almeno due dei 9 criteri WP248 EDPB. Per molte PMI scatta su videosorveglianza estesa, valutazione del personale, geolocalizzazione, whistleblowing, trattamenti su larga scala di dati particolari. Il Garante ha integrato la lista con provvedimento 11 ottobre 2018.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Devo nominare un DPO con meno di 250 dipendenti?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"Non automaticamente. L'obbligo dipende dalla natura delle attivita' principali (monitoraggio sistematico su larga scala, dati particolari su larga scala), non dal numero di dipendenti. Anche dove non obbligatorio, un DPO esterno e' spesso consigliabile come misura di accountability.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Posso ancora usare Google Analytics?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"Dopo i provvedimenti CNIL Austria 12 gennaio 2022 e CNIL Francia 10 febbraio 2022, l'uso di Google Analytics Universal senza misure supplementari e TIA documentato e' a rischio. Alternative: Matomo on-premise, Plausible self-hosted, oppure misure supplementari efficaci come proxy in UE.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Come funziona una notifica data breach al Garante?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"Va effettuata entro 72 ore tramite il portale online del Garante. Va indicato natura della violazione, categorie e numero di interessati, conseguenze probabili, misure adottate. Se le informazioni non sono complete, e' ammessa una notifica iniziale con integrazioni successive.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Quanto costa un audit GDPR per una PMI?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"Tipicamente da 3.500 a 12.000 euro per un audit completo con remediation, in funzione del numero di trattamenti, DPIA, trasferimenti extra-UE. Un retainer annuale di mantenimento parte da 1.500-3.000 euro l'anno.\"\n      }\n    },\n    {\n      \"@type\": \"Question\",\n      \"name\": \"Le sanzioni GDPR si applicano davvero alle piccole imprese?\",\n      \"acceptedAnswer\": {\n        \"@type\": \"Answer\",\n        \"text\": \"Si. Il Garante italiano nel 2021 ha emesso oltre 700 provvedimenti, molti verso PMI, con sanzioni da poche migliaia a decine di migliaia di euro. Una PMI che dimostra un percorso di compliance attivo viene trattata in modo significativamente piu' favorevole.\"\n      }\n    }\n  ]\n}\n<\/script><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Guida operativa all&#8217;audit GDPR per PMI italiane: framework 7 aree, DPIA Art. 35, roadmap 30 giorni, Schrems II e CNIL.<\/p>\n","protected":false},"author":2,"featured_media":1794,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_titles_title":"GDPR audit PMI 2022: checklist + DPIA 30gg | Brentasoft","_seopress_titles_desc":"Audit GDPR per PMI italiane: framework 7 aree, RoPA Art.30, DPIA Art.35, roadmap 30 giorni, Schrems II, SCC nuove 2021 e linee guida Garante.","_seopress_robots_index":"","_seopress_robots_follow":"","_seopress_robots_imageindex":"","_seopress_robots_snippet":"","_seopress_robots_primary_cat":"","_seopress_robots_breadcrumbs":"","_seopress_robots_freeze_modified_date":"","_seopress_robots_custom_modified_date":"","_seopress_robots_canonical":"https:\/\/brentasoft.com\/blog\/gdpr-audit-checklist-dpia-pmi-30-giorni-2022\/","_seopress_social_fb_title":"GDPR audit PMI 2022: checklist completa e DPIA in 30 giorni","_seopress_social_fb_desc":"Guida operativa all'audit GDPR per PMI: framework 7 aree, DPIA, roadmap 30 giorni con riferimenti a Schrems II e CNIL.","_seopress_social_fb_img":"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2026\/06\/gdpr_featured.jpg","_seopress_social_fb_img_attachment_id":0,"_seopress_social_fb_img_width":0,"_seopress_social_fb_img_height":0,"_seopress_social_twitter_title":"GDPR audit PMI 2022: checklist completa e DPIA in 30 giorni","_seopress_social_twitter_desc":"Audit GDPR PMI: 7 aree, DPIA Art.35, roadmap 30 giorni, Schrems II e SCC nuove 2021.","_seopress_social_twitter_img":"https:\/\/brentasoft.com\/blog\/wp-content\/uploads\/2026\/06\/gdpr_featured.jpg","_seopress_social_twitter_img_attachment_id":0,"_seopress_social_twitter_img_width":0,"_seopress_social_twitter_img_height":0,"_seopress_redirections_value":"","_seopress_redirections_enabled":"","_seopress_redirections_enabled_regex":"","_seopress_redirections_logged_status":"","_seopress_redirections_param":"","_seopress_redirections_type":0,"_seopress_analysis_target_kw":"","footnotes":""},"categories":[25],"tags":[],"class_list":["post-1811","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance-normative"],"_links":{"self":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts\/1811","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/comments?post=1811"}],"version-history":[{"count":0,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/posts\/1811\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/media\/1794"}],"wp:attachment":[{"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/media?parent=1811"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/categories?post=1811"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/brentasoft.com\/blog\/wp-json\/wp\/v2\/tags?post=1811"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}