search
Il media che reinventa l'impresa
Registrare un software

Audit RGPD: combinare affari e piacere

Audit RGPD: combinare affari e piacere

Da Alexis Quentrec

Il 12 novembre 2024

Il RGPD è l'incarnazione di molte fantasie: nuovi obblighi sproporzionati, revisione dell'organizzazione, sanzioni proibitive e così via. E voi? Siete già pronti a gestire il RGPD senza saperlo?

Un breve promemoria

Senza entrare troppo nel dettaglio dell'argomento, il Regolamento generale sulla protezione dei dati (GDPR) entrerà in vigore il 28 maggio.

Il suo recepimento nel diritto francese è attualmente in discussione in Parlamento, ma gli obblighi principali sono già fissati.

I dati personali sono dati che identificano direttamente o indirettamente una persona. Cognome, nome, indirizzo e-mail personale o professionale, indirizzo fisico, numero di telefono, ecc... Comprendono anche tutti i metadati legati all'utilizzo di vari servizi online o scambi elettronici.

Allo scopo di regolamentare l'uso dei dati personali, il RGPD stabilisce una serie di obblighi relativi alla raccolta e al trattamento dei dati personali.

Questi includono, ma non solo, il consenso esplicito dell'utente per ogni operazione di trattamento (e la prova del consenso), i periodi di conservazione dei dati e il diritto di modificare/cancellare/portare i dati.

Sono stati stabiliti altri obblighi per le aziende, al di là del rapporto diretto con gli utenti e i clienti:

  • la nomina di un responsabile della protezione dei dati,
  • la tenuta di un registro del trattamento dei dati
  • la responsabilità congiunta del trattamento con i subappaltatori
  • ecc.

Infine, l'approccio "privacy-by-default" all'introduzione di nuovi servizi è diventato sacrosanto, le aziende sono tenute a proteggere i dati in relazione ai rischi per i diritti e le libertà delle persone, e le aziende possono organizzare le proprie best practice attraverso codici di condotta.

In breve, ci sono molti elementi che coprono sia aspetti tecnici che organizzativi e che vanno ben oltre il campo della sicurezza informatica, rafforzando l'apparente complessità di questa normativa.

Gnothi seauton

No, non è una parolaccia, è greco antico. Talete, Pitagora, Eraclito e Socrate hanno tutti attribuito l'aforisma "Gnothi seauton", che significa "Conosci te stesso".

Per chi preferisce un riferimento più moderno, il film Matrix prodotto dai Wachowski ha reso popolare "Temet Nosce", la traduzione latina della precedente frase greca.

Questa massima riassume l'approccio alla conformità al RGPD: per elaborare un piano d'azione, è necessario prima misurare quanto si è lontani dall'obiettivo. Un audit iniziale consente di fare il punto sugli sforzi già in atto e sulle modalità di esecuzione.

Questa verifica è essenziale per prepararsi ai cambiamenti che seguiranno: al di là delle misure tecniche, l'impatto principale del RGPD riguarda la responsabilità dell'utilizzo dei dati, che riguarda esclusivamente il responsabile del trattamento dei dati umani.


Questo audit iniziale non è affatto fine a se stesso, anzi è vero il contrario. Piuttosto che congelare una situazione, segna la linea di partenza per la corsa alla conformità con il RGPD (la cui distanza sarà più o meno lunga a seconda di ciò che l'audit porterà alla luce).

Questo audit non deve rimanere un'analisi persa tra gli altri documenti su una scrivania disordinata. Al contrario, deve essere tradotto in una tabella di marcia, con azioni chiaramente identificate, risultati concreti e una visione più globale di come queste azioni si integrano per raggiungere la conformità con il RGPD.

Il ricorso a un partner esperto nella materia in questione può essere una prima risposta alla conformità al RGPD: questo punto di contatto e di competenza sarà in grado di unire le energie dell'azienda intorno a una sfida comune e a competenze interdisciplinari: legali, IS, marketing, acquisti, ecc.

Imparare facendo

L'audit iniziale ci permette di tracciare una prima valutazione di ciò che sta accadendo, ma soprattutto di costruire un piano d'azione per sviluppare le organizzazioni, i processi e gli strumenti esistenti.

L'obiettivo non è quello di cadere vittima di nuove normative, ma di sfruttare un nuovo modo di fare le cose per affinare e ottimizzare i processi, e nuovi modi di fare le cose per generare un valore diverso e differenziante per gli utenti finali.


Per raggiungere questo obiettivo, è fondamentale coinvolgere gli stakeholder interni all'azienda: l'ufficio legale non può essere l'unico garante della compliance. Si tratta di una questione interfunzionale, che dipende profondamente dai metodi di lavoro di tutti.

Sì, le modalità di lavoro saranno impattate da queste normative; i cambiamenti nei metodi di lavoro saranno imposti globalmente a tutti, con un nuovo modo di approcciare l'uso dei dati personali.

Ciò include il rapporto con i subappaltatori, che sono più che mai parti interessate essenziali in questo processo. Con il sistema di responsabilità congiunta stabilito tra il titolare del trattamento (= l'azienda cliente) e l'incaricato del trattamento, non è più possibile sbilanciare il rapporto a favore di una o dell'altra parte.

Il rapporto con l'incaricato del trattamento è tanto più importante in quanto è spesso legato all'utilizzo di alcune aree di competenza chiave nel trattamento dei dati personali: analisi statistiche con i Big Data, trattamento delle risorse umane, campagne di marketing, ecc.

Il coinvolgimento del subappaltatore negli sforzi di conformità al RGPD consente quindi di rafforzare la sicurezza complessiva del trattamento dei dati personali.


Puntando al miglioramento continuo, attraverso punti più o meno formali, ognuno può diventare protagonista della conformità al RGPD assumendo la responsabilità dei punti identificati durante l'audit. La chiave è creare valore unendo le persone in un progetto comune che sia vincolante per tutti e che trasformi le pratiche.

E per quanto riguarda il traguardo?

La prima cosa da chiarire è che non esiste una "Certificazione RGPD". È prevista invece una certificazione di conformità ai codici di condotta, offerta non dal CNIL e dai suoi equivalenti europei, ma da aziende e associazioni imprenditoriali.

Poiché non esiste una "certificazione ufficiale RGPD", è necessario che ogni azienda costruisca la propria certificazione, che servirà come "codice interno" per il trattamento dei dati personali.


Questo "codice interno" deve essere stato considerato in una fase iniziale, sulla base dell'audit iniziale e delle esigenze aziendali individuate: costituisce il quadro di riferimento interno per l'utilizzo dei dati personali.

La creazione di questo codice avrà molteplici finalità:

  • Garantirà la coerenza nell'uso dei dati personali (dati raccolti, metodi di raccolta, consenso, requisiti per i subappaltatori, periodi di conservazione, ecc;)
  • servirà come riferimento per lavorare con i subappaltatori;
  • servirà come obiettivo per verificare che gli obiettivi identificati durante l'audit iniziale siano stati raggiunti.

Questo "codice interno" deve essere verificato con la realtà attraverso un secondo audit più formale, più vicino alla realtà. L'ambito di questo nuovo audit va quindi oltre il quadro interno e deve riguardare tutti gli stakeholder individuati inizialmente.

Considerando le finalità di questo "codice interno", non deve concentrarsi solo su grandi principi generali, o su denominazioni vaghe: deve inquadrare le aspettative in modo non univoco, in particolare per quanto riguarda l' uso di tecniche specifiche per garantire la riservatezza dei dati personali (algoritmo di crittografia, ad esempio, ma anche i tipi di autenticazione a più fattori accettabili, ecc.)

L'obiettivo è quello di individuare le aree di miglioramento, perché è essenziale tenere presente che la conformità al RGPD non si ottiene dall'oggi al domani.

Inoltre, è necessario tenere presente che il campo di applicazione del RGPD all'interno della vostra azienda sarà in continua evoluzione (nuove operazioni di trattamento, aggiunta e cancellazione di applicazioni, ecc.)

Come funziona in pratica l'audit?

La chiave di volta di questo sistema è un occhio critico, obiettivo e benevolo che vi fornisce un valore aggiunto.

Potete avere questo occhio all'interno dell'azienda - ed è un'ottima cosa - che può essere incarnato dal vostro corrispondente per la protezione dei dati / futuro responsabile della protezione dei dati.

Tuttavia, questa situazione non è diffusa ed è più l'eccezione che la regola.

In tutti i casi, è necessario andare oltre il concetto tradizionale di audit che evidenzia i comportamenti scorretti e passare a un approccio più globale che tenga conto di:

  • Il vostro contesto aziendale - tanto più importante alla luce del RGPD;
  • Il vostro contesto aziendale;
  • Il vostro contesto informatico;
  • Il vostro contesto umano.


Nuageo, attraverso il GDPReady, può supportarvi in questo passaggio al RGPD:

  • forniamo una visione interfunzionale dei vostri contesti alla luce delle sfide del RGPD,
  • proponiamo una tabella di marcia,
  • vi supportiamo nella gestione e nel raggiungimento degli obiettivi di questa tabella di marcia, che va oltre le questioni puramente legali o tecniche.

La vera sfida consiste nel fornirvi i mezzi per fornire il valore aggiunto di cui avete bisogno per la vostra attività, rispettando al contempo la riservatezza dei dati personali.

Articolo scritto da Alexis Quentrec, specialista RGPD di Nuageo, società di consulenza per il cloud computing.

Articolo tradotto dal francese