1° Documento Riservato: Il ruolo strategico del commercialista nella protezione dei dati personali: audit e conformità al GDPR

CIRCOLARE MONOGRAFICA

Il commercialista diventa figura chiave per audit, conformità e privacy applicando le indicazioni di GDPR, AI Act e ISO

DI ARMANDO URBANO | 25 LUGLIO 2025

Il CNDCEC con l’Informativa del 9 luglio 2025, indirizzata ai Presidenti degli Ordini territoriali, ha diffuso il Documento “Il ruolo del Commercialista in materia di privacy e protezione dei dati (Reg. UE 2016/679): la valutazione della conformità al GDPR”. Il lavoro è stato predisposto dalla Commissione “Privacy Iscritti”, coordinata dalla Consigliera nazionale Eliana Quintili, nell’ambito dell’area di delega “Compliance e modelli organizzativi delle imprese”, e rappresenta un utile strumento operativo a disposizione dei Commercialisti per adempiere correttamente a quanto indicato dalla normativa in materia di privacy. L’elaborato fornisce indicazioni tecniche e metodologiche volte a supportare i professionisti nell’assistenza ai clienti per l’adeguamento al Regolamento UE n. 2016/679 (GDPR) e nella realizzazione di audit in ambito privacy. Sono inoltre illustrati i principali riferimenti normativi e standard internazionali, tra cui UNI EN ISO 19011:2018, ISO/IEC 27001 e 27701, accompagnati da esempi pratici di modulistica a supporto dell’attività professionale.

Premessa

L’adozione del Regolamento UE n. 2016/679 (General Data Protection Regulation – GDPR), unitamente al D.Lgs. n. 196/2003, ha reso imprescindibile l’adozione di modelli organizzativi orientati alla protezione dei dati personali. In tale contesto, il commercialista si afferma quale figura professionale chiave, chiamata non solo ad offrire consulenza, ma anche a svolgere funzioni operative altamente specializzate, tra cui il ruolo di auditor, responsabile della protezione dei dati (DPO) o esperto tecnico nelle controversie in materia di privacy.

Gli audit sulla conformità al GDPR: la norma ISO 19011:2018

La norma UNI EN ISO 19011:2018 fornisce le linee guida per gli audit dei sistemi di gestione, definendo l’audit come un processo sistematico, indipendente e documentato per valutare in modo obiettivo la conformità ai criteri normativi.

Tipologie di audit

L’attività ispettiva può assumere tre forme:

• Audit di prima parte (interno);
• Audit di seconda parte (su fornitori/partner);
• Audit di terza parte (per certificazione).

Principi dell’audit

La norma ISO 19011 identifica sette principi fondamentali per garantire l’efficacia dell’audit:

• integrità;
• presentazione imparziale;
• dovuta professionalità;
• riservatezza;
• indipendenza;
• approccio basato sull’evidenza;
• approccio basato sul rischio.

Il rispetto di questi principi è essenziale per assicurare la validità delle risultanze e l’attendibilità del processo di verifica.

Il ciclo dell’audit

L’attività si articola in sei fasi:

1. Avvio
2. Preparazione
3. Esecuzione
4. Preparazione e distribuzione del rapporto
5. Chiusura
6. Follow-up (azioni successive) dettagliatamente analizzate nello standard.

Particolare rilevanza assume la fase di preparazione dell’audit, in cui occorre porre attenzione alla definizione dei criteri di campionamento, alla raccolta delle informazioni documentate e alla predisposizione delle liste di controllo da utilizzare.

Tra i metodi principali per la raccolta delle informazioni si segnalano:

• le interviste;
• le osservazioni (di processi e attività);
• il riesame informazioni documentate.

Un ulteriore elemento fondamentale è rappresentato dalle riunioni di apertura e chiusura.

La riunione di apertura, che deve svolgersi alla presenza della direzione o di un suo rappresentante, ha lo scopo di:

• confermare l’accordo sui termini del piano di audit, da parte di tutti i soggetti coinvolti;
• presentare i membri del team di audit con relativi ruoli e responsabilità;
• ottenere conferma sulla possibilità di attuare tutte le attività pianificate.

La riunione di chiusura, condotta dal responsabile del gruppo di audit alla presenza degli altri auditor e dei responsabili delle aree sottoposte a verifica, rappresenta il momento conclusivo in cui vengono illustrate le risultanze dell’audit e formulate le relative conclusioni.

Le risultanze emergono dal confronto tra le evidenze raccolte e i criteri definiti per l’audit.

Tali esiti possono consistere in:

• conformità;
• non conformità;
• raccomandazioni;
• opportunità di miglioramento;
• buone prassi applicate;
• tendenze positive o negative.

Nel caso in cui vengano rilevate delle “non conformità” – ovvero il mancato rispetto di requisiti obbligatori – all’organizzazione potrà essere richiesto di attuare:

• azioni di trattamento della non conformità, finalizzate a eliminare l’anomalia riscontrata;
• e, ove necessario, azioni correttive, volte a rimuovere le cause che hanno originato la non conformità, così da evitarne il ripetersi.

Le conclusioni dell’audit (rif. punto 6.4.9 della UNI EN ISO 19011:2018) rappresentano l’esito finale del processo di verifica e devono basarsi su evidenze oggettive, emerse dal confronto tra i criteri di audit e le informazioni raccolte durante l’attività.

Esse possono riguardare:

• la conformità ai criteri di riferimento del sistema sottoposto ad audit;
• l’efficacia del sistema per il raggiungimento degli obiettivi e la sua capacità di gestire rischi e di attuare azioni adeguate;
• l’efficace attuazione, mantenimento e miglioramento del sistema e dei processi;
• l’efficacia del processo di riesame e le tendenze del sistema;
• la messa in evidenza di risultanze similari su diverse aree o ripetitive rispetto ad audit precedenti.

L’audit si considera formalmente concluso (punto 6.6) al completamento di tutte le attività pianificate e con l’emissione del rapporto di audit (6.5.1), documento ufficiale redatto dal Responsabile del team di audit.

Il rapporto deve contenere le conclusioni dell’audit espresse in modo:

• sintetico, nella giusta misura;
• completo e accurato;
• chiaro e comprensibile.

Elemento imprescindibile per garantire l’efficacia e l’affidabilità dell’intero processo di auditing è rappresentato dalla competenza tecnica e professionale degli auditor, i quali devono possedere adeguate conoscenze, abilità ed esperienza in relazione al contesto e agli obiettivi dell’audit.

Sistemi di gestione volontari e certificazioni

L’efficace implementazione di sistemi di gestione rappresenta un importante presidio per la compliance al GDPR.

In particolare, si evidenziano l’ISO/IEC 27001, l’ISO/IEC 27701 e lo Schema ISDP©10003:2020.

ISO/IEC 27001 – Sicurezza delle informazioni

È uno standard internazionale promosso congiuntamente dalla ISO (International Organization for Standardization) e dalla IEC (International Electrotechnical Commission) per la gestione della sicurezza delle informazioni.

Delinea i requisiti per un sistema di gestione della sicurezza delle informazioni (ISMS).

ISO/IEC 27701 – Gestione delle informazioni sulla privacy

Questa norma estende la ISO 27001 integrandola con specifici requisiti privacy.

È particolarmente utile per i titolari e responsabili del trattamento, specie se operano con dati sensibili.

Schema ISDP©10003:2020

Si tratta di uno schema certificativo basato sulla norma ISO 17065, specificamente progettato per valutare la conformità al GDPR. Prevede, tra gli altri, la redazione di un manuale privacy, la definizione di un registro dei trattamenti e l’attuazione di audit interni periodici.

I registri dell’accountability

L’approccio del GDPR, centrato sul principio di responsabilizzazione, impone la predisposizione e tenuta di una serie di documenti e registri, anche a fini probatori in sede ispettiva.

Registro dei trattamenti

È il registro principale previsto dall’art. 30 GDPR. Deve contenere tutte le informazioni relative alle finalità del trattamento, categorie di dati trattati, destinatari, tempi di conservazione, misure di sicurezza adottate.

Registro dell’amministratore di sistema

Sebbene non previsto direttamente dal GDPR, è imposto dal Garante Privacy. Deve riportare gli accessi logici agli archivi e ai sistemi effettuati da parte degli ADS, con conservazione dei log per almeno sei mesi.

Registro delle violazioni (data breach)

Obbligatorio ai sensi degli artt. 33 e 34 GDPR. Ogni violazione deve essere annotata con data, natura dell’incidente, misure adottate e notifiche effettuate.

Registro della formazione

Documenta l’erogazione e la frequenza della formazione privacy, misura di sicurezza obbligatoria ai sensi dell’art. 32 GDPR.

Altri registri consigliati

• Registro dei sub-responsabili del trattamento;
• Registro delle richieste di esercizio dei diritti da parte degli interessati;
• Registro penetration test
• Registro dei disaster recovery;
• Registro dei visitatori (quando pertinente).

Misure tecniche e organizzative: standard e prassi

L’art. 32 del GDPR richiede l’adozione di misure tecniche e organizzative adeguate al rischio.

Tra queste:

• Sistemi antivirus, firewall, backup periodici;
• Criteri di gestione delle credenziali;
• Politiche di BYOD (bring your own device);
• Procedure di gestione degli accessi e dei privilegi;
• Controlli periodici di sicurezza e vulnerabilità (es. penetration test);
• Procedure di disaster recovery e business continuity.

Gli standard ISO/IEC, in particolare l’Annex A della ISO 27001, offrono linee guida dettagliate per la valutazione dell’adeguatezza di tali misure.

Verso l’integrazione tra privacy, sicurezza e nuove tecnologie: il NIS2 e nuovi obblighi di cybersicurezza

La Direttiva UE n. 2022/2555 (NIS2) mira a rafforzare la resilienza cibernetica dell’Unione, introducendo obblighi stringenti per i soggetti che forniscono servizi essenziali o importanti.

L’ambito di applicazione si estende, tra gli altri, a:

• Servizi bancari e finanziari;
• Sanità;
• Trasporti e infrastrutture digitali;
• Produzione e distribuzione alimentare;
• Fornitori di servizi cloud e data center.

Obblighi e adempimenti

Tra i principali obblighi vi sono:

• Adozione di misure di gestione del rischio;
• Notifica degli incidenti di sicurezza;
• Designazione di referenti per la cybersecurity;
• Esecuzione di audit e autovalutazioni periodiche.

AI Act e protezione dei dati

L’Artificial Intelligence Act introduce ulteriori obblighi in materia di trasparenza e tutela dei diritti.

Le tecnologie di intelligenza artificiale ad “alto rischio” dovranno dimostrare conformità anche sotto il profilo della privacy.

L’AI Act, approvato in via definitiva dal Parlamento UE, introduce un sistema di classificazione del rischio per i sistemi di intelligenza artificiale.

Le categorie principali sono:

• Sistemi vietati (es. sorveglianza biometrica massiva);
• Sistemi ad alto rischio (es. credit scoring, selezione del personale);
• Sistemi a rischio limitato (es. chatbot informativi).

Impatti sul trattamento dei dati

I sistemi AI ad alto rischio devono rispettare obblighi stringenti di:

• Trasparenza e tracciabilità;
• Valutazione d’impatto (anche sulla protezione dei dati);
• Governance e gestione dei bias;
• Sorveglianza umana.

Il ruolo delle informative e dell’organigramma privacy

L’informativa è il primo strumento di trasparenza nei confronti dell’interessato.

L’art. 13 del GDPR stabilisce il contenuto obbligatorio dell’informativa nei casi in cui i dati siano raccolti direttamente presso l’interessato. Essa deve contenere:

• Identità e dati di contatto del titolare;
• Finalità e base giuridica del trattamento;
• Eventuale legittimo interesse perseguito;
• Destinatari dei dati;
• Trasferimenti verso Paesi terzi;
• Periodo di conservazione;
• Diritti dell’interessato;
• Esistenza di processi decisionali automatizzati.

Il professionista, in qualità di consulente privacy, deve valutare la conformità delle informative predisposte, anche attraverso audit documentali, e suggerire eventuali integrazioni per assicurare completezza e chiarezza.

La struttura privacy dell’organizzazione deve essere chiaramente definita.

Le principali figure sono sintetizzabili in:

• titolare del trattamento;
• eventuali contitolari;
• responsabili del trattamento esterno o subresponsabili;
• soggetti autorizzati al trattamento dei dati personali;
• amministratore di sistema;
• eventuale data protection officer (DPO), se obbligatorio o per scelta volontaria.

L’assenza di un’organizzazione documentata e tracciabile può esporre l’ente a rilievi in caso di ispezione.

Il professionista può affiancare l’azienda nella redazione delle lettere di incarico e nel mantenimento dell’organigramma aggiornato.

DPIA e analisi dei rischi

Nel corso della fase di conduzione dell’audit, il professionista è tenuto a verificare che l’organizzazione abbia provveduto a una completa mappatura delle attività aziendali, includendo sia i processi primari che quelli di supporto, funzionali al conseguimento degli obiettivi strategici e operativi.

Inoltre, dovrà accertare che sia stata effettuata un’analisi dei rischi conforme a quanto previsto dal Regolamento UE n. 2016/679, finalizzata all’individuazione delle potenziali minacce – quali perdita, sottrazione o diffusione indebita dei dati personali trattati – e alla conseguente definizione e implementazione delle seguenti misure di mitigazione:

• contromisure preventive;
• azioni correttive;
• misure organizzative e tecniche idonee a garantire un adeguato livello di sicurezza.

Analisi dei rischi

Il principio del “risk-based approach” è centrale nel GDPR.

Ogni trattamento va valutato in termini di rischi per i diritti e le libertà degli interessati.

Tale valutazione deve considerare:

• Natura dei dati trattati;
• Finalità e contesto del trattamento;
• Probabilità e gravità del danno potenziale;
• Misure di sicurezza adottate o da adottare.

La valutazione dei rischi è propedeutica alla definizione delle misure tecniche e organizzative.

DPIA (Data Protection Impact Assessment)

Nei casi previsti dall’art. 35 del GDPR (trattamenti ad alto rischio), è obbligatoria una valutazione di impatto sulla protezione dei dati.

Il documento deve descrivere:

• Trattamenti effettuati;
• Finalità e basi giuridiche;
• Necessità e proporzionalità;
• Valutazione dei rischi residui;
• Misure di mitigazione adottate.

La DPIA consente di verificare il rispetto dei principi fondamentali rispetto al trattamento, cioè quelli inerenti:

• finalità;
• basi legali;
• adeguatezza dei dati;
• esattezza dei dati;
• periodo di conservazione;
• informativa;
• raccolta del consenso;
• diritto di accesso e diritto alla portabilità dei dati;
• diritto di rettifica e diritto di cancellazione;
• diritto di limitazione e diritto di opposizione;
• responsabili del trattamento;
• trasferimento dei dati;

e il rispetto delle misure esistenti o pianificate.

A fronte del risultato della DPIA, in caso di livello di rischio rilevato occorrerà eventualmente mettere in atto ulteriori misure, oltre quelle esistenti, finalizzate a mitigare il rischio stesso.

Le misure tecniche di sicurezza: Annex A ISO/IEC 27001:2022

Il GDPR non prescrive specifiche tecnologie, ma impone l’adozione di misure “adeguate”.

Per colmare tale genericità, risulta utile il riferimento all’Annex A della norma ISO/IEC 27001:2022, che individua 93 controlli raggruppati in quattro macroaree:

1. Controlli organizzativi: policy di sicurezza, classificazione delle informazioni, continuità operativa;
2. Controlli umani: formazione, consapevolezza, gestione degli accessi;
3. Controlli fisici: protezione dei locali e delle attrezzature;
4. Controlli tecnologici: protezione di reti, sistemi e applicazioni.

Conclusioni

Il ruolo del commercialista nell’ambito della protezione dei dati personali non si limita alla consulenza documentale.
Al contrario, egli assume sempre più le sembianze di un professionista strategico, capace di integrare competenze normative, organizzative e metodologiche, in linea con le richieste del GDPR, delle nuove direttive europee e degli standard internazionali.

La padronanza delle tecniche di audit, l’utilizzo di strumenti come i registri dell’accountability, la capacità di accompagnare le imprese nei processi di certificazione e nella predisposizione di sistemi di gestione privacy-oriented, sono gli ambiti in cui il professionista può fornire valore aggiunto e rafforzare il proprio ruolo all’interno del sistema delle professioni economico-giuridiche.

Riferimenti normativi:

• D.Lgs. 30 giugno 2003, n. 196; 
• Regolamento 27 aprile 2016, n. 2016/679; 
• Direttiva 14 dicembre 2022, n. 2022/2555; 
• CNDCEC, Documento 9 luglio 2025, “Il ruolo del Commercialista in materia di privacy e protezione dei dati (Reg. UE 2016/679): la valutazione della conformità al GDPR”. 

Iniziativa gratuita organizzata con l’approvazione dell’editore riservata agli iscritti alla nostra informativa. E’ severamente proibita la condivisione dell’articolo, della pagina e degli allegati e di qualsiasi contenuto condiviso.