// servizio · audit gdpr

Audit GDPR Tecnico

Verifica indipendente delle misure tecniche di sicurezza richieste dall'art. 32 GDPR. Pensato per chi gestisce dati sensibili: studi medici, legali, commercialisti e professionisti.

Cosa verifico

L'audit copre tutti i punti dell'art. 32 GDPR (Sicurezza del trattamento) tradotti in controlli tecnici concreti:

a) Pseudonimizzazione e cifratura

  • Cifratura dei database e dei filesystem (BitLocker, FileVault, LUKS)
  • TLS 1.2+ obbligatorio in tutte le comunicazioni
  • Backup cifrati on-site e off-site
  • Eventuale pseudonimizzazione di dati di lavoro/test

b) Riservatezza, integrità, disponibilità, resilienza

  • Sistema di backup 3-2-1 funzionante e testato
  • Antivirus / EDR enterprise grade
  • Aggiornamenti software (sistemi operativi, gestionali)
  • Controllo accessi (MFA, password policy, RBAC)
  • Segregazione di rete (Wi-Fi ospiti, IoT, server)
  • Logging di sicurezza e tracciamento accessi

c) Ripristino tempestivo

  • RTO e RPO definiti e testati
  • Procedure di disaster recovery documentate
  • Test di ripristino periodico

d) Procedura di test e valutazione regolare

  • Calendario di vulnerability assessment
  • Pentest periodici (per realtà più grandi)
  • Audit interni e formazione

Cosa ricevi

  • Report di audit (15-25 pagine) con findings e gravità
  • Mappatura findings → articoli GDPR (32, 25, 35)
  • Piano di remediation prioritizzato (3 livelli: critico/alto/medio)
  • Stima costi indicativi per ogni intervento
  • Riunione con il DPO o titolare (1h)
  • Templates: registro accessi, procedura data breach, policy backup

Per chi è ideale

Studi medici e dentistici

Cartelle cliniche, prescrizioni, dati FSE. Particolarmente esposti.

Studi legali e notarili

Atti, contratti, dati clienti. Riservatezza non negoziabile.

Commercialisti e CAF

Cassetto fiscale, fatturazione, dati anagrafici migliaia di clienti.

PMI con processi B2C

E-commerce, marketing, servizi che gestiscono molti utenti finali.

Tempi

10 giorni lavorativi dalla firma del contratto. Sopralluogo on-site (Umbria/Lazio) di 1 giorno + 5 giorni di analisi e reporting + riunione di consegna.

FAQ

Sostituisce il DPO?
No. Il DPO è una figura organizzativa con responsabilità continuative. L'audit GDPR Tecnico è un intervento "fotografia": misura lo stato attuale e ti dà il piano per adeguarti. Spesso lavoriamo in sinergia con il DPO esistente.
Mi dà la "certificazione GDPR"?
Non esiste una certificazione GDPR ufficiale italiana. Ricevi però un report indipendente firmato da consulente cybersecurity, utilizzabile come prova di accountability in caso di ispezione del Garante o controversia con clienti.
Quanto costano poi le remediation?
Dipende. Per studi piccoli tipicamente €500-2.000 (configurazioni, backup, MFA). Per studi medi €3.000-8.000 (segregazione rete, EDR, formazione). Il piano nel report ti dà stime puntuali.
Se non ho un IT interno?
Capita spesso negli studi piccoli. Posso eseguire io stesso le remediation tecniche più importanti (configurazione backup, MFA, hardening) o coordinarmi con il tuo fornitore IT esterno per evitare doppioni.