Come identificare i dati personali nelle carte di lavoro di revisione e documentare la base giuridica ai sensi del GDPR Articolo 6 Come bilanciare i periodi di conservazione dell'ISA 230 con i diritti di cancellazione del GDPR Articolo 17 Come implementare misure di sicurezza tecniche

Cosa imparerai

Come identificare i dati personali nelle carte di lavoro di revisione e documentare la base giuridica ai sensi del GDPR Articolo 6
Come bilanciare i periodi di conservazione dell'ISA 230 con i diritti di cancellazione del GDPR Articolo 17
Come implementare misure di sicurezza tecniche per proteggere i dati personali secondo l'Articolo 32
Quando e come rispondere alle richieste di accesso e cancellazione durante un incarico di revisione attivo

Indice dei contenuti

Identificazione dei dati personali nelle procedure di revisione

L'Articolo 4(1) del GDPR definisce "dati personali" qualsiasi informazione relativa a una persona fisica identificata o identificabile. Nelle procedure di revisione, questi includono nomi di dipendenti nei registri paghe, firme sui documenti contabili, indirizzi email nelle comunicazioni aziendali e numeri di identificazione personale nei sistemi ERP.
L'ISA 315.13 richiede l'ottenimento della comprensione dei controlli interni pertinenti, che spesso comporta l'accesso ai sistemi contenenti dati personali. Il walk-through dei controlli sulle vendite può rivelare nomi di clienti, indirizzi di consegna e informazioni di contatto. La procedura di conferma dell'ISA 505 può richiedere l'invio di comunicazioni contenenti dati personali a terzi.
La distinzione tra dati personali e dati aziendali non è sempre netta. Un indirizzo email "[email protected]" contiene sia il nome della persona (dato personale) sia il dominio aziendale. Un numero di fattura che include le iniziali del venditore è un dato personale. Il revisore deve mappare tutti i flussi di dati personali nelle procedure standard per identificare gli obblighi GDPR applicabili.

Base giuridica per il trattamento durante la revisione

L'Articolo 6(1)(c) del GDPR fornisce la base giuridica principale per il trattamento dei dati personali durante la revisione: l'adempimento di un obbligo legale. La Direttiva 2006/43/CE all'Articolo 4 stabilisce l'obbligo di revisione per le entità di interesse pubblico e le società che superano determinate soglie dimensionali.
Questa base giuridica copre l'ottenimento, l'analisi e la conservazione dei dati personali necessari per esprimere il giudizio di revisione. Non richiede il consenso dell'interessato ai sensi dell'Articolo 7. Il revisore può accedere ai registri delle presenze, analizzare le transazioni della carta di credito aziendale del direttore generale e confermare i saldi con controparti che sono persone fisiche.
Il Considerando 45 del GDPR specifica che il trattamento deve essere limitato al necessario per l'adempimento dell'obbligo. Il revisore non può conservare dati personali per finalità diverse dalla revisione (come sviluppo commerciale o marketing) senza una base giuridica separata. La documentazione della base giuridica deve apparire nelle carte di lavoro di pianificazione insieme alla valutazione dei rischi dell'ISA 315.

Bilanciamento tra conservazione ISA 230 e diritti GDPR

L'ISA 230.A21 stabilisce un periodo minimo di conservazione delle carte di lavoro di cinque anni dalla data del parere del revisore. L'Articolo 17 del GDPR riconosce il diritto alla cancellazione, ma l'Articolo 17(3)(b) prevede un'eccezione quando il trattamento è necessario per l'adempimento di un obbligo legale.
Durante i primi cinque anni, l'obbligo di conservazione dell'ISA 230 prevale sul diritto di cancellazione. Il revisore può rifiutare le richieste di cancellazione documentando che la conservazione è necessaria per conformarsi agli obblighi professionali. Dopo cinque anni, la situazione si ribalta: l'assenza di obbligo di conservazione rende applicabile il diritto di cancellazione.
La complessità emerge quando l'entità revisionata conserva gli stessi dati personali per periodi più lunghi sulla base di proprie basi giuridiche (contratti di lavoro, obblighi fiscali). Il revisore non può invocare le basi giuridiche del cliente. Deve valutare separatamente se la conservazione prolungata delle carte di lavoro soddisfi il principio di limitazione della conservazione dell'Articolo 5(1)(e). La migliore prassi è la distruzione automatica delle carte di lavoro contenenti dati personali al termine del periodo ISA 230, salvo procedimenti legali in corso.

Esempio pratico: Revisione di Meccanica Precisione S.r.l.

Contesto: Meccanica Precisione S.r.l., con sede a Bergamo, produce componenti per l'industria automotive. Ricavi 2023: €42 milioni. 180 dipendenti. Revisione dei conti annuali per il periodo chiuso al 31 dicembre 2023.
Passo 1: Mappatura dei dati personali nella pianificazione
Il team identifica tre categorie di dati personali: registri HR (nomi, CF, stipendi), comunicazioni email con fornitori persone fisiche, firme sui documenti contabili principali. Si documenta la base giuridica (Articolo 6(1)(c) - obbligo legale di revisione) nel memorandum di pianificazione.
Nota di documentazione: "GDPR - Base giuridica: Art. 6(1)(c). Obbligo legale ex D.Lgs. 39/2010. Dati personali limitati al necessario per ISA 315 e ISA 330."
Passo 2: Implementazione delle misure di sicurezza
Le carte di lavoro elettroniche vengono crittografate con AES-256. L'accesso è limitato al team di revisione tramite autenticazione a due fattori. I backup sono conservati su server europei. Nessuna copia locale su dispositivi non crittografati.
Nota di documentazione: "Misure tecniche Art. 32: crittografia AES-256, 2FA, server EU, policy BYOD aggiornata marzo 2024."
Passo 3: Gestione delle richieste degli interessati
A giugno 2024, un ex dipendente richiede la cancellazione dei propri dati dalle carte di lavoro. Il team valuta che la conservazione rimane necessaria fino al maggio 2029 (cinque anni dalla data del parere di aprile 2024) per conformità ISA 230.A21.
Nota di documentazione: "Richiesta cancellazione 15/06/2024. Risposta negativa documentata. Eccezione Art. 17(3)(b) applicabile fino 30/04/2029."
Passo 4: Distruzione programmata
Il sistema automatizza la distruzione delle sezioni contenenti dati personali dopo il periodo di conservazione obbligatorio. I riferimenti ai principi contabili e alle procedure di controllo (privi di dati personali) vengono conservati per riferimenti futuri.
Nota di documentazione: "Distruzione automatica programmata: 01/05/2029. Conservazione permanente: metodologie, controlli, conclusioni (anonimizzate)."
Conclusione: Il fascicolo rispetta sia l'ISA 230 sia il GDPR. Le misure di sicurezza sono proporzionate al rischio. La documentazione supporta eventuali verifiche ispettive sia da parte degli organismi di vigilanza sulla revisione sia delle autorità per la protezione dei dati.

Checklist operativa per la conformità GDPR

  • Identificare i dati personali in ogni sezione del fascicolo di revisione - Mappare nomi, indirizzi email, firme e identificativi personali nelle procedure ISA 315, ISA 330 e ISA 505
  • Documentare la base giuridica nel memorandum di pianificazione - Citare l'Articolo 6(1)(c) del GDPR e il riferimento legislativo nazionale che impone la revisione
  • Implementare misure di sicurezza tecniche appropriate - Crittografia end-to-end, autenticazione forte, backup geograficamente conformi (Articolo 32)
  • Stabilire procedure per le richieste degli interessati - Template di risposta che cita l'eccezione dell'Articolo 17(3)(b) durante il periodo ISA 230.A21
  • Programmare la distruzione automatica dei dati personali - Sistema automatico di cancellazione dopo cinque anni dalla data del parere, mantenendo le sezioni anonimizzate per riferimento metodologico
  • Formare il team sui principi di minimizzazione - I dati personali vengono raccolti solo quando strettamente necessari per specifiche procedure di revisione (Articolo 5(1)(c))

Errori comuni nella gestione dei dati

  • Conservazione indiscriminata oltre il periodo ISA 230: Molti studi conservano tutte le carte di lavoro indefinitamente senza distinguere tra dati personali e informazioni tecniche, violando il principio di limitazione della conservazione
  • Base giuridica non documentata: L'omessa documentazione della base giuridica nelle carte di lavoro rende difficile rispondere alle richieste degli interessati e alle verifiche ispettive

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.