Cosa imparerai

> - Come identificare i dati personali nelle carte di lavoro e documentare la base giuridica ai sensi del GDPR Articolo 6 > - Come bilanciare i periodi di conservazione dell'ISA Italia 230 con i diritti di cancellazione del GDPR Articolo 17 > - Come implementare misure di sicurezza tecniche per proteggere i dati personali secondo l'Articolo 32 > - Quando e come rispondere a richieste di accesso e cancellazione durante un incarico attivo

Indice dei contenuti

1. Perché la procedura standard non regge 2. Identificazione dei dati personali nelle procedure di revisione 3. Base giuridica per il trattamento durante la revisione 4. Bilanciamento tra conservazione ISA Italia 230 e diritti GDPR 5. Esempio pratico: revisione di Meccanica Precisione S.r.l. 6. Checklist operativa per la conformità GDPR 7. Errori comuni nella gestione dei dati 8. Contenuti correlati

Perché la procedura standard non regge

Il modello di conservazione "tutto per dieci anni" è diffuso per una ragione economica, non giuridica. Differenziare i dati nel fascicolo richiede tempo che il budget dell'incarico non prevede. Si archivia tutto indifferenziato perché il costo di una granularità maggiore non è stato imputato a nessuna riga del forfait. Funziona finché nessuno chiede. Smette di funzionare quando arriva una richiesta ex Articolo 17, o quando il cliente — in una fase di due diligence o di dismissione — chiede di estrarre dalle nostre carte solo le informazioni non personali.

Nei casi che abbiamo visto, il problema non è mai stata la cattiva fede dello studio. È stata l'assenza di una categorizzazione ab origine. Alla fine dell'incarico, le carte di lavoro contengono quattro tipi di informazione mescolati: evidenze documentali neutre (fatture, contratti), dati personali strumentali (nomi e email di controparti contattate), dati personali sostanziali (liste paghe con stipendi nominativi), e ragionamento del revisore (note interne). Il Garante ha ripetutamente chiarito che il regime di conservazione di ciascun tipo è diverso. Il fascicolo monolitico non permette di applicare regimi diversi.

La riga di frattura pratica è una: dopo cinque anni dalla data del parere, l'obbligo ISA Italia 230 cessa. I dati personali presenti nelle carte di lavoro perdono la loro base giuridica di conservazione, a meno che un obbligo separato (procedimento giudiziario in corso, conservazione fiscale) non la rifornisca. Lo studio che non distrugge o anonimizza in quel momento è formalmente in violazione del principio di limitazione (Articolo 5(1)(e)). Si potrebbe dire che si tratta di una violazione tecnica di scarsa rilevanza — fino al momento in cui un ex dipendente del cliente la solleva.

Identificazione dei dati personali nelle procedure di revisione

L'Articolo 4(1) del GDPR definisce "dati personali" qualsiasi informazione relativa a una persona fisica identificata o identificabile. Nelle procedure di revisione, questi includono nomi di dipendenti nei registri paghe, firme sui documenti contabili, indirizzi email nelle comunicazioni aziendali, numeri di identificazione personale nei sistemi ERP.

L'ISA Italia 315.13 richiede la comprensione dei controlli interni pertinenti, che spesso comporta l'accesso ai sistemi contenenti dati personali. Il walk-through dei controlli sulle vendite può rivelare nomi di clienti, indirizzi di consegna e informazioni di contatto. La procedura di conferma dell'ISA Italia 505 può richiedere l'invio di comunicazioni contenenti dati personali a terzi.

La distinzione tra dati personali e dati aziendali non è sempre netta. Un indirizzo email "[email protected]" contiene sia il nome della persona (dato personale) sia il dominio aziendale. Un numero di fattura che include le iniziali del venditore è un dato personale. Il revisore deve mappare tutti i flussi di dati personali nelle procedure standard per identificare gli obblighi GDPR applicabili. In pratica, questo significa tickare le procedure ISA Italia 315, 330 e 505 nel programma di lavoro e segnalare, per ciascuna, se contempla il trattamento di dati personali. Nessuno lo fa al primo tentativo. Diventa naturale alla seconda revisione annuale della procedura interna.

Base giuridica per il trattamento durante la revisione

L'Articolo 6(1)(c) del GDPR fornisce la base giuridica principale per il trattamento dei dati personali durante la revisione: l'adempimento di un obbligo legale. La Direttiva 2006/43/CE all'Articolo 4, e in Italia il D.Lgs. 39/2010, stabiliscono l'obbligo di revisione per le entità di interesse pubblico e per le società che superano determinate soglie dimensionali.

Questa base giuridica copre l'ottenimento, l'analisi e la conservazione dei dati personali necessari per esprimere il giudizio di revisione. Non richiede il consenso dell'interessato ai sensi dell'Articolo 7. Il revisore può accedere ai registri delle presenze, analizzare le transazioni della carta di credito aziendale del direttore generale, confermare i saldi con controparti che siano persone fisiche. Se il cliente obietta, la base giuridica regge — purché sia documentata.

Il Considerando 45 specifica che il trattamento deve essere limitato al necessario per l'adempimento dell'obbligo. Il revisore non può conservare dati personali per finalità diverse dalla revisione (sviluppo commerciale, marketing, benchmark settoriale) senza una base giuridica separata. La documentazione della base giuridica deve apparire nelle carte di lavoro di pianificazione, insieme alla valutazione dei rischi dell'ISA Italia 315. Nella pratica, è una nota di tre righe nel memorandum. L'assenza di quelle tre righe è il rilievo ispettivo più comune in tema GDPR.

Bilanciamento tra conservazione ISA Italia 230 e diritti GDPR

L'ISA Italia 230.A21 stabilisce un periodo minimo di conservazione delle carte di lavoro di cinque anni dalla data del parere del revisore. L'Articolo 17 del GDPR riconosce il diritto alla cancellazione, ma l'Articolo 17(3)(b) prevede un'eccezione quando il trattamento è necessario per l'adempimento di un obbligo legale.

Durante i primi cinque anni, l'obbligo di conservazione dell'ISA Italia 230 prevale sul diritto di cancellazione. Il revisore può rifiutare le richieste documentando che la conservazione è necessaria per conformarsi agli obblighi professionali. Dopo cinque anni, la situazione si ribalta: l'assenza di obbligo di conservazione rende applicabile il diritto di cancellazione.

La complessità emerge quando l'entità revisionata conserva gli stessi dati personali per periodi più lunghi sulla base di proprie basi giuridiche (contratti di lavoro, obblighi fiscali ex C.C. e D.Lgs. 127/1991). Il revisore non può invocare le basi giuridiche del cliente. Deve valutare separatamente se la conservazione prolungata delle carte di lavoro soddisfi il principio di limitazione della conservazione dell'Articolo 5(1)(e). La migliore prassi è la distruzione automatica o l'anonimizzazione delle carte di lavoro contenenti dati personali al termine del periodo ISA Italia 230, salvo procedimenti legali in corso.

È proprio qui che si apre un disaccordo legittimo tra professionisti. Il partner A mantiene tutte le carte per dieci anni "per prudenza", invocando la possibilità di un contenzioso tardivo. Il partner B distrugge alla scadenza ISA perché ritiene che la conservazione oltre il necessario sia essa stessa una violazione GDPR. Entrambe le posizioni hanno argomenti solidi. Il partner A è più esposto sul versante GDPR, il partner B è più esposto sul versante della responsabilità professionale. La risposta concreta, per lo studio medio, non è scegliere una posizione universale ma distinguere per tipo di dato: anonimizzare i dati personali sostanziali alla scadenza ISA, mantenere il ragionamento del revisore e le evidenze non personali. È un compromesso che richiede una procedura di archiviazione già impostata all'inizio dell'incarico.

Esempio pratico: revisione di Meccanica Precisione S.r.l.

Contesto: Meccanica Precisione S.r.l., con sede a Bergamo, produce componenti per l'industria automotive. Ricavi 2023: EUR 42 milioni. 180 dipendenti. Revisione dei conti annuali per il periodo chiuso al 31 dicembre 2023.

Passo 1: Mappatura dei dati personali nella pianificazione Il team identifica tre categorie di dati personali: registri HR (nomi, CF, stipendi), comunicazioni email con fornitori persone fisiche, firme sui documenti contabili principali. Si documenta la base giuridica (Articolo 6(1)(c) — obbligo legale di revisione) nel memorandum di pianificazione.

Nota di documentazione: "GDPR - Base giuridica: Art. 6(1)(c). Obbligo legale ex D.Lgs. 39/2010. Dati personali limitati al necessario per ISA Italia 315 e ISA Italia 330."

Passo 2: Implementazione delle misure di sicurezza Le carte di lavoro elettroniche vengono crittografate con AES-256. L'accesso è limitato al team di revisione tramite autenticazione a due fattori. I backup sono conservati su server europei. Nessuna copia locale su dispositivi non crittografati.

Nota di documentazione: "Misure tecniche Art. 32: crittografia AES-256, 2FA, server EU, policy BYOD aggiornata marzo 2024."

Passo 3: Gestione delle richieste degli interessati A giugno 2024, un ex dipendente richiede la cancellazione dei propri dati dalle carte di lavoro. Il team valuta che la conservazione rimane necessaria fino al maggio 2029 (cinque anni dalla data del parere di aprile 2024) per conformità ISA Italia 230.A21.

Nota di documentazione: "Richiesta cancellazione 15/06/2024. Risposta negativa documentata. Eccezione Art. 17(3)(b) applicabile fino 30/04/2029."

Passo 4: la complicazione emersa in fase di archiviazione A novembre 2024, il CFO del cliente chiede copia delle nostre carte di lavoro per una due diligence in corso. Il contratto di prestazione non prevede la condivisione con terzi. Il partner A propone di fornire il fascicolo integrale perché "è roba loro". Il partner B rifiuta: le carte di lavoro contengono dati personali di ex dipendenti che non hanno acconsentito alla condivisione con il potenziale acquirente, e il contratto di revisione non costituisce base giuridica per il trasferimento a terzi.

Si tratta di un disaccordo non banale. La posizione A è economicamente più comoda (il cliente chiede, il cliente ottiene). La posizione B è giuridicamente più solida. La risoluzione adottata: lo studio produce un estratto del fascicolo con i dati personali pseudonimizzati, sufficiente per la finalità di due diligence ma conforme al principio di minimizzazione ex Articolo 5(1)(c). Il processo di pseudonimizzazione è costato due giornate di lavoro non pianificate. Il dato di realtà: il forfait non le copriva.

Nota di documentazione: "Richiesta cliente 15/11/2024 per due diligence. Estratto pseudonimizzato prodotto 25/11/2024. Documentazione della base giuridica del trasferimento: legittimo interesse del titolare cliente ex Art. 6(1)(f), con misure di minimizzazione GDPR Art. 25."

Passo 5: Distruzione programmata Il sistema automatizza la distruzione delle sezioni contenenti dati personali dopo il periodo di conservazione obbligatorio. I riferimenti ai principi contabili e alle procedure di controllo (privi di dati personali) vengono conservati per riferimenti futuri.

Nota di documentazione: "Distruzione automatica programmata: 01/05/2029. Conservazione permanente: metodologie, controlli, conclusioni (anonimizzate)."

Conclusione: il fascicolo rispetta sia l'ISA Italia 230 sia il GDPR. Le misure di sicurezza sono proporzionate al rischio. La documentazione regge eventuali verifiche ispettive sia del MEF sia del Garante per la protezione dei dati personali.

Checklist operativa per la conformità GDPR

1. Identificare i dati personali in ogni sezione del fascicolo di revisione — Mappare nomi, indirizzi email, firme e identificativi personali nelle procedure ISA Italia 315, 330 e 505 2. Documentare la base giuridica nel memorandum di pianificazione — Citare l'Articolo 6(1)(c) del GDPR e il D.Lgs. 39/2010 che impone la revisione 3. Implementare misure di sicurezza tecniche appropriate — Crittografia end-to-end, autenticazione forte, backup geograficamente conformi (Articolo 32) 4. Stabilire procedure per le richieste degli interessati — Template di risposta che citi l'eccezione dell'Articolo 17(3)(b) durante il periodo ISA Italia 230.A21 5. Programmare la distruzione o l'anonimizzazione automatica dei dati personali — Sistema di cancellazione dopo cinque anni dalla data del parere, mantenendo le sezioni anonimizzate per riferimento metodologico 6. Formare il team sui principi di minimizzazione — I dati personali si raccolgono solo quando strettamente necessari per specifiche procedure di revisione (Articolo 5(1)(c))

Errori comuni nella gestione dei dati

- Conservazione indiscriminata oltre il periodo ISA Italia 230: molti studi conservano tutte le carte di lavoro indefinitamente senza distinguere tra dati personali e informazioni tecniche, violando il principio di limitazione della conservazione. È il comportamento più diffuso, e anche quello che il Garante ha indicato come prioritario nei provvedimenti 2024. - Base giuridica non documentata: l'omessa documentazione della base giuridica nelle carte di lavoro rende difficile rispondere alle richieste degli interessati e alle verifiche ispettive. Tre righe nel memorandum di pianificazione evitano tre ore di ricostruzione ex post. - Trasferimenti ai clienti senza base giuridica autonoma: su richiesta del cliente, molti studi condividono l'intero fascicolo in contesti di due diligence o contenziosi interni senza valutare se il contratto di revisione copra il trasferimento a terzi. Non lo copre.

Contenuti correlati

- Glossario: dati personali nella revisione — definizioni tecniche ed esempi pratici per identificare i dati personali nelle procedure di revisione standard - Calcolatore periodi di conservazione ISA Italia 230 — strumento per calcolare automaticamente le date di distruzione obbligatoria delle carte di lavoro - Template di risposta alle richieste GDPR durante la revisione — modelli pronti all'uso per gestire richieste di accesso, rettifica e cancellazione

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.