Questa checklist è uno strumento operativo per valutare il livello di conformità privacy di un fornitore esterno prima di affidargli il trattamento di dati personali per conto del titolare. Le domande coprono gli aspetti tecnici, organizzativi e normativi richiesti dal GDPR, con particolare attenzione all’art. 28 in materia di responsabili del trattamento. Un’analisi strutturata del fornitore rientra a pieno titolo in un processo di Risk Assessment che considera anche i rischi introdotti dalla catena di fornitura.
Istruzioni per il fornitore. Il presente documento è un template di due diligence privacy che il titolare del trattamento sottopone al fornitore esterno prima della formalizzazione del rapporto contrattuale. Per ciascuna voce, compilare la colonna Risposta con le informazioni richieste. Dove indicato con «Se sì, specificare» o formule equivalenti, fornire il dettaglio solo in caso di risposta affermativa. Le risposte incomplete o assenti saranno considerate indicatori di rischio ai fini della valutazione.
1. Dati trattati
| Voce / Domanda |
Risposta |
| Quali trattamenti saranno effettuati dal fornitore per conto del titolare del trattamento? |
|
2. Addetti al trattamento
| Voce / Domanda |
Risposta |
| È stata elaborata la lista degli addetti al trattamento? |
|
| I componenti della lista sono stati formalmente nominati? |
|
| La lista viene verificata almeno annualmente? |
|
| È stato predisposto un programma di formazione degli addetti, con sessioni tenute da personale qualificato e/o materiale formativo consegnato a ciascun addetto? |
|
3. Sub-fornitori
| Voce / Domanda |
Risposta |
| Per il trattamento effettuato per conto del titolare, saranno coinvolti sub-fornitori? |
Se sì, indicare per ciascun sub-fornitore ragione sociale, trattamento affidato, Paese in cui i dati potrebbero essere trasferiti e legittimità dell’eventuale trasferimento extra-UE. |
4. Privacy by design e by default
| Voce / Domanda |
Risposta |
| Saranno adottate politiche interne e misure che soddisfano i principi della protezione dei dati fin dalla progettazione e per impostazione predefinita? |
Se sì, specificare le misure adottate |
5. Registro delle attività di trattamento
| Voce / Domanda |
Risposta |
| Il fornitore tiene un Registro delle categorie di attività di trattamento in qualità di responsabile, per i trattamenti effettuati per conto del titolare (art. 30.2 GDPR)? |
|
| È stato elaborato un Registro delle attività di trattamento in qualità di titolare (art. 30.1 GDPR)? |
|
6. Gestione delle violazioni di dati personali
| Voce / Domanda |
Risposta |
| In caso di violazione dei dati personali che coinvolga dati trattati per conto del titolare, è prevista una procedura di notifica al titolare? |
Se sì, fornirne una breve descrizione |
7. Analisi dei rischi sulla protezione dei dati
| Voce / Domanda |
Risposta |
| È stata condotta un’analisi dei rischi sui processi ad alto rischio in cui vengono trattati dati personali per conto del titolare? |
|
8. Sicurezza del trattamento
| Voce / Domanda |
Risposta |
| Sono previste misure tecniche e organizzative adeguate al rischio per i dati personali trattati per conto del titolare? |
Se sì, descrivere le misure adottate |
9. Trattamento dati su supporto cartaceo
| Voce / Domanda |
Risposta |
| Sono state impartite agli addetti istruzioni scritte per il controllo e la custodia degli atti e documenti contenenti dati personali trattati per conto del titolare? |
|
| Gli atti contenenti dati particolari o giudiziari sono custoditi in modo da impedirne l’accesso a persone non autorizzate e restituiti al termine delle operazioni? |
|
| È attivo un sistema di controllo degli accessi agli ambienti fisici (uffici, magazzini, locali tecnici)? |
|
| Esiste un registro di identificazione delle persone ammesse agli archivi contenenti dati particolari o giudiziari, in particolare fuori dall’orario di lavoro? |
|
10. Trattamento dati con strumenti elettronici
| Voce / Domanda |
Risposta |
| I computer utilizzati sono collegati a una rete locale? Se sì, la rete è connessa a internet? |
Se sì, specificare |
| Sono state adottate policy per l’utilizzo degli strumenti informatici? |
|
| Per il trattamento dei dati vengono utilizzati dispositivi portatili (notebook, smartphone, tablet)? Se sì, esistono policy specifiche per tali dispositivi? |
Se sì, specificare |
| È prevista una procedura di backup con cadenza almeno settimanale? |
|
| I supporti rimovibili contenenti copie dei dati sono custoditi in archivi chiusi o con sistemi che impediscano accessi non autorizzati? |
|
| I supporti di backup sono distrutti o riformattati quando non più utilizzati? |
|
| Sono state adottate procedure per il ripristino della disponibilità dei dati e dei sistemi? |
|
| La manutenzione dei sistemi è affidata a terzi? Se sì, esiste un registro aggiornato degli incaricati con l’indicazione degli interventi effettuati? |
Se sì, specificare |
| Indicare le misure di sicurezza adottate per il trattamento dati svolto per conto del titolare attraverso strumenti elettronici. |
|
11. Sistema di autenticazione informatica
| Voce / Domanda |
Risposta |
| Gli utenti dispongono di credenziali di autenticazione personali (username e password) per l’accesso ai sistemi? |
|
| Le password sono univoche per ciascun utente e note solo all’interessato? |
|
| Sono state fornite per iscritto agli incaricati le istruzioni per garantire la segretezza delle credenziali e la custodia dei dispositivi in uso esclusivo? |
|
| Descrivere le caratteristiche delle password (lunghezza minima, complessità, scadenza). |
|
| Le password vengono modificate al primo utilizzo e cambiate almeno ogni sei mesi (ogni tre mesi per dati particolari)? |
|
| È prevista la procedura per la disabilitazione delle credenziali quando un incaricato perde il diritto di accesso? |
|
| Sono impartite istruzioni per non lasciare incustodito e accessibile lo strumento elettronico durante la sessione di trattamento? |
|
| In caso di assenza prolungata dell’incaricato o di interventi urgenti di sistema, esistono disposizioni scritte che definiscono le modalità con cui il titolare può accedere ai dati e agli strumenti? |
Se sì, specificare |
| Esiste una copia delle credenziali di autenticazione affidata per iscritto a un custode responsabile, con obbligo di informare tempestivamente l’incaricato di eventuali accessi effettuati? |
|
12. Amministratori di sistema
| Voce / Domanda |
Risposta |
| Gli amministratori di sistema sono stati valutati per esperienza, capacità e affidabilità, e designati per iscritto con indicazione degli ambiti di operatività? |
|
| Gli estremi identificativi degli amministratori di sistema e l’elenco delle funzioni attribuite sono conservati in un documento aggiornato? |
|
| L’operato degli amministratori è sottoposto ad attività di verifica almeno annuale, per controllarne la rispondenza alle misure di sicurezza previste? |
|
| È effettuata la registrazione degli accessi logici (access log) eseguiti dagli amministratori di sistema? |
|
| Le registrazioni degli access log sono conservate e tenute costantemente a disposizione del titolare? |
|
13. Policy e procedure
| Voce / Domanda |
Risposta |
| Esiste una policy che descriva il piano di risposta agli incidenti informatici? |
Se sì, fornirne evidenza |
| È presente una procedura di smaltimento e riciclo dei dispositivi basata sugli standard applicabili? |
|
| Sono definite le procedure per gestire l’esercizio dei diritti degli interessati previsti dal GDPR (accesso, rettifica, cancellazione, ecc.) relativamente ai trattamenti affidati al fornitore? |
|
| Elencare le procedure disponibili. |
|
14. Responsabile della protezione dei dati (DPO)
| Voce / Domanda |
Risposta |
| La vostra società ha nominato un DPO? |
Se sì, indicare nominativo e recapiti |
15. Trasferimento dei dati
| Voce / Domanda |
Risposta |
| La vostra società tratterà dati al di fuori dello stabilimento principale per conto del titolare? |
|
| Se sì, il processo è gestito in conformità ai requisiti GDPR? |
Se sì, specificare |
| In quali data center vengono conservati i dati? Specificare: a) se sono di proprietà del fornitore o di terze parti; b) se si trovano in Paesi UE o extra-UE. |
|
| In caso di trasferimento verso Paesi extra-UE, indicare quali Paesi e la base giuridica del trasferimento (art. 44 GDPR). |
Se applicabile, specificare |
| La vostra società eroga servizi in modalità cloud per il servizio prestato? |
|
| Se sì, il processo è gestito in conformità ai requisiti GDPR e al decalogo sul cloud computing del Garante italiano per la protezione dei dati personali? |
Se sì, specificare |
| Quali misure di sicurezza adotta il fornitore per proteggere i dati nel cloud? |
|
| Chi è il reale fornitore del servizio cloud acquisito? Si tratta di una singola società o di un consorzio? |
|
| In caso di interruzione della connessione internet, è possibile continuare a usufruire dei servizi senza accesso al cloud? |
|
| In quanto tempo può essere ripristinato il sistema? Esistono piani di continuità per i servizi essenziali? |
|
| In caso di recupero dei dati, in quale formato vengono rilasciati? |
|
| Esistono garanzie di riservatezza nel caso in cui un concorrente condivida gli stessi servizi cloud? |
|
| In quale Stato sono conservati i dati? È possibile scegliere server collocati esclusivamente in territorio nazionale o nell’Unione europea? |
|
| La tecnologia cloud utilizzata è di tipo proprietario? I dati possono essere esportati facilmente verso altri fornitori? |
|
| In caso di violazione o perdita dei dati, il fornitore garantisce un risarcimento del danno? |
|
16. Certificazioni
| Voce / Domanda |
Risposta |
| La vostra società è certificata ISO/IEC 27001 o possiede altre certificazioni rilevanti in ambito sicurezza delle informazioni? |
Se sì, indicare le certificazioni possedute |
17. Sviluppo sicuro del software (se applicabile)
| Voce / Domanda |
Risposta |
| Sono state seguite le linee guida per lo sviluppo sicuro del software AGID? |
Se sì, indicare l’ultima versione adottata |
| Sono state adottate altre linee guida per lo sviluppo sicuro (es. OWASP)? |
Se sì, indicare quali e la versione di riferimento |
18. Controlli essenziali di cybersecurity
| Voce / Domanda |
Risposta |
| Applicabilità DORA: la vostra società opera nel settore finanziario o assicurativo, oppure fornisce servizi ICT (es. cloud, analisi dati) a imprese di tali settori? |
|
| Applicabilità NIS: la vostra società opera in settori critici (trasporti, banche, infrastrutture finanziarie) ai sensi della Direttiva NIS 1, oppure come fornitore digitale, gestore di rifiuti, servizi postali o organizzazione di ricerca ai sensi della NIS 2? |
|
| Inventario dispositivi e software: esiste e viene mantenuto aggiornato un inventario dei sistemi, software, dispositivi, servizi e applicazioni in uso nel perimetro aziendale? |
|
| I servizi web di terze parti (social network, cloud, posta elettronica, ecc.) a cui si è registrati sono limitati a quelli strettamente necessari? |
|
| Sono identificate le informazioni, i dati e i sistemi critici da proteggere in via prioritaria? |
|
| È stato nominato un referente responsabile per il coordinamento delle attività di gestione e protezione delle informazioni e dei sistemi informatici? |
|
| Sono identificate e rispettate le normative con rilevanza in tema di cybersecurity applicabili alla vostra organizzazione? |
|
| Protezione da malware: tutti i dispositivi che lo consentono sono dotati di software antivirus/antimalware regolarmente aggiornato? |
|
| Gestione password e account: le password sono diverse per ogni account, di complessità adeguata, e viene valutato l’utilizzo dell’autenticazione a due fattori? |
|
| Il personale autorizzato all’accesso ai sistemi dispone di utenze personali non condivise? Gli account non più utilizzati vengono disattivati? |
|
| Ogni utente può accedere solo alle informazioni e ai sistemi di propria competenza (principio del minimo privilegio)? |
|
| Formazione e consapevolezza: il personale è formato e sensibilizzato sui rischi di cybersecurity e sull’uso sicuro degli strumenti aziendali? |
|
| La configurazione di sistemi e dispositivi è gestita da personale esperto? Le credenziali di accesso predefinite vengono sempre sostituite? |
|
| Vengono eseguiti periodicamente backup delle informazioni e dei dati critici? |
|
| Protezione delle reti: reti e sistemi sono protetti da accessi non autorizzati tramite firewall o altri strumenti anti-intrusione? |
|
| In caso di incidente (attacco rilevato, malware), vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto? |
|
| Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione raccomandata dal produttore? I dispositivi e software obsoleti vengono dismessi? |
|
19. Utilizzo dell’intelligenza artificiale
| Voce / Domanda |
Risposta |
| Utilizzate algoritmi o altre forme di intelligenza artificiale? |
Se sì, specificare in quali processi |
| Adottate un modello strutturato per la gestione e il monitoraggio dei sistemi di IA (AI Conformity Assessment)? |
|
| È stata condotta una valutazione d’impatto sui diritti fondamentali (FRIA)? |
|
20. Data Act
| Voce / Domanda |
Risposta |
| Operate nel settore dell’IoT o producete/distribuite dispositivi connessi che generano dati? |
|
| Utilizzate Privacy Preserving Technologies? |
Se sì, indicare quali |
21. Whistleblowing (D.lgs. 24/2023)
| Voce / Domanda |
Risposta |
| La vostra società è soggetta all’applicazione del D.lgs. 24/2023? |
|
| Se sì, sono state adottate le procedure previste dal Decreto? |
Se sì, specificare |
Approfondimenti utili
- Risk Assessment — per strutturare una valutazione del rischio che includa i fornitori esterni e la catena di fornitura.
- GDPR Compliance — per verificare e mantenere la conformità al Regolamento europeo sulla protezione dei dati.
- ISO/IEC 27001 Compliance — per implementare o mantenere un sistema di gestione della sicurezza delle informazioni certificato.
Domande frequenti
- Chi deve compilare questa checklist di due diligence privacy?
- La checklist è destinata al fornitore esterno che tratterà dati personali per conto del titolare. È il fornitore a dover rispondere alle domande e fornire le evidenze richieste; il titolare la utilizza per valutare il livello di conformità prima di formalizzare il rapporto contrattuale e la nomina a responsabile del trattamento ai sensi dell’art. 28 GDPR.
- In quale fase del processo di selezione va utilizzata questa due diligence?
- Idealmente prima della firma del contratto, durante la fase di qualifica del fornitore. È opportuno ripeterla periodicamente — almeno una volta l’anno — per verificare che il fornitore mantenga nel tempo le misure dichiarate, in linea con quanto previsto dall’art. 28 GDPR.
- Cosa fare se il fornitore non è in grado di rispondere ad alcune domande?
- Le lacune nelle risposte sono esse stesse un indicatore di rischio. Il titolare deve valutare la gravità delle mancanze rispetto alla tipologia di dati trattati e decidere se procedere con misure compensative, richiedere un piano di adeguamento con scadenze definite, oppure escludere il fornitore dalla selezione.
Vuoi rafforzare la sicurezza del tuo business con un Risk Assessment avanzato?
Affidati a ISGroup per:
- Assessment gratuito in 48h
- Demo personalizzata delle soluzioni proposte
- Consulenza tecnica con esperti certificati OSCP/CISSP
- Strategia di sicurezza su misura per il tuo business
Parla con un esperto
