DSAR, cancellazione ed evidenze ISO 27001 nel 2026
L’e-mail è arrivata nella casella di posta di Sarah alle 9:03.
Non era la prima Data Subject Access Request ricevuta dalla sua azienda SaaS in forte crescita. Era la prima che sembrava un audit pubblico.
Il mittente era un ex dipendente, ora attivista per la tutela della privacy. La richiesta citava gli articoli del GDPR per numero e chiedeva tutti i dati personali, la limitazione immediata del trattamento, l’elenco di ogni servizio di terze parti che deteneva i suoi dati e una prova verificabile della cancellazione dai sistemi di produzione e dai backup. Un giornalista era in copia.
Nel giro di pochi minuti sono emerse le lacune. L’engineering ha avvertito che una “cancellazione effettiva” da un database multi-tenant avrebbe potuto incidere su altri clienti. Il marketing stava ricostruendo i dati utente distribuiti tra piattaforme di analytics. Il legale ha individuato una questione di lavoro non risolta. La sicurezza temeva che i log potessero rivelare logiche di rilevazione o dati di un’altra persona. Il supporto aveva registrazioni associate a due indirizzi e-mail. La finanza aveva fatture associate a un terzo indirizzo.
Il tempo aveva già iniziato a decorrere.
Questo scenario non è più insolito. Nel 2026 i diritti degli interessati non sono un problema da casella e-mail privacy. Sono un processo aziendale controllato che dipende da inventari degli asset, decisioni sulla base giuridica, verifica dell’identità, controllo degli accessi, regole di conservazione, legal hold, coordinamento dei fornitori, comunicazione sicura, evidenze di cancellazione e logging pronto per l’audit.
Il GDPR indica alle organizzazioni quali diritti spettano alle persone. ISO/IEC 27001:2022 fornisce ai team di sicurezza e compliance la disciplina del sistema di gestione necessaria per dimostrare che tali diritti sono gestiti in modo coerente, sicuro e ripetibile.
Per i CISO, i responsabili compliance, i responsabili privacy e i titolari di processo, l’obiettivo non è produrre altra documentazione. L’obiettivo è costruire un unico workflow DSAR, di cancellazione e di limitazione affidabile, capace di generare le evidenze richieste dal GDPR, dagli audit ISO/IEC 27001:2022 e dalle più ampie aspettative di assurance previste da NIS2, DORA, NIST CSF 2.0 e COBIT 2019.
Perché la gestione ad hoc delle DSAR fallisce sotto pressione
La maggior parte degli errori nelle DSAR non deriva da cattive intenzioni. Deriva dalla frammentazione.
Un’organizzazione può avere un’informativa privacy, una casella DPO e una clausola GDPR nei contratti con i fornitori, ma continuare ad avere difficoltà a rispondere a domande operative essenziali:
- Chi valida l’identità del richiedente?
- Quale soggetto giuridico agisce come titolare o responsabile del trattamento?
- Quali sistemi devono essere oggetto di ricerca?
- Chi è il proprietario di ciascun sistema?
- Quali dati rientrano nell’ambito della richiesta?
- Quali dati devono essere oscurati prima della comunicazione?
- Quali dati non possono essere cancellati per ragioni fiscali, di audit, contenzioso, prevenzione delle frodi o obbligo legale?
- Come viene applicata tecnicamente la limitazione del trattamento?
- Quali fornitori devono supportare ricerca, esportazione, cancellazione o limitazione?
- Quali evidenze dimostrano che la richiesta è stata gestita nei tempi previsti?
- Cosa accade se la DSAR rivela una violazione dei dati personali?
L’articolo 5 GDPR richiede che i dati personali siano trattati in modo lecito, corretto e trasparente, raccolti per finalità determinate, limitati a quanto necessario, mantenuti esatti, conservati non oltre il necessario e protetti con misure tecniche e organizzative adeguate. L’articolo 5(2) rende esplicita la responsabilizzazione: il titolare deve essere in grado di dimostrare la conformità. L’articolo 4 definisce il trattamento in senso ampio, includendo raccolta, archiviazione, uso, comunicazione, limitazione, cancellazione e distruzione.
Questo significa che il processo DSAR è esso stesso un’attività di trattamento. Deve essere controllato.
Anche l’articolo 3 GDPR è rilevante per imprese cloud, SaaS, fintech e digitali al di fuori dell’UE. Se offri beni o servizi a persone nell’Unione, ne monitori il comportamento oppure tratti dati personali nel contesto di uno stabilimento nell’UE, il GDPR può applicarsi anche quando le attività sono esternalizzate o l’infrastruttura è globale.
ISO/IEC 27001:2022 porta struttura in questa realtà. Le clausole 4.1-4.4 richiedono all’organizzazione di comprendere il proprio contesto, le parti interessate, i requisiti, il campo di applicazione del SGSI e i processi interagenti. Un interessato è una parte interessata. I diritti previsti dal GDPR sono requisiti. Applicazioni SaaS, provider di identità, piattaforme di analytics, strumenti di supporto, data warehouse e backup cloud sono processi interagenti. Un workflow DSAR appartiene al SGSI, non deve restarne ai margini.
I tre diritti degli interessati che generano maggiore pressione
Accesso, cancellazione e limitazione mettono in evidenza il divario più ampio tra promessa legale e capacità operativa.
| Diritto | Focus GDPR | Domanda operativa | Errore comune | Evidenze attese dagli auditor |
|---|---|---|---|---|
| Richiesta di accesso o DSAR | Articolo 15 | Siamo in grado di localizzare, riesaminare e comunicare in modo sicuro i dati personali del richiedente? | Ricerca incompleta nei sistemi, verifica dell’identità debole o comunicazione accidentale di dati di terze parti | Registrazione di presa in carico, validazione dell’identità, log di ricerca nei sistemi, registro delle oscurazioni, approvazione, copia della risposta, evidenza di chiusura |
| Richiesta di cancellazione | Articolo 17 | Possiamo cancellare i dati personali quando richiesto, preservando al contempo i dati che devono restare per legge? | Cancellare troppo, cancellare troppo poco, ignorare i backup o non registrare le eccezioni | Decisione di cancellazione, analisi della base giuridica, ticket di cancellazione, conferme dei sistemi, trattamento dei backup, verifiche di legal hold |
| Richiesta di limitazione | Articolo 18 | Possiamo interrompere il trattamento attivo senza compromettere obblighi aziendali, di sicurezza o legali? | Nessun metodo tecnico per contrassegnare le registrazioni soggette a limitazione negli strumenti SaaS e nelle pipeline di dati | Flag di limitazione, modifiche agli accessi, prova di soppressione, registro delle eccezioni, riesame periodico |
L’articolo 6 GDPR è centrale per questa logica decisionale. Non è possibile trattare, conservare, comunicare o rifiutare la cancellazione senza comprendere la base giuridica. L’articolo 9 innalza il livello di tutela per le categorie particolari di dati personali, come dati sanitari, dati biometrici utilizzati per l’identificazione univoca o dati che rivelano caratteristiche sensibili. In un ambiente SaaS del 2026, ciò può incidere su onboarding, verifica dell’identità, monitoraggio antifrode, allegati del supporto clienti e registrazioni dei dipendenti.
La Politica di protezione dei dati e privacy [P17] enterprise di Clarysec inquadra l’obbligo in modo diretto. Nella clausola 3.6 degli Obiettivi, richiede all’organizzazione di:
Tutelare i diritti degli interessati, inclusi accesso, rettifica, cancellazione, limitazione, portabilità, opposizione e protezione dalle decisioni automatizzate.
Questo obiettivo diventa verificabile in audit solo quando è collegato a proprietari, registri, workflow, controlli ed evidenze.
Inizia dove iniziano gli auditor: ambito, stakeholder e responsabilità
In Zenith Blueprint: roadmap in 30 passaggi per auditor [ZB], la fase ISMS Foundation & Leadership, Step 2, si concentra sulle esigenze degli stakeholder e sul campo di applicazione del SGSI. Per il GDPR, il Blueprint identifica le aspettative delle autorità di regolamentazione come segue:
Autorità di regolamentazione UE
(GDPR)Trattamento lecito dei dati
personali, notifica delle violazioni entro 72 ore,
diritti degli interessatiNominare un Responsabile della protezione dei dati, istituire
un processo di risposta alle violazioni, procedure per
la gestione delle richieste relative ai dati.
Questo è il punto di partenza corretto. Prima di automatizzare ticket o configurare portali, definisci il perimetro del trattamento dei diritti degli interessati:
- Quali soggetti giuridici agiscono come titolare, contitolare o responsabile del trattamento?
- Quali prodotti, servizi e territori rientrano nell’ambito?
- Quali categorie di interessati esistono, ad esempio clienti, dipendenti, utenti in prova, prospect, fornitori, visitatori del sito web o utenti dell’app?
- Quali sistemi, repository e fornitori detengono dati personali?
- Quali ruoli approvano comunicazione, diniego, cancellazione, limitazione o escalation?
- Quali metriche sono riportate alla direzione?
Le clausole 5.1-5.3 di ISO/IEC 27001:2022 richiedono leadership, allineamento delle politiche, risorse e responsabilità assegnate. Ciò è direttamente coerente con la responsabilizzazione prevista dal GDPR.
La Politica di protezione dei dati e privacy [P17], clausola 6.4.1 dei Requisiti di applicazione della politica, stabilisce:
Il Responsabile della protezione dei dati (DPO) deve mantenere processi documentati per presa in carico, validazione, tracciamento e risposta alle Data Subject Request (DSR).
Per le PMI, la Politica di protezione dei dati e privacy - PMI [P17S] di Clarysec utilizza una responsabilità proporzionata. La clausola 5.2.1 dei requisiti di governance stabilisce:
Il Coordinatore privacy deve mantenere un registro di tutte le attività di trattamento dei dati personali, incluse categorie di dati, finalità, base giuridica e periodi di conservazione.
Quel registro dei trattamenti è il cuore operativo della preparazione alle DSAR. Se è incompleto, il team DSAR ricerca affidandosi alla memoria, ai messaggi Slack e alla conoscenza informale. Se è accurato, il team ricerca per attività di trattamento, categoria di dati, proprietario del sistema, fornitore e regola di conservazione.
Il workflow DSAR di Clarysec: dalla presa in carico alla chiusura
Un workflow DSAR pronto per l’audit deve essere abbastanza semplice da funzionare sotto pressione, ma sufficientemente controllato da reggere il confronto con un’autorità di controllo, un riesame di assurance da parte di un cliente o un audit ISO/IEC 27001:2022.
1. Presa in carico e conferma di ricezione
Le richieste devono entrare attraverso un canale controllato, come una casella privacy, un portale, un modulo di supporto o una coda di presa in carico legale. Il personale deve riconoscere le richieste formulate in linguaggio naturale. Una persona non deve necessariamente scrivere “DSAR” per esercitare un diritto. “Quali dati avete su di me?” oppure “cancellate il mio profilo” può essere sufficiente per attivare il workflow.
La Politica di protezione dei dati e privacy - PMI [P17S], clausola 6.5.2 dei Requisiti di applicazione della politica, definisce un livello di servizio chiaro:
Il Coordinatore privacy deve confermare la ricezione delle richieste entro 3 giorni lavorativi e rispondere entro 30 giorni.
La conferma di ricezione deve includere il riferimento della richiesta, eventuali chiarimenti sull’ambito, le istruzioni per la verifica dell’identità e la tempistica attesa di risposta.
2. Verifica dell’identità e controllo dell’autorità
Una DSAR può diventare una violazione dei dati personali se le informazioni vengono inviate alla persona sbagliata. La verifica deve essere proporzionata e non deve raccogliere nuovi dati personali in eccesso. Utilizza portali autenticati ove possibile. Per ex utenti, valida rispetto ai dati account noti. Per i dipendenti, coordina con le Risorse Umane. Per i rappresentanti, richiedi prova dei poteri di rappresentanza.
Conserva le evidenze del metodo di verifica, della data di completamento, dell’approvatore, di eventuali informazioni aggiuntive richieste e della decisione in caso di verifica non riuscita.
3. Classificare la richiesta
Un singolo messaggio può contenere più diritti. Classifica ciascun diritto separatamente, perché accesso, cancellazione, limitazione, opposizione e portabilità richiedono logiche decisionali ed evidenze diverse. Contrassegna inoltre potenziali reclami, questioni relative ai dipendenti, dati di minori, categorie particolari di dati e potenziali violazioni dei dati personali.
4. Cercare nell’inventario, non solo nei sistemi evidenti
È qui che ISO/IEC 27001:2022 diventa operativo. Zenith Blueprint [ZB], fase Controls in Action, Step 22, avverte che l’ambito dell’inventario è più ampio di quanto molte organizzazioni si aspettino:
L’ambito di questo inventario è più ampio di quanto spesso si immagini. Deve includere:
✓ Beni fisici: laptop, server, telefoni, nastri di backup, supporti rimovibili, registrazioni
cartacee.
✓ Risorse digitali: documenti, set di dati, repository, e-mail, codice sorgente, file archiviati
nel cloud.
✓ Asset logici: account utente, credenziali, chiavi, licenze software, API.
✓ Asset connessi ai servizi: piattaforme SaaS, Managed Security Services, archiviazione
esternalizzata.
✓ Persone come asset: non in senso mercificato, ma in termini di responsabilità assegnate,
accesso ed esposizione alle informazioni determinata dal ruolo.
Lo Step 22 spiega anche la responsabilità sugli asset:
Ogni asset deve avere un proprietario definito, non la persona che lo utilizza, ma chi è responsabile
del suo uso, della sua protezione e del suo ciclo di vita. La responsabilità è essenziale per l’allineamento
dei controlli: chi classifica l’asset (5.10), chi ne decide il livello di accesso (8.3), chi ne gestisce
la cancellazione (8.10), chi ne assicura la restituzione (5.9 si sovrappone in modo sottile alle procedure di restituzione degli asset).
In Zenith Controls: la guida alla conformità trasversale [ZC], il controllo ISO/IEC 27002:2022 5.9, Inventario delle informazioni e degli altri asset associati, è trattato come un controllo preventivo a supporto di riservatezza, integrità e disponibilità. Il relativo concetto di cibersicurezza è Identify, la capacità operativa è Asset Management e i domini di sicurezza includono Governance, Ecosystem e Protection.
Per le DSAR, ciò significa che l’inventario non è un foglio di calcolo IT. È la mappa che indica a privacy, legale e sicurezza dove possono esistere dati personali.
5. Riesaminare, oscurare e approvare la comunicazione
Una risposta DSAR non deve essere un export grezzo. Il riesame deve proteggere i dati personali di altre persone, le informazioni aziendali riservate, il segreto professionale legale, i dati sensibili per la sicurezza, i segnali antifrode e i dati al di fuori dell’ambito della richiesta.
L’approvazione deve essere basata sul rischio. Le risposte di accesso ordinarie possono essere approvate dal Coordinatore privacy o dal DPO. Le richieste che coinvolgono dipendenti, contenziosi, categorie particolari di dati, minori, frodi, log di sicurezza o export di grandi dimensioni devono coinvolgere la funzione legale, le Risorse Umane o i responsabili della sicurezza.
6. Consegnare in modo sicuro
Non allegare file di grandi dimensioni non cifrati alle e-mail. Utilizza portali autenticati, file cifrati con consegna separata della password oppure link di trasferimento sicuri con scadenza e registrazione degli accessi. Registra il metodo di consegna, la data, l’account destinatario, la data di scadenza e la conferma, ove disponibile.
7. Chiudere con evidenze
La Politica di protezione dei dati e privacy [P17], clausola 6.4.3, è esplicita:
Tutte le azioni intraprese devono essere registrate ai fini di audit, incluse le decisioni di respingere le richieste.
La Politica di protezione dei dati e privacy - PMI [P17S], clausola 6.5.4, stabilisce:
Tutte le risposte alle richieste degli interessati devono essere registrate in un registro sicuro, con accesso limitato al Coordinatore privacy e al Direttore generale.
Una DSAR non è completa quando l’e-mail viene inviata. È completa quando il registro mostra la richiesta, la verifica dell’identità, le decisioni, i sistemi esaminati, la risposta, le eccezioni, le approvazioni, la consegna e la chiusura.
La cancellazione è distruzione controllata, non un pulsante “elimina”
Le richieste di cancellazione rivelano se la tutela della privacy è stata integrata nei sistemi fin dalla progettazione o aggiunta dopo il rilascio.
La Politica di conservazione e smaltimento dei dati [P14] enterprise di Clarysec, clausola 4.3.3 su Ruoli e responsabilità, assegna responsabilità al ruolo che:
Risponde alle richieste di cancellazione e assicura la cancellazione tempestiva e verificabile dei dati personali quando richiesto.
L’espressione “quando richiesto” è essenziale. La cancellazione ai sensi del GDPR non è assoluta. Le organizzazioni possono dover conservare dati per obblighi legali, audit, fiscalità, doveri normativi, prevenzione delle frodi, sicurezza, contenziosi oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. Il workflow deve includere una decisione lecita di conservazione e di eccezione.
Zenith Blueprint [ZB], fase Controls in Action, Step 19, spiega il controllo ISO/IEC 27002:2022 8.10, Cancellazione delle informazioni, in termini operativi:
Questo controllo assicura che i dati non siano conservati più a lungo del necessario e che, quando non sono più
necessari, debbano essere cancellati in modo sicuro e affidabile. Molte organizzazioni accumulano grandi
volumi di dati nel tempo, ma senza un processo di cancellazione chiaro tali dati possono restare inattivi e
non protetti, aumentando silenziosamente il rischio di esposizione, violazione o inosservanza normativa.
Avverte inoltre:
Non dimenticare i backup e i sistemi archiviati: spesso conservano dati storici ben oltre il loro
valore operativo. Le politiche di cancellazione devono estendersi a:✓ impostazioni di conservazione dei backup,
✓ cicli di vita degli snapshot,
✓ repository di e-mail o documenti archiviati.
E conclude con le evidenze:
Il processo di cancellazione stesso deve essere registrato e, nel caso di dati ad alto rischio o regolamentati,
riesaminato o approvato. Ciò assicura la tracciabilità e protegge dalla distruzione accidentale o
non autorizzata di registrazioni di valore.
In Zenith Controls [ZC], il controllo ISO/IEC 27002:2022 8.10, Cancellazione delle informazioni, è mappato come controllo preventivo focalizzato sulla riservatezza, allineato al concetto di cibersicurezza Protect e collegato alle capacità operative di Protezione delle informazioni e Legal and Compliance.
Per architetture cloud complesse, la cancellazione crittografica può essere appropriata se progettata correttamente. Se i dati personali sono cifrati con una chiave specifica per interessato o per tenant, la distruzione della chiave può rendere i dati permanentemente inaccessibili, anche quando residui cifrati rimangono nei backup fino alla rotazione pianificata. Questo deve essere progettato, documentato, testato e approvato con attenzione. Non è un rimedio per un’architettura di cancellazione carente.
La preparazione delle applicazioni è quindi essenziale. La Politica sui requisiti di sicurezza delle applicazioni - PMI [P09S] di Clarysec, clausola 6.5.1.3, richiede alle applicazioni di:
consentire l’esportazione e la cancellazione sicura dei dati personali quando richiesto dalla legge (ad es., articolo 17 GDPR – diritto alla cancellazione).
Se i team di prodotto non realizzano capacità di esportazione e cancellazione, i team privacy sono costretti a ricorrere a script sul database, ticket ai fornitori e attività manuali non uniformi.
Legal hold e sospensione della cancellazione
Un workflow di cancellazione maturo deve includere un percorso “non cancellare”. Non è una scusa per ignorare la cancellazione. È un’eccezione controllata.
La Politica di conservazione dei dati e smaltimento sicuro - PMI [P14S] di Clarysec per PMI, clausola 5.4 dei requisiti di governance, stabilisce:
I dati soggetti a legal hold e sospensione della cancellazione (ad es. in caso di contenzioso, audit o indagine) devono essere chiaramente identificati nel sistema e protetti dalla cancellazione, anche se il periodo di conservazione pianificato è scaduto.
La Politica di conservazione e smaltimento dei dati [P14], clausola 6.4.1, richiama lo stesso principio:
Se viene emesso un legal hold e una sospensione della cancellazione (ad es. in pendenza di contenzioso, indagine o audit), i dati altrimenti soggetti a distruzione devono essere conservati oltre il normale periodo di conservazione.
Gli auditor vogliono entrambe le parti della storia: evidenze della cancellazione tempestiva ed evidenze della conservazione giustificata.
Limitazione del trattamento: il diritto sottovalutato
Le richieste di limitazione non richiedono sempre la cancellazione. Richiedono all’organizzazione di limitare il trattamento attivo conservando i dati in condizioni controllate.
Esempi comuni includono:
- Un cliente contesta l’esattezza e chiede di interrompere l’uso dei dati mentre vengono verificati.
- Un ex dipendente si oppone al trattamento, ma la registrazione è necessaria per diritti in sede giudiziaria.
- Un utente richiede la cancellazione, ma occorre conservare dati minimi per mantenere una lista di soppressione.
- Un’indagine antifrode richiede la conservazione, ma non l’uso operativo ordinario.
Un workflow pratico di limitazione deve includere una decisione legale, un flag di sistema, una modifica del controllo degli accessi, la soppressione marketing, l’esclusione dalle analytics, un’istruzione al fornitore, un riesame periodico ed evidenze delle eccezioni.
In Zenith Controls [ZC], il controllo ISO/IEC 27002:2022 5.34, Privacy e protezione delle PII, è trattato come un controllo preventivo a supporto di riservatezza, integrità e disponibilità. È mappato su Identify e Protect, con capacità operative di Information Protection e Legal and Compliance.
Zenith Blueprint [ZB], fase Controls in Action, Step 23, sintetizza il test di audit:
Conferma che la tua organizzazione abbia implementato misure privacy (5.34) allineate
ai requisiti legali applicabili. Verifica la classificazione delle PII, controlli degli accessi adeguati,
pratiche di gestione sicura e formazione e sensibilizzazione. Valida se le richieste di accesso degli interessati, la cancellazione dei dati
o i log di trattamento siano supportati operativamente, non solo dalla politica.
La frase chiave è “supportati operativamente, non solo dalla politica”.
Mappare i workflow DSAR alle evidenze ISO/IEC 27001:2022
ISO/IEC 27001:2022 non sostituisce il GDPR. Organizza le evidenze.
Le clausole 6.1.1-6.1.3 richiedono valutazione del rischio, trattamento del rischio, criteri di accettazione del rischio, proprietari del rischio, selezione dei controlli, una Dichiarazione di applicabilità e un piano di trattamento del rischio. I rischi DSAR includono comunicazione non autorizzata, scadenze mancate, cancellazione incompleta, conservazione illecita, verifica dell’identità eccessiva, mancata cooperazione dei fornitori e incapacità di limitare il trattamento.
La clausola 8.1 richiede alle organizzazioni di pianificare, attuare e controllare i processi del SGSI, conservare evidenze documentate, controllare le modifiche e assicurare che processi, prodotti e servizi forniti dall’esterno e rilevanti per il SGSI siano controllati. Questo si adatta alle operazioni DSAR perché le richieste attraversano funzioni interne e responsabili del trattamento esterni.
| Riferimento ISO/IEC 27001:2022 o ISO/IEC 27002:2022 | Rilevanza per DSAR | Evidenze tipiche |
|---|---|---|
| Clausole 4.1-4.4 | Contesto, parti interessate, campo di applicazione del SGSI e processi | Campo di applicazione del SGSI, requisiti degli stakeholder, note di applicabilità GDPR |
| Clausole 5.1-5.3 | Leadership, politica e responsabilità | Ruolo DPO o Coordinatore privacy, RACI, approvazioni delle politiche |
| Clausole 6.1.1-6.1.3 | Valutazione e trattamento del rischio | Registro dei rischi DSAR, piano di trattamento, Dichiarazione di applicabilità |
| Clausola 8.1 | Pianificazione operativa e controllo | Procedura DSR, registrazioni del workflow, tracciamento dei task dei fornitori |
| Controllo 5.9 | Inventario delle informazioni e degli altri asset associati | Inventario degli asset, attestazioni dei proprietari dei sistemi, collegamenti al registro dei trattamenti |
| Controllo 5.15 | Controllo degli accessi | Accesso DSAR basato sui ruoli, registri ad accesso ristretto, registrazioni di approvazione |
| Controlli 5.19 e 5.20 | Rapporti con i fornitori e accordi con i fornitori | Clausole per responsabili del trattamento, condizioni di assistenza DSAR, log delle risposte dei fornitori |
| Controllo 5.23 | Sicurezza delle informazioni per l’uso dei servizi cloud | Localizzazione dei dati cloud, responsabilità sui sistemi SaaS, evidenze di cancellazione cloud |
| Controllo 5.31 | Requisiti legali, statutari, regolamentari e contrattuali | Registro dei requisiti GDPR, decisioni su base giuridica e conservazione |
| Controllo 5.34 | Privacy e protezione delle PII | Workflow DSR, regole di gestione delle PII, registrazioni della formazione |
| Controllo 8.10 | Cancellazione delle informazioni | Ticket di cancellazione, prova di cancellazione crittografica, log delle eccezioni |
| Controllo 8.13 | Backup delle informazioni | Piani di conservazione dei backup, approccio a ripristino e rimozione |
| Controllo 8.15 | Logging | Log delle azioni DSAR, log di esportazione, registrazioni delle attività amministrative |
| Controllo 8.16 | Attività di monitoraggio | Allerte, riesami, escalation di incidenti dalla gestione DSAR |
Un pacchetto di evidenze solido include la procedura DSR, il registro DSR, il registro delle attività di trattamento, l’inventario degli asset, il piano di conservazione dei dati, il registro di legal hold, la procedura di verifica dell’identità, le indicazioni per l’oscuramento, il metodo di comunicazione sicura, la procedura di cancellazione, la procedura di limitazione, il playbook dei fornitori, il registro delle eccezioni, le registrazioni della formazione, i risultati dell’audit interno e il reporting del riesame della direzione.
Un workflow pratico per accesso, cancellazione e limitazione
| Fase del workflow | Artefatto Clarysec | Azione | Evidenze prodotte |
|---|---|---|---|
| Presa in carico | Politica di protezione dei dati e privacy [P17] o Politica di protezione dei dati e privacy - PMI [P17S] | Registrare la richiesta, assegnare un proprietario, confermare la ricezione entro lo SLA interno | Voce nel registro DSR, marcatura temporale della conferma |
| Ambito e identità | Zenith Blueprint [ZB] Step 2 | Confermare il GDPR come requisito degli stakeholder, validare l’identità del richiedente | Registrazione della validazione dell’identità, note sull’ambito |
| Ricerca nell’inventario | Zenith Blueprint [ZB] Step 22 e mappatura Zenith Controls [ZC] 5.9 | Cercare in CRM, fatturazione, database di prodotto, supporto, IdP, analytics, e-mail e fornitori | Checklist di ricerca nei sistemi, attestazioni dei proprietari |
| Pacchetto di accesso | Politica di protezione dei dati e privacy [P17] | Riesaminare, oscurare, approvare e comunicare i dati in modo sicuro | Note di oscuramento, approvazione, registrazione della consegna sicura |
| Decisione di cancellazione | Politica di conservazione e smaltimento dei dati [P14] | Confermare cosa può essere cancellato e cosa deve essere conservato | Decisione su base giuridica ed eccezione di conservazione |
| Capacità applicativa | Politica sui requisiti di sicurezza delle applicazioni - PMI [P09S] | Utilizzare funzioni di esportazione e cancellazione quando richiesto dalla legge | Ticket di cancellazione, log amministrativi del prodotto |
| Verifica di legal hold | Politica di conservazione dei dati e smaltimento sicuro - PMI [P14S] | Confermare se si applica un hold per contenzioso, audit o indagine | Esito della verifica di legal hold |
| Limitazione | Mappatura Zenith Controls [ZC] 5.34 | Sopprimere il trattamento marketing e analytics fino al completamento | Flag di limitazione, prova di soppressione |
| Chiusura | Politica di protezione dei dati e privacy [P17] | Registrare tutte le azioni e ogni diniego o diniego parziale | Registrazione di chiusura, copia della risposta, registro delle eccezioni |
Questo workflow trasforma la crisi di Sarah in un processo verificabile in audit. Ogni fase ha un proprietario, una base di controllo ed evidenze.
Valore di conformità trasversale oltre il GDPR
Un workflow DSAR nasce dal GDPR, ma gli stessi controlli supportano quadri di riferimento più ampi.
L’articolo 20 NIS2 rende la cibersicurezza una responsabilità della direzione per i soggetti essenziali e importanti. L’articolo 21 richiede misure tecniche, operative e organizzative adeguate e proporzionate, incluse analisi dei rischi, gestione degli incidenti, continuità operativa, sicurezza della catena di fornitura, valutazione dell’efficacia, igiene cyber, formazione, controllo degli accessi, gestione degli asset, autenticazione e comunicazioni sicure. Le DSAR si basano su molte di queste stesse capacità.
DORA si applica dal 17 gennaio 2025 a molte entità finanziarie e stabilisce requisiti uniformi per gestione del rischio ICT, segnalazione degli incidenti, test di resilienza e rischio ICT di terze parti. Gli articoli 5 e 6 richiedono governance e gestione documentata del rischio ICT. Gli articoli 17-20 riguardano rilevazione, classificazione, escalation, comunicazione e chiusura degli incidenti. Gli articoli 24-30 riguardano test di resilienza, rischio ICT di terze parti, registri dei servizi, diritto di audit, localizzazione dei dati, assistenza sugli incidenti e strategie di uscita. Una fintech che gestisce DSAR tramite piattaforme cloud deve allineare la gestione delle richieste privacy al proprio registro dei servizi ICT.
NIST CSF 2.0 aiuta a tradurre lo stesso lavoro in risultati di cibersicurezza. GOVERN riguarda requisiti legali, regolamentari e contrattuali, strategia di rischio, ruoli, politica e vigilanza. IDENTIFY e PROTECT si allineano fortemente a visibilità degli asset, classificazione dei dati, controllo degli accessi, cancellazione, governance dei fornitori e protezione della privacy.
COBIT 2019 pone domande di governance. Chi è proprietario del processo? Quali obiettivi sono definiti? Come viene misurata la prestazione? Come vengono approvate le eccezioni? Come si ottiene assurance? Le evidenze DSAR possono supportare obiettivi come APO13 Managed Security, APO14 Managed Data e DSS06 Managed Business Process Controls.
La prospettiva dell’auditor
| Prospettiva dell’auditor | Su cosa si concentra | Richiesta tipica di evidenze |
|---|---|---|
| Auditor ISO/IEC 27001:2022 | Se i processi DSAR sono inclusi nell’ambito, valutati rispetto al rischio, controllati, dotati di risorse ed evidenziati all’interno del SGSI | Campo di applicazione del SGSI, valutazione del rischio, Dichiarazione di applicabilità, procedura DSR, registri, registrazioni di audit interno |
| Auditor privacy GDPR o autorità di controllo | Se i diritti degli interessati sono stati gestiti in modo lecito, trasparente, sicuro ed entro i termini | Fascicolo della richiesta, verifica dell’identità, cronologia della risposta, analisi della base giuridica, evidenze di cancellazione o limitazione |
| Valutatore NIST CSF | Se risultati di governance, visibilità degli asset, protezione dei dati, controllo degli accessi, rilevazione e risposta sono definiti e migliorati | Profilo attuale e target, piano di gap, inventario degli asset, controlli dei fornitori, metriche |
| Auditor COBIT 2019 o ISACA | Se obiettivi di governance, ruoli, controlli di processo, misure di prestazione e attività di assurance sono operativi | RACI, KPI, test dei controlli, approvazioni delle eccezioni, reporting alla direzione |
| Auditor orientato a DORA | Se rischio ICT dell’entità finanziaria, dipendenze da terze parti, percorsi degli incidenti e resilienza sono integrati | Registro dei servizi ICT, clausole dei fornitori, procedure per gli incidenti, test di resilienza, evidenze di uscita |
| Reviewer orientato a NIS2 | Se la direzione ha approvato misure di rischio e controlli proporzionati su asset, accessi, incidenti, fornitori e formazione | Verbali del consiglio di amministrazione, misure di rischio, log di formazione, vigilanza sui fornitori, playbook per gli incidenti |
Non creare evidenze separate per ogni quadro di riferimento. Crea un workflow DSAR affidabile e mappalo correttamente.
Metriche DSAR che la direzione dovrebbe vedere
La direzione non può esercitare vigilanza su ciò che non vede. Metriche utili includono volume delle richieste per tipologia di diritto, tempo medio di conferma della ricezione, tempo medio di chiusura, rispetto delle scadenze, tassi di chiarimento dell’identità, eccezioni di cancellazione, casi di legal hold, tempi di risposta dei fornitori, dinieghi parziali, incidenti identificati durante la gestione e azioni di rimedio aperte.
Queste metriche mostrano se i diritti degli interessati sono sani dal punto di vista operativo o dipendono da interventi eroici.
Lacune comuni nella preparazione DSAR
Clarysec rileva frequentemente le stesse debolezze in SaaS, fintech, servizi professionali e PMI cloud-first:
- Nessun proprietario per ciascun sistema che contiene dati personali
- Registro dei trattamenti non allineato all’uso effettivo del SaaS
- Piattaforme di marketing, analytics e data warehouse escluse dalle ricerche
- Nessuno standard documentato di verifica dell’identità
- Nessun riesame di oscuramento prima della comunicazione
- Cancellazione in produzione eseguita senza trattamento dei backup
- Nessuna verifica di legal hold prima della cancellazione
- Limitazione gestita manualmente senza flag di sistema
- Contratti con i fornitori privi di condizioni di assistenza DSAR
- Dinieghi e dinieghi parziali non documentati
- Nessun campionamento di audit interno sulle DSAR completate
- Personale di prima linea non formato a riconoscere le richieste
La tua checklist di preparazione DSAR per il 2026
Usala come test di maturità:
- Abbiamo un processo DSR documentato per presa in carico, validazione, tracciamento e risposta?
- Confermiamo la ricezione delle richieste entro uno SLA interno definito?
- Manteniamo un registro DSR sicuro con accesso ristretto?
- Disponiamo di un registro aggiornato delle attività di trattamento con categorie, finalità, basi giuridiche e periodi di conservazione?
- Conosciamo ogni sistema, piattaforma SaaS, repository e fornitore che può detenere dati personali?
- Ogni asset rilevante ha un proprietario responsabile?
- Possiamo esportare i dati personali in modo sicuro?
- Possiamo cancellare i dati personali in modo sicuro quando richiesto dalla legge?
- Possiamo limitare il trattamento tecnicamente o proceduralmente?
- Verifichiamo il legal hold prima della cancellazione?
- Documentiamo dinieghi, dinieghi parziali e decisioni di eccezione?
- I contratti con i fornitori supportano l’assistenza DSAR?
- Testiamo il workflow tramite audit interno o esercitazioni tabletop?
- Riportiamo le prestazioni DSAR alla direzione?
- Mappiamo i controlli DSAR nel trattamento del rischio ISO/IEC 27001:2022 e nella Dichiarazione di applicabilità?
Se più risposte sono “non in modo coerente”, la prossima richiesta può esporre la lacuna.
Trasformare i diritti degli interessati in evidenze pronte per l’audit
Nel 2026 i diritti degli interessati richiedono più di buone intenzioni e di una casella e-mail privacy. Richiedono un workflow capace di trovare i dati, validare l’identità, prendere decisioni lecite, coordinare i fornitori, proteggere la comunicazione, eseguire la cancellazione, applicare la limitazione e preservare le evidenze.
Clarysec aiuta le organizzazioni a costruire questo workflow senza creare una burocrazia parallela di conformità. Inizia con Zenith Blueprint per collocare i diritti degli interessati nella fase e negli step corretti del SGSI. Usa la Politica di protezione dei dati e privacy, la Politica di protezione dei dati e privacy - PMI, la Politica di conservazione e smaltimento dei dati, la Politica di conservazione dei dati e smaltimento sicuro - PMI e la Politica sui requisiti di sicurezza delle applicazioni - PMI di Clarysec per definire responsabilità e regole operative.
Poi usa Zenith Controls per mappare i controlli ISO/IEC 27002:2022 5.9, 5.34 e 8.10 in evidenze di conformità trasversale per l’assurance GDPR, ISO/IEC 27001:2022, NIS2, DORA, NIST CSF 2.0 e COBIT 2019.
Se vuoi sapere se i tuoi workflow DSAR, di cancellazione e di limitazione supererebbero un audit domani, Clarysec può aiutarti a testare il processo, chiudere le lacune e costruire il pacchetto di evidenze prima che arrivi la prossima richiesta. Scarica i modelli di policy Clarysec pertinenti o prenota una valutazione della preparazione DSAR per passare da una risposta reattiva a operazioni privacy controllate e pronte per l’audit.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
