Livello A · supporto completo end-to-end

Conservazione documenti e controllo accessi in conformità GDPR

Conservazione orientata alla minimizzazione dei dati, ciclo di vita documentato e audit trail da mostrare all'autorità di controllo.

Il GDPR richiede procedure documentate, una conservazione che rispetti il principio di minimizzazione dei dati, accesso controllato alle informazioni documentate e la capacità di dimostrare il ciclo di vita dei propri documenti all’autorità di controllo. docs365.ai è progettato per supportare questi controlli end-to-end su Microsoft 365, e mantiene tutti i dati all’interno del tuo tenant — non nel database di un secondo titolare del trattamento che dovrebbe essere aggiunto ai tuoi registri delle attività di trattamento.

Prenota una valutazione gratuita

Cosa chiede davvero il GDPR alla gestione documentale

Il GDPR non è principalmente un regolamento sulla gestione documentale, ma ha implicazioni specifiche su come le organizzazioni gestiscono le proprie informazioni documentate interne — in particolare i documenti che contengono dati personali o descrivono come vengono trattati. Le aspettative rilevanti:

I principi dell’articolo 5 si applicano a ogni dato personale, compresi i dati personali contenuti nei documenti interni. In particolare:

  • Esattezza (5(1)(d)) — i documenti che fanno riferimento a individui devono essere mantenuti aggiornati.
  • Limitazione della conservazione (5(1)(e)) — minimizzazione dei dati, ovvero i documenti non devono essere conservati oltre il periodo necessario.
  • Integrità e riservatezza (5(1)(f)) — i documenti devono essere protetti da accessi o alterazioni non autorizzati.
  • Responsabilizzazione (5(2)) — il titolare deve essere in grado di dimostrare la conformità, il che implica processi documentati ed evidenze.

L’articolo 30 richiede un Registro delle Attività di Trattamento, che è esso stesso un’informazione documentata che beneficia della stessa governance offerta dal prodotto.

L’articolo 32 (sicurezza del trattamento) richiede misure tecniche e organizzative documentate e revisionate — una libreria di policy e procedure che necessita di versioning, approvazione e audit.

Gli articoli 33-34 (notifica di violazione) richiedono procedure di risposta agli incidenti documentate e revisionate periodicamente.

I punti di contatto con la gestione documentale sono quindi: una libreria controllata di documenti di governance, una disciplina di conservazione che non si limita a “conservare tutto per sempre”, controlli di accesso chiari e un audit trail dimostrabile.

Come il prodotto supporta la gestione documentale GDPR

Ciclo di vita documentato. Ogni policy, procedura, documento del registro delle attività di trattamento, DPIA e runbook di risposta alle violazioni ha un ciclo controllato di creazione, approvazione, pubblicazione e revisione. L’audit log produce le evidenze richieste dalla responsabilizzazione dell’articolo 5(2).

Conservazione intenzionale. La scadenza è un campo di metadati di primo livello su ogni documento. Quando la scadenza si avvicina, il proprietario del documento riceve un’email automatica per rivedere e ricertificare, aggiornare o ritirare il documento. Questo è l’opposto della conservazione passiva — è un meccanismo di revisione attivo, che è esattamente ciò che la minimizzazione dei dati ai sensi dell’articolo 5(1)(e) richiede per i documenti che descrivono il trattamento di dati personali.

Archivio, non conservazione silenziosa. I documenti superati vengono spostati nell’archivio piuttosto che rimanere visibili a tempo indeterminato o scomparire silenziosamente. Il titolare può produrre lo stato esatto di una policy in qualsiasi data storica — utile per rispondere a domande dell’autorità di controllo come “qual era il vostro approccio alle richieste di esercizio dei diritti a giugno 2025?”

Accesso controllato. Permessi SharePoint, per documento e per libreria. L’area di editing e l’area pubblica hanno perimetri di accesso separati. I documenti che contengono dati personali possono avere un perimetro di accesso più ristretto rispetto alle procedure generali. Tutti gli accessi sono governati dall’infrastruttura di identità Entra (Azure AD) esistente del cliente.

Audit trail completo. Ogni modifica, ogni approvazione, ogni evento di pubblicazione viene registrato contro un utente nominativo. Questo è il tipo di evidenza che un DPO può produrre quando sorge una domanda interna su come una specifica policy è stata aggiornata.

Perché “all’interno del tuo tenant” riduce il carico di lavoro del DPO

Ogni nuovo titolare del trattamento che aggiungi al tuo stack genera lavoro per il tuo Data Protection Officer: una revisione contrattuale (articolo 28), un’entry nel Registro delle Attività di Trattamento, una notifica ai soggetti interessati del sub-processor se sono coinvolti dati dei clienti, una DPIA se il trattamento lo richiede.

docs365.ai funziona all’interno del tenant Microsoft 365 del cliente. Microsoft è già nel tuo RoPA come titolare del trattamento dell’infrastruttura per Microsoft 365. Il prodotto non aggiunge una nuova sede di trattamento dei dati. Il prodotto non crea un nuovo rapporto di sub-processor. Funziona contro il tuo Azure AD esistente, il tuo SharePoint esistente, la tua infrastruttura di audit esistente.

Per le organizzazioni con operazioni nell’UE, questo è l’argomento sostanziale di protezione dei dati per scegliere un DMS nativo Microsoft 365 rispetto a una piattaforma di terze parti che duplica un confine di dati.

Come si integra con Microsoft Purview

Microsoft 365 include Purview, che offre le proprie etichette di conservazione, gestione dei record e funzionalità di classificazione dei dati a livello di tenant. Purview gestisce la conservazione a livello organizzativo su email, OneDrive, SharePoint e Teams — regole di ampio respiro applicate tramite etichette e policy.

docs365.ai opera a un livello più fine, all’interno delle librerie di Document Management specificamente, con una governance legata al ciclo di vita proprio del documento (creazione → approvazione → pubblicazione → revisione → archivio) piuttosto che a un’etichetta a livello di tenant.

I due sono complementari. Le policy di conservazione Purview continuano ad applicarsi allo storage SharePoint sottostante. La logica di promemoria di scadenza e archivio del prodotto opera sopra, allineata a come i documenti rilevanti per la conformità devono essere rivisti attivamente piuttosto che conservati passivamente. Un cliente che usa entrambi ottiene una baseline di conformità a livello di tenant da Purview e il controllo del ciclo di vita dei documenti dal prodotto.

Come appare in pratica — la prospettiva di un DPO

Un DPO che si prepara per una revisione biennale della protezione dei dati vuole produrre, per l’autorità di controllo:

  • La policy di protezione dei dati corrente, con la cronologia delle approvazioni che mostra chi l’ha firmata.
  • Il runbook di risposta alle violazioni corrente, con la data dell’ultima revisione e il proprietario.
  • La DPIA per ogni attività di trattamento ad alto rischio, con la cronologia delle versioni che mostra come la valutazione del rischio si è evoluta.
  • Evidenza che questi documenti vengono rivisti con una cadenza definita.

Con docs365.ai:

  • L’area pubblica della libreria di protezione dei dati mostra la versione corrente di ogni documento, con la data di pubblicazione.
  • L’audit log su ogni documento mostra chi ha approvato, quando e in quale ruolo.
  • Il dashboard Power BI mostra l’aderenza alla cadenza di revisione: quali documenti sono nella loro finestra di revisione, quali sono in scadenza nei prossimi 30/60/90 giorni, quali sono scaduti.
  • Le versioni archiviate sono recuperabili per mostrare come le policy si sono evolute nel tempo.

Quello che altrimenti sarebbe un esercizio di raccolta delle evidenze di settimane diventa una mattinata di export e screenshot.

Cosa possiede il cliente ai sensi del GDPR

Il prodotto è uno strumento di governance documentale che supporta le attività rilevanti per il GDPR. Non sostituisce un DPO, un programma di privacy, una pratica di privacy-by-design, né gli obblighi fondamentali del titolare ai sensi del GDPR. Il titolare possiede:

  • Le decisioni relative alla base giuridica e i relativi registri.
  • Le procedure di risposta alle richieste degli interessati.
  • I meccanismi per i trasferimenti transfrontalieri.
  • La negoziazione dei contratti con i responsabili del trattamento.
  • La determinazione e notifica delle violazioni.

Ciò che il prodotto fa è fornire al DPO una libreria affidabile, verificata e aggiornata delle informazioni documentate che quegli obblighi producono — policy, procedure, DPIA, Registri delle Attività di Trattamento.

FAQ

Il prodotto tratta dati personali? Il prodotto è uno strumento di gestione documentale. Se i documenti che gestisce contengono dati personali, quei dati risiedono in SharePoint Online nel tenant Microsoft 365 del cliente — sotto l’infrastruttura conforme al GDPR di Microsoft, con il cliente come titolare e Microsoft come responsabile del trattamento. intranet.ai come fornitore non accede né tratta i documenti; forniamo il software. Per i clienti che necessitano di un DPA formale, uno è disponibile.

Il prodotto è esso stesso conforme al GDPR? Il GDPR non si applica ai prodotti software in astratto — si applica al trattamento dei dati personali. Il prodotto software è costruito per consentire ai clienti di soddisfare i propri obblighi di gestione documentale rilevanti per il GDPR.

E l’archiviazione sostitutiva AGID? Le normative AGID sono specifiche per il settore pubblico italiano. Il prodotto non dispone attualmente di archiviazione sostitutiva conforme AGID. I clienti soggetti ad AGID tipicamente mantengono un processo di archiviazione separato per i documenti che rientrano in quelle norme.

Posso usarlo per il Registro delle Attività di Trattamento (articolo 30)? Sì — molti clienti lo fanno. Il RoPA stesso è un’informazione documentata che beneficia di versioning, approvazione e revisione periodica.

Il prodotto aiuta con le richieste di esercizio dei diritti degli interessati? Indirettamente. La ricerca e i metadati della libreria aiutano a individuare i documenti di policy e procedura pertinenti. Il processo di esercizio dei diritti degli interessati stesso è fuori dal perimetro del prodotto.

Pronto ad allineare la tua libreria di protezione dei dati?

Prenota una valutazione gratuita — 30 minuti, senza costi. Esamineremo insieme la tua attuale libreria di protezione dei dati (policy, DPIA, RoPA, procedure di risposta) e identificheremo dove questo prodotto cambierebbe la forma delle tue evidenze.

Pagine correlate

Pronto ad allineare la documentazione GDPR?

Trenta minuti. Gratuito. Senza impegno. Analizziamo la tua libreria attuale e identifichiamo dove questo prodotto cambierebbe la forma dell'evidenza.

Prenota una valutazione gratuita o vedi tutte le pagine compliance