Skip to content
Auditly
AccediInizi gratis

Pillar 4 of 4

The audit your privacy policy has been quietly failing

We find your policy in 8 languages, extract the clean text, and grade it clause-by-clause against a rubric your DPO would actually approve.

Inizi una scansione gratuitaProvi l’audit gratuito

Why a rubric instead of a vibe check

An off-the-shelf LLM will happily tell you a policy 'looks comprehensive' when it's missing a third of the clauses regulators actually look for. We don't ask the LLM 'is this policy compliant?' — we ask 14 specific yes/no questions, each tied to a regulatory citation, each requiring an evidence quote when the answer is yes. The scoring is mechanical: percentage of rubric items passed. An 80%+ score is solid. A 60% score means several material gaps. Below 50% usually means the policy was templated quickly and never updated for GDPR or CCPA.

Multilingual policy discovery

If you're scanning a German bakery's website, looking for the word 'privacy' won't help. We match against link text in English, German, French, Spanish, Italian, Portuguese, Dutch, and Japanese — covering ~80% of the open web by traffic. If link text matching fails, we probe a short list of conventional URLs (/privacy, /datenschutz, /privacidad, etc.) before giving up. When no policy is found at all, the result is unambiguous: zero rubric items pass, and the report flags 'no policy detected' as the top issue.

What we don't do

We don't tell you whether your business is GDPR-compliant — that's a question for legal counsel and a real DPIA. What we do is surface the exact clauses your policy doesn't contain, so when your counsel sits down to review it they have a punch list instead of a blank page. The LLM output is cached against a hash of the policy text, so repeated scans of an unchanged policy don't burn tokens.

Esempi di riscontri

serious

Descrizione dei diritti dell’interessato GDPR mancante

La Sua privacy policy non descrive i diritti concessi agli interessati ai sensi degli Articoli 15–22 del GDPR (accesso, rettifica, cancellazione, portabilità, limitazione, opposizione). Questa è un’omissione sostanziale per qualsiasi sito che tratti dati di residenti UE ed è una delle carenze più citate nelle azioni di enforcement delle DPA.

Elemento griglia: gdpr.data-subject-rights
Framework  : GDPR
Risultato  : FAIL
Evidenza   : (nessuna — la policy non contiene descrizione dei diritti)
Citazione  : GDPR Articoli 15, 16, 17, 18, 20, 21
serious

Mancanza della disclosure CCPA "Do Not Sell or Share"

La policy non menziona il diritto dei consumatori californiani di optare per non vendere o condividere informazioni personali, né descrive come esercitare tale diritto. CCPA/CPRA richiede questa disclosure per qualsiasi attività che soddisfi le soglie di fatturato o dati, anche se Lei non ritiene di vendere dati — la definizione legale è più ampia di quella colloquiale.

Elemento griglia: ccpa.do-not-sell
Framework  : CCPA / CPRA
Risultato  : FAIL
Evidenza   : (nessuna — non è descritto alcun meccanismo di opt-out)
Citazione  : Cal. Civ. Code §1798.135
moderate

Nessun periodo di conservazione dei dati specificato

La policy dice che conserva i dati "per tutto il tempo necessario" senza specificare durate reali o i criteri usati per determinarle. L’Articolo 13(2)(a) del GDPR richiede il periodo di conservazione — o, se non possibile, i criteri utilizzati per determinarlo. "Per tutto il tempo necessario" da sola è stata respinta da più DPA come insufficiente.

Elemento griglia: gdpr.retention-periods
Framework  : GDPR
Risultato  : FAIL
Evidenza   : "Conserviamo i Suoi dati per tutto il tempo necessario per fornire il Servizio."
Citazione  : GDPR Articoli 13(2)(a), 14(2)(a)

Correzione: elenchi durate specifiche per categoria di dati, es. "Dati account: fino alla cancellazione + 30 giorni. Log: 30 giorni. Fatturazione: 7 anni (statutario)".

Scansioni il Suo sito in 60 secondi

25 crediti gratis. Nessuna carta di credito. Riscontri reali sulla pagina che La interessa.

Crei il Suo account gratuitoVedi i prezzi