PIA – Valutazione d’Impatto sulla Privacy

Articoli, Privacy, Uncategorized

Quando non è obbligatoria una Valutazione d’impatto sulla Privacy?

Quando l’elaborazione non è “suscettibile di provocare un rischio elevato” o l’operazione sia già stata autorizzata da una norma giuridica.

Un DPIA non è richiesto nei seguenti casi:

  • se il trattamento non è “suscettibile di provocare un rischio elevato per i diritti e le libertà delle persone fisiche” (articolo 35 (1));
  • quando il tipo, la portata, il contesto e la finalità del trattamento sono molto simili ad un trattamento per cui un DPIA è stato già effettuato. In tali casi, i risultati del DPIA per un analogo trattamento possono essere riutilizzati (articolo 35 (1) 18);
  • se il trattamento è stato sottoposto a verifica da parte di un’autorità di controllo prima del maggio 2018 in condizioni specifiche che non hanno subito modifiche;
  • se il trattamento è incluso nell’elenco facoltativo (stabilita dal Garante nazionale) delle operazioni di trattamento per cui non è necessario un DPIA (articolo 35 (5) 20) o anche quando il Garante attraverso un provvedimento ha già autorizzato le operazioni, ritenendole a basso rischio.

Pur non rientrando nell’obbligo di redigere una PIA ma nell’ottica della massima trasparenza nei confronti dei nostri Clienti, riportiamo di seguito:

Contesto

Panoramica

Quale è il trattamento in considerazione?
I dati trattati sono necessari per il normale svolgimento dei servizi commissionati dai nostri clienti. Vengono raccolti al fine di permettere il normale flusso di informazioni per emettere offerte, documenti fiscali, ordinativi. I dati vengono trattati esclusivamente da DOT e in nessun caso sono ceduti o venduti a terzi.
 
Quali sono le responsabilità legate al trattamento?

Titolare del trattamento è: Gino Corti, via Silvio Pellico 83/a, 50059 Sovigliana-Vinci (FI).

Ci sono standard applicabili al trattamento?
I dati trattati sono memorizzati localmente su PC su dischi crittografati BitLocker ed accessibili solo dal titolare del trattamento. Parte dei dati potrebbero essere presenti su un DB MySQL su Hosting remoto sul quale sono attivi sistemi di protezione anti-hacking ed accessibile solo dal titolare del trattamento. I dati memorizzati sul DB remoto sono accessibili singolarmente da ogni cliente, tramite un’area riservata sul sito clienti.dotgrafica.com accessibile solo con utente/password. Ogni cliente ha la facoltà di visionarli, aggiornarli e cancellarli in base alle proprie necessità.

Valutazione : Accettabile

Dati, processi e risorse di supporto

Quali sono i dati trattati?

I dati raccolti sono:

  • Nikname
  • Nome
  • Cognome
  • e-mail
  • Codice Fiscale
  • Partita IVA
  • indirizzo fiscale
  • indirizzo di fornitura.

I dati sono mantenuti per tutta la durata di validità dei contratti in essere e per 7 anni dopo la scadenza.

Com’è il ciclo di vita del trattamento dei dati?

I dati vengono raccolti durante la fase conoscitiva, la preventivazione o richiesta esplicita del cliente. Vengono forniti direttamente dal cliente su cartaceo, a voce, tramite e-mail o moduli di contatto presenti sui nostri siti.

Il passaggio successivo è la memorizzazione su software contabile installato su PC e/o su DB MySQL su Hosting remoto.

I dati sono utilizzati per la predisposizione di preventivi, ordini cliente, fatturazione.

Quali sono le risorse di supporto ai dati?
I dati sono ospitati su sistema operativo Windows10 installato su dischi SSD CRITTOGRAFATI BitLocker ed elaborati tramite pacchetto MSOffice, software gestionale PLANET. Parte dei dati potrebbero essere elaborati su piattaforma UNIX Apache in DB MySQL e CMS WordPress.

Valutazione : Accettabile

Principi Fondamentali

Proporzionalità, necessità

Gli scopi del trattamento sono specifici, espliciti e legittimi?

Le finalità del trattamento dei dati trattati sono:

  • specifiche perché legate indissolubilmente ai servizi richiesti dai clienti
  • esplicite perché chiaramente riconducibili ai servizi richiesti
  • legittime perché si limitano a dati strettamente necessari al processo amministrativo.

Valutazione : Accettabile

Quali sono le basi legali che rendono il trattamento legittimo?
Il trattamento è legittimo in quanto la mancanza dei dati trattati esclude la possibilità legale di sottoscrivere contratti di fornitura, l’emissione di documenti fiscali o l’attivazione dei servizi oggetto delle forniture.

Valutazione : Accettabile

I dati raccolti sono adeguati, rilevanti e limitati a quanto è necessario in relazione alle finalità per cui sono stati trattati (minimizzazione dei dati)?
I dati raccolti sono adeguati al tipo di servizi erogati, rilevanti limitati al completamento dell’erogazione dei servizi ed all’emissione dei documenti fiscali.

Valutazione : Accettabile

I dati sono accurati e mantenuti aggiornati?
I dati raccolti sono mantenuti costantemente aggiornati durante i contatti professionali con i clienti i quali, a loro volta, possono accedere alla propria area privata per effettuare ogni aggiornamento ritengano opportuno.

Valutazione : Accettabile

Quale è la durata della conservazione dei dati?
La conservazione dei dati è per tutta la durata di validità dei contratti di fornitura e per i 7 anni successivi.

Valutazione : Accettabile

Controlli per proteggere i diritti personali dei soggetti interessati

I soggetti interessati come sono informati del trattamento?
I soggetti interessati al trattamento sono stati esplicitamente informati oralmente, tramite apposita dicitura riportata sui documenti a loro sottoposti fin dal primo contatto commerciale e sui form di contatti presenti sui nostri siti internet.

Valutazione : Accettabile

Come si ottiene il consenso dei soggetti interessati?
Il consenso al trattamento dei dati avviene contestualmente alla sottoscrizione dei contratti di fornitura dei servizi oppure digitalmente tramite apposito check-box presente nei form di contatto e nell’area privata del cliente.

Valutazione : Accettabile

I soggetti interessati come esercitano i loro diritti di acceso alla portabilità dei dati?
Il diritto di accesso ai dati avviene tramite richiesta esplicita inviata per e-mail.

Valutazione : Accettabile

Come i soggetti interessati esercitano i loro diritti alla rettifica e alla cancellazione?
Il diritto di accesso ai dati avviene tramite richiesta esplicita inviata per e-mail oppure possono accedere liberamente ai propri dati tramite area privata.

Valutazione : Accettabile

I soggetti interessati come esercitano il loro diritto di restrizione e obiezione?
Il diritto di restrizione e obiezione avviene tramite richiesta esplicita inviata per e-mail oppure possono accedere liberamente ai propri dati tramite area privata.

Valutazione : Accettabile

Gli obblighi dei responsabili del trattamento sono chiaramente identificati e governati da un contratto?
I dati dei soggetti interessati sono trattati direttamente ed esclusivamente dal Titolare del trattamento.

Valutazione : Accettabile

Nel caso di trasferimento di dati fuori dall’Unione Europea, i dati sono adeguatamente protetti?
I dati dei soggetti interessati (Clienti) sono trattati esclusivamente sul territorio Italiano.

Valutazione : Accettabile

Rischi

Controlli esistenti o pianificati

Crittografica
I dati presenti su PC sono contenuti su dischi crittografati con BitLocker.

Valutazione : Accettabile

Secure Sockets Layer, livello di socket sicuri
Lo scambio di dati tramite i siti ove siano presenti dati personali dei Clienti, avviene tramite protocollo SSL.

Valutazione : Accettabile

Password sicure
Applicazione di password sicure contenenti sequenze complesse di lettere, numeri e caratteri speciali.

Valutazione : Accettabile

Antivirus
Antivirus professionale Avast Pro costantemente aggiornato.

Valutazione : Accettabile

Anti malware
Sistemi anti malware con blocco automatico di file sospetti.

Valutazione : Accettabile

Accesso illegittimo ai dati

Quale potrebbe essere l’impatto sui soggetti interessati se il rischio si dovesse realizzare?
Rischio minimo in quanto trattasi di dati fiscali pubblici
 
Quali sono le principali minacce che potrebbero concretizzare il rischio?
Attacco da parte di hacker, Diffusione accidentale di informazioni, Virus
 
Quali sono le fonti di rischio?
Fonte umana accidentale, Fonte non umana e non accidentale
 
Quali dei controlli identificati contribuiscono a gestire il rischio?
Crittografica, Secure Sockets Layer, livello di socket sicuri, Password sicure, Antivirus, Anti malware
 
Come stimeresti la gravità del rischio, specialmente riguardo i potenziali impatti e i controlli pianificati?
Trascurabile, Le persone interessate non subiranno alcun impatto o ptrebbero incontrare qualche inconveniente, supereranno senza difficoltà. Nessun danno reale.
 
Come stimeresti la probabilità del rischio, specialmente riguardo le minacce, fonti di rischio e i controlli pianificati?
Trascurabile, Basandosi sugli asset organizzativi non sembra possibile che le fonti di rischio considerate possano creare una minaccia (ad esempio il furto di supporti cartacei conservati in un locale dell’organizzazione il cui accesso è controllato da badge e codice d’accesso).

Valutazione : Accettabile

Modifiche indesiderate dei dati

Quali impatti ci sarebbero sui soggetti interessati se il rischio si dovesse concretizzare?
Minimi, Fastidio, Minima perdita di tempo
 
Quali sono le principali minacce che possono portare al rischio?
Virus per i PC, Hacking per il sito
 
Quali sono le fonti di rischio?
Fonte non umana non accidentale, Fonte umana accidentale
 
Quali dei controlli identificati contribuiscono a gestire il rischio?
Crittografica, Password sicure, Antivirus, Anti malware
 
Come stimeresti la gravità del rischio, in particolare riguardo l’impatto potenziale e i controlli pianificati?
Trascurabile, Le persone interessate non subiranno alcun impatto o ptrebbero incontrare qualche inconveniente, supereranno senza difficoltà. Nessun danno reale.
 
Come stimeresti la probabilità del rischio, specialmente riguardo minacce, fonti di rischio e controlli pianificati?
Trascurabile, Basandosi sugli asset organizzativi non sembra possibile che le fonti di rischio considerate possano creare una minaccia (ad esempio il furto di supporti cartacei conservati in un locale dell’organizzazione il cui accesso è controllato da badge e codice d’accesso).

Valutazione : Non provabile
Piano d’azione / azioni correttive:
Saranno implementati nuovi vontrolli sulla modifica accidentale dei dati da parte degli utenti.
Prendere in considerazione il piano d’azione, come valuti la serietà di questo rischio (Modifiche indesiderate dei dati)? Trascurabile.
Prendendo in considerazione il piano d’azione, come rivaluti la probabilità di questo rischio (Modifiche indesiderate dei dati)? Trascurabile.

Scomparsa di dati

Quale potrebbe essere l’impatto sui soggetti interessati se il rischio dovesse realizzarsi?
Fastidio, Perdita minima di tempo.
 
Quali sono le minacce che potrebbero portare al rischio?
Fonte umana non intenzionale, Fonte non umana intenzionale.
 
Quali sono le fonti di rischio?
Fonte umana non intenzionale, Fonte non umana intenzionale.
 
Quali dei controlli identificati contribuisce a gestire il rischio?
Crittografica, Password sicure, Antivirus, Anti malware.
 
Come stimeresti la gravitàel rischio, specialmente riguardo il potenziale impatto e i controlli pianificati?
Trascurabile, Le persone interessate non subiranno alcun impatto o ptrebbero incontrare qualche inconveniente, supereranno senza difficoltà. Nessun danno reale.
 
Come stimeresti la probabilità del rischio, specialmente rispetto le minacce, fonti di rischio e i controlli pianficati?
Limitata, Basandosi sugli asset organizzativi sembra difficile che le fonti di rischio considerate possano creare una minaccia (ad esempio il furto di supporti cartacei conservati in un locale dell’organizzazione il cui accesso è controllato da badge e codice d’accesso).

Valutazione : Accettabile

 
 

Piano d’azione

Principi fondamentali

Nessun piano d’azione registrato.
 

Controlli esistenti o pianificati

Nessun piano d’azione registrato.
 

Rischi – Modifiche dei dati non volute

Saranno implementati nuovi vontrolli sulla modifica accidentale dei dati da parte degli utenti.
 
Data prevista di implementazione:
Responsabile dell’implementazione: Gino Corti

 

Software utilizzato per la valutazione del rischio:

Valutazione d’impatto sulla Privacy
Version number : 1.6.0

The PIA software is currently available in five languages. The French and English versions are provided by the CNIL. The others versions result from the contributions of the following individuals:

  • Dutch: Ruud van Driel, Manuel d’Orso ;
  • Czech: Jiří Grohmann, Manuel d’Orso ;
  • Italian: Manuel d’Orso, Gianluca Markos.
  • Polish: Joanna Karczewska
  • German: Kosmas Schütz
  • Spanish: ylachgar

If you wish to contribute to the translation of the software in another language or improve the existing translations, we recommend you to read the page describing the steps to follow.

LICENCES

Licence GPLv3 : https://www.gnu.org/licenses/gpl.html
Library licences: :

  • Angular-cli (GNU GPL Licence Version 3.0)
  • FontAwesome (SIL OFL Licence Version 1.1 et MIT Licence Version 4.0)
  • Foundation-Sites (MIT Licence Version 6.0)
  • Normalize (MIT Licence Version 7.0)
  • Ngx Chips (MIT Licence Version 1.2.9)
  • Rxjs (Apache Licence Version 2.0)
  • Tinymce (GNU GPL Licence Version 2.1)
  • D3 (BSD Licence Version 4.0)

Potrebbe interessarti: