Quando non è obbligatoria una Valutazione d’impatto sulla Privacy?
Quando l’elaborazione non è “suscettibile di provocare un rischio elevato” o l’operazione sia già stata autorizzata da una norma giuridica.
Un DPIA non è richiesto nei seguenti casi:
- se il trattamento non è “suscettibile di provocare un rischio elevato per i diritti e le libertà delle persone fisiche” (articolo 35 (1));
- quando il tipo, la portata, il contesto e la finalità del trattamento sono molto simili ad un trattamento per cui un DPIA è stato già effettuato. In tali casi, i risultati del DPIA per un analogo trattamento possono essere riutilizzati (articolo 35 (1) 18);
- se il trattamento è stato sottoposto a verifica da parte di un’autorità di controllo prima del maggio 2018 in condizioni specifiche che non hanno subito modifiche;
- se il trattamento è incluso nell’elenco facoltativo (stabilita dal Garante nazionale) delle operazioni di trattamento per cui non è necessario un DPIA (articolo 35 (5) 20) o anche quando il Garante attraverso un provvedimento ha già autorizzato le operazioni, ritenendole a basso rischio.
Pur non rientrando nell’obbligo di redigere una PIA ma nell’ottica della massima trasparenza nei confronti dei nostri Clienti, riportiamo di seguito:
Contesto
Panoramica
Quale è il trattamento in considerazione?
Quali sono le responsabilità legate al trattamento?
Titolare del trattamento è: Gino Corti, via Silvio Pellico 83/a, 50059 Sovigliana-Vinci (FI).
Ci sono standard applicabili al trattamento?
Valutazione : Accettabile
Dati, processi e risorse di supporto
Quali sono i dati trattati?
I dati raccolti sono:
- Nikname
- Nome
- Cognome
- Codice Fiscale
- Partita IVA
- indirizzo fiscale
- indirizzo di fornitura.
I dati sono mantenuti per tutta la durata di validità dei contratti in essere e per 7 anni dopo la scadenza.
Com’è il ciclo di vita del trattamento dei dati?
I dati vengono raccolti durante la fase conoscitiva, la preventivazione o richiesta esplicita del cliente. Vengono forniti direttamente dal cliente su cartaceo, a voce, tramite e-mail o moduli di contatto presenti sui nostri siti.
Il passaggio successivo è la memorizzazione su software contabile installato su PC e/o su DB MySQL su Hosting remoto.
I dati sono utilizzati per la predisposizione di preventivi, ordini cliente, fatturazione.
Quali sono le risorse di supporto ai dati?
Valutazione : Accettabile
Principi Fondamentali
Proporzionalità, necessità
Gli scopi del trattamento sono specifici, espliciti e legittimi?
Le finalità del trattamento dei dati trattati sono:
- specifiche perché legate indissolubilmente ai servizi richiesti dai clienti
- esplicite perché chiaramente riconducibili ai servizi richiesti
- legittime perché si limitano a dati strettamente necessari al processo amministrativo.
Valutazione : Accettabile
Quali sono le basi legali che rendono il trattamento legittimo?
Valutazione : Accettabile
I dati raccolti sono adeguati, rilevanti e limitati a quanto è necessario in relazione alle finalità per cui sono stati trattati (minimizzazione dei dati)?
Valutazione : Accettabile
I dati sono accurati e mantenuti aggiornati?
Valutazione : Accettabile
Quale è la durata della conservazione dei dati?
Valutazione : Accettabile
Controlli per proteggere i diritti personali dei soggetti interessati
I soggetti interessati come sono informati del trattamento?
Valutazione : Accettabile
Come si ottiene il consenso dei soggetti interessati?
Valutazione : Accettabile
I soggetti interessati come esercitano i loro diritti di acceso alla portabilità dei dati?
Valutazione : Accettabile
Come i soggetti interessati esercitano i loro diritti alla rettifica e alla cancellazione?
Valutazione : Accettabile
I soggetti interessati come esercitano il loro diritto di restrizione e obiezione?
Valutazione : Accettabile
Gli obblighi dei responsabili del trattamento sono chiaramente identificati e governati da un contratto?
Valutazione : Accettabile
Nel caso di trasferimento di dati fuori dall’Unione Europea, i dati sono adeguatamente protetti?
Valutazione : Accettabile
Rischi
Controlli esistenti o pianificati
Crittografica
Valutazione : Accettabile
Secure Sockets Layer, livello di socket sicuri
Valutazione : Accettabile
Password sicure
Valutazione : Accettabile
Antivirus
Valutazione : Accettabile
Anti malware
Valutazione : Accettabile
Accesso illegittimo ai dati
Quale potrebbe essere l’impatto sui soggetti interessati se il rischio si dovesse realizzare?
Quali sono le principali minacce che potrebbero concretizzare il rischio?
Quali sono le fonti di rischio?
Quali dei controlli identificati contribuiscono a gestire il rischio?
Come stimeresti la gravità del rischio, specialmente riguardo i potenziali impatti e i controlli pianificati?
Come stimeresti la probabilità del rischio, specialmente riguardo le minacce, fonti di rischio e i controlli pianificati?
Valutazione : Accettabile
Modifiche indesiderate dei dati
Quali impatti ci sarebbero sui soggetti interessati se il rischio si dovesse concretizzare?
Quali sono le principali minacce che possono portare al rischio?
Quali sono le fonti di rischio?
Quali dei controlli identificati contribuiscono a gestire il rischio?
Come stimeresti la gravità del rischio, in particolare riguardo l’impatto potenziale e i controlli pianificati?
Come stimeresti la probabilità del rischio, specialmente riguardo minacce, fonti di rischio e controlli pianificati?
Valutazione : Non provabile
Piano d’azione / azioni correttive:
Saranno implementati nuovi vontrolli sulla modifica accidentale dei dati da parte degli utenti.
Prendere in considerazione il piano d’azione, come valuti la serietà di questo rischio (Modifiche indesiderate dei dati)? Trascurabile.
Prendendo in considerazione il piano d’azione, come rivaluti la probabilità di questo rischio (Modifiche indesiderate dei dati)? Trascurabile.
Scomparsa di dati
Quale potrebbe essere l’impatto sui soggetti interessati se il rischio dovesse realizzarsi?
Quali sono le minacce che potrebbero portare al rischio?
Quali sono le fonti di rischio?
Quali dei controlli identificati contribuisce a gestire il rischio?
Come stimeresti la gravitàel rischio, specialmente riguardo il potenziale impatto e i controlli pianificati?
Come stimeresti la probabilità del rischio, specialmente rispetto le minacce, fonti di rischio e i controlli pianficati?
Valutazione : Accettabile
Piano d’azione
Principi fondamentali
Controlli esistenti o pianificati
Rischi – Modifiche dei dati non volute
Software utilizzato per la valutazione del rischio:
This tool is originally designed by the Commission Nationale Informatique et Liberté (CNIL), the French Data Protection Authority, to help data processor to be compliant with the GDPR.
This software is free and open. If you wish to get involved in this project, you are welcome to download the source code from Github, modify it and share it with the community.
The PIA software is currently available in five languages. The French and English versions are provided by the CNIL. The others versions result from the contributions of the following individuals:
- Dutch: Ruud van Driel, Manuel d’Orso ;
- Czech: Jiří Grohmann, Manuel d’Orso ;
- Italian: Manuel d’Orso, Gianluca Markos.
- Polish: Joanna Karczewska
- German: Kosmas Schütz
- Spanish: ylachgar
If you wish to contribute to the translation of the software in another language or improve the existing translations, we recommend you to read the page describing the steps to follow.
LICENCES
Licence GPLv3 : https://www.gnu.org/licenses/gpl.html
Library licences: :
- Angular-cli (GNU GPL Licence Version 3.0)
- FontAwesome (SIL OFL Licence Version 1.1 et MIT Licence Version 4.0)
- Foundation-Sites (MIT Licence Version 6.0)
- Normalize (MIT Licence Version 7.0)
- Ngx Chips (MIT Licence Version 1.2.9)
- Rxjs (Apache Licence Version 2.0)
- Tinymce (GNU GPL Licence Version 2.1)
- D3 (BSD Licence Version 4.0)