Configurazione#
Facendo clic sulla voce di menu Configurazione è possibile definire una serie di parametri suddivisi in una serie di schede:
All’interno della prima scheda (»Generale») si possono definire i soggetti predefiniti nonché talune significative impostazioni generali.
Titolare, Responsabile e DPO predefiniti#
La definizione di questi soggetti comporta la loro presenza, per impostazione predefinita, nei relativi campi della scheda Soggetti del Registro dei trattamenti.
Titolare, Responsabile e DPO predefiniti devono previamente essere inseriti nelle rispettive tabelle raggiungibili dal menù SOGGETTI > TITOLARI, SOGGETTI > TERZE PARTI e SOGGETTI > RPD. I dati impostati nella scheda SOGGETTI > TITOLARI e relativi al titolare predefinito saranno quelli utilizzati altresì per la generazione delle intestazioni e pié di pagina dei documenti.
Per quanto concerne l’accesso tramite credenziali applicative, è anzitutto possibile configurare:
Cambio password obbligatorio al primo accesso: Al primo accesso sarà richiesto all’utente di aggiornare la propria password locale di DPM.
Abilita il recupero della password: abilitando la funzionalità di recupero della password, ogni singolo utente (inserito nell’anagrafica dell’applicativo ed associato ad un indirizzo email) avrà la possibilità di creare nuovamente una password in caso di smarrimento o di dimenticanza.
Procedura di recupero della password#
Per iniziare la procedura occorrerà cliccare il link «Ho dimenticato la password» nella propria pagina di login.
Vi sarà chiesto di inserire il vostro nome utente: una volta inserito occorrerà premere il tasto azzurro «INVIA» e, se la richiesta avrà avuto successo, vi sarà restituito un messaggio del tipo di quello di cui all’immagine sottostante.
Vi verrà inviata una mail all’indirizzo associato al vostro utente. Potrà essere generata al massimo una mail di recupero al minuto. Cliccando il link (o copiando/incollando l’url) trasmessovi nella mail, sarete reindirizzati alla pagina di recupero. In quest’ultima vi verrà richiesto (come da immagine sottostante) di inserire il vostro nome utente nonché la nuova password prescelta e la sua ripetizione. La nuova password dovrà, congiuntamente: avere lunghezza tra 8 e 32 caratteri, contenere almeno una lettera maiuscola ed una minuscola, contenere un numero ed un carattere speciale.
Completata a buon fine la procedura, apparirà un messaggio di successo nella parte in alto a destra dello schermo e sarete reindirizzati alla pagina di login. Da lì potrete infine inserire il vostro username e la nuova password per accedere al vostro account.
Avvertimento
In caso di integrazione con sistemi di autenticazioni esterne premurarsi che gli interruttori relativi all’abilitazione della funzionalità di recupero della password e del cambio della password obbligatorio al primo accesso siano spenti.
Cambio password#
Per modificare la propria password, accedere alla pagina utente facendo clic sul proprio nome in nella parte in alto a sinistra dello schermo:
Da questa interfaccia è sufficente fare clic su «Cambio password»:
Compilare i campi del form, tendo presente il requisito di complessità e lunghezza della password: «Almeno 8 caratteri di cui una lettera maiuscola, una minuscola, un numero ed un carattere speciale»
In questa sezione è possibile abilitare l’invio di notifiche da parte di DPM a determinate categorie di destinatari:
Attiva invio notifiche agli autorizzati: Gli autorizzati riceveranno una notifica al momento della generazione degli accordi/lettere a loro indirizzati;
Attiva invio notifiche sulla generazione degli accordi per designati: Il designato riceverà una notifica al momento della generazione degli accordi a lui indirizzati;
Attiva invio notifiche sulla generazione degli accordi per amministratori di sistema: L’amministratore di sistema riceverà una notifica al momento della generazione degli accordi a lui indirizzati;
Attiva invio notifiche sulla scadenza degli accordi a responsabile del trattamento: I destinatari delle notifiche di sistema riceveranno una notifica allo scadere dell’accordo;
Invio notifiche alla scadenza di un progetto di audit: I destinatari delle notifiche di sistema riceveranno una notifica al raggiungimento della data di scadenza del progetto di audit;
Attiva invio notifiche consegna lettera di autorizzazione: All’indirizzo di notifica sarà inoltrata una copia della comunicazione inviata agli utenti destinatari della lettera di autorizzazione.
Configurazioni relative alla spedizione delle mail di notifica#
In questa sezione è possibile definire alcuni dettagli di sistema, in particolare:
Return path: in questa sede possono essere indicati i destinatari delle comunicazioni di mancato recapito;
Indirizzo From: l’indirizzo mail qui inserito comparirà come mittente delle notifiche ricevute dall’utente destinatario;
Nome From: il nome qui inserito figurerà all’utente destinatario come mittente delle mail di notifica.
Destinatari delle notifiche#
È possibile, inoltre, definire più destinatari per ogni tipologia di notifica: i destinatari devono essere inseriti come indirizzi email separati da virgola.
Attiva invio notifiche relative alla creazione di attività di trattamento: Permette di inviare una notifica agli indirizzi indicati a seguito della creazione di una attività di trattamento;
Attiva invio notifiche relative alla creazione di valutazioni d’impatto: Permette di inviare una notifica agli indirizzi indicati a seguito della creazione di una valutazione d’impatto.
Attiva invio notifiche relative alla creazione di informative: Permette di inviare una notifica agli indirizzi indicati a seguito della creazione di nuove informative.
Le altre tipologie di notifiche riguardano:
Destinatari notifiche di sistema: gli indirizzi qui specificati riceveranno una notifica alla creazione di utenze con privilegi di Amministrazione e altri aggiornamenti;
Destinatari delle notifiche relative alla creazione di richieste degli interessati: gli indirizzi qui specificati riceveranno una notifica alla creazione e alla scadenza di richieste degli interessati;
Destinatari delle notifiche relative alla creazione di eventi di violazione di dati: gli indirizzi qui specificati riceveranno una notifica all’apertura di una segnalazione di un’asserita violazione di dati.
Opzioni relative alla Valutazione d’impatto#
Di seguito sono riportate le configurazioni disponibili per il modulo dedicato alle Valutazioni d’impatto.
Abilita la modifica libera del rischio residuo: Consente la modifica manuale del rischio residuo per ciascuna minaccia nella valutazione d’impatto a prescindere dal metodo di calcolo del rischio residuo utilizzato;
Abilita la modifica del metodo di mitigazione: Consente la selezione del metodo di mitigazione del rischio direttamente nella valutazione d’impatto;
Abilita l’aggiunta delle «Azioni da intraprendere» Consente di aggiungere in interfaccia la sezione afferente alle azioni da intraprendere, in calce al passaggio del giudizio di sintesi;
Abilita l’aggiunta del «Giudizio di sintesi» nel documento generato della valutazione d’impatto Consente, in seno al report della valutazione d’impatto, di far apparire una sezione tabellare dedicata alla rappresentazione del livello di rischio complessivo del trattamento nonché l’azione da intraprendere prescelta;
Abilita l’inserimento degli utenti Informati: Consente ai reporter delle Valutazioni di Impatto di aggiungere, nella pagina di creazione del progetto, taluni utenti c.d. Informati i quali hanno la possibilità di accedere alle valutazioni d’impatto in sola lettura;
Metodo di calcolo per la mitigazione del rischio di default: Qui è possibile selezionare il metodo di calcolo predefinito per le valutazioni del rischio;
Opzioni relative al Registro dei Trattamenti#
Di seguito sono riportate le configurazioni disponibili per il modulo dedicato al Registro dei trattamenti.
Attiva l’associazione del trattamento al designato: Attiva il campo «Designati dal titolare» nella scheda Soggetti del Registro dei trattamenti.
Associazione con i processi: Abilita/Disabilita l’associazione dei trattamenti ad uno o più processi all’interno della scheda Dati Essenziali del Registro dei trattamenti;
Associazione con i luoghi fisici: Abilita la possibilità di associare i luoghi fisici ai trattamenti;
Associazione con i componenti IT: Abilita la possibilità di associare i componenti it ai trattamenti;
Possibilità di modifica delle attività di trattamento condivise: Abilita/Disabilita la modifica da parte di utenti con ruolo diverso da Amministratore di modificare i trattamenti condivisi fra più Unità;
Indicazione della struttura owner del trattamento: Abilita la possibilità di modifica dei trattamenti condivisi solo nel contesto di alcune unità;
Generazione periodica del registro dei trattamenti: Il sistema genera in automatico ogni 30 giorni il registro dei trattamenti;
Modifica del codice di identificazione (ID) del trattamento: Consente di modificare manualmente, in sede di modifica, il codice identificativo dato in automatico all’attività di trattamento;
Utenti informati: È possibile definire, nell’ambito di ogni singola attività di trattamento, un elenco di utenti c.d. informati che accederanno alla medesima in modalità sola lettura;
Impostare uno stato di default per un trattamento di nuova creazione: Permette di impostare uno status di default (Pubblicato/Bozza) per i nuovi trattamenti inseriti a registro;
Istruzioni operative specifiche per gli autorizzati: Permette la comparsa, all’interno del procedimento di inserimento/modifica di un’attività di trattamento, di una sezione in cui poter inserire delle istruzioni operative specifiche per gli autorizzati;
Indicazione delle operazioni effettuate sui dati: È possibile indicare per il trattamento qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali;
Scelta di una data di inizio per il trattamento: È possibile indicare per ciascun trattamento una data di inizio qualora fosse necessaria;
Scelta di una data di scadenza per il trattamento: È possibile indicare per ciascun trattamento una data di scadenza qualora fosse necessaria.
Opzioni relative al Registro delle violazioni#
Di seguito sono riportate le configurazioni disponibili per il modulo dedicato al Registro delle violazioni.
Attiva segnalazione violazione dati per gli utenti: Consente agli utenti non amministratori l’indicazione di parametri personalizzati sulla scorta dei quali condurre la valutazione di gravità degli eventi di violazione di dati. Con interruttore spento gli utenti potranno soltanto vedere se è stato indicato un valore personalizzato;
Segnalazione decentralizzata della violazione di dati: Abilità per gli utenti la possibilità di notificare una segnalazione di potenziale violazione di dati. Tale segnalazione sarà notificata agli indirizzi indicati in «Destinatari delle notifiche relative alla creazione di eventi di violazione di dati». Vedi: Modulo segnalazione violazione ;
Informazioni aggiuntive: Consente agli utenti di aggiungere alcune informazioni aggiuntive come la durata dell’evento, l’estensione geografica e la possibilità di inviare oltre alle entità previste dal GDPR anche al CSIRT.
Opzioni relative alle Assegnazioni#
Di seguito sono riportate le configurazioni disponibili per il modulo dedicato alle Assegnazioni.
Lettere di autorizzazione differenziate per struttura: Permette la generazione delle lettere di autorizzazione contestualizzandole nelle strutture di appartenenza del destinatario. Diversamente, la lettera verrà considerata come «Trasversale»;
Abilita i delegati alla creazione di nuovi utenti: Permette ai delegati di creare nuovi utenti in fase di assegnazione nel caso non siano presenti nell’anagrafica generale di DPM;
Gestione delle applicazioni: Questa funzione permette di abilitare la gestione delle applicazioni.
Opzioni relative alle Informative#
Di seguito sono riportate le configurazioni disponibili per il modulo dedicato alle Informative.
«Carica documento» by default: Pre seleziona “carica” come modalità di inserimento del documento relativo ad una informativa;
Opzioni relative alle Misure di Sicurezza#
Di seguito sono riportate le configurazioni disponibili per la sezione relativa alle Misure di sicurezza, all’interno del menù Asset.
Abilita la possibilità di indicare le misure di sicurezza di default: Permette di abilitare una misura di sicurezza come default;
Opzioni relative agli Asset#
Di seguito sono riportate le configurazioni disponibili per il modulo menù relativo alla gestione degli Asset.
Abilita la possibilità di indicare le misure di sicurezza di default: Attiva la possibilità di censire ed assegnare i dispositivi personali quali client, desktop etc.
La tabella nella quale effettuare il censimento si trova nel menu ASSET > DISPOSITIVI , mentre le assegnazioni dei dispositivi personali vanno condotte seguendo la procedura descritta nel capitolo Assegnazioni.
Taluni dei documenti generati attraverso l’applicativo DPM possono essere personalizzati in autonomia dagli utenti con i relativi permessi attraverso la funzionalità di personalizzazione dei documenti, raggiungibile attraverso la scheda «Gestione dei Modelli» accessibile dal menù Configurazione.
Anzitutto, viene data la possibilità di caricare un logo personalizzato da utilizzare nelle intestazioni dei documenti e dei report generati dall’applicativo. I formati di immagine supportati sono .jpg .jpeg .bmp .png.
Caricamento di un nuovo modello#
Sulla sinistra della sezione modelli riporta l’elenco completo dei documenti che DPM consente di produrre. Ciascun documento presenta un modello standard, indicato come elemento di default fintanto che la configurazione non verrà modificata dall’utente. I modelli standard di DPM non possono essere eliminati e sono contraddistinti da un’icona di colore verde.
Per caricare ulteriori versioni di un modello documentale è necessario, una volta ricercato e selezionato il tipo di documento del caso, cliccare sul bottone «Carica nuovo modello» (1) e, tramite la modale dedicata, scegliere il file da caricare. Si precisa che il file originale del modello deve necessariamente essere in formato .docx.
Una volta caricato il file, questo verrà mostrato nella sezione «Modelli disponibili»: qui vengono gestiti i diversi modelli relativi ad uno stesso documento. In questa sezione è possibile:
Impostare il modello documentale di default (3): questo modello sarà pre selezionato alla generazione del documento del caso;
Disponibilità dei modelli documentali (4): specificando la disponibilità del modello lo si andrà a rendere selezionabile per la generazione del documento del caso. Se nessuna spunta è apposta, il modello resterà caricato in applicativo ma indisponibile per la produzione di documenti.
Impostare il nome del file generato (5): alla generazione del documento del caso, il file prodotto avrà nella stringa del nome il testo inserito in questa sezione.
Personalizzazione dei modelli - Segnaposto#
All’interno dei documenti vengono utilizzati numerosi segnaposto, i quali vengono autonomamente riempiti dall’applicativo alla luce dei dati inseriti nei campi corrispondenti delle interfacce. Di seguito viene riportato l’elenco esaustivo dei segnaposto utilizzati:
Segnaposto relativi al Titolare dell’istanza
Questo set di segnaposto viene sfruttato per tutti i documenti generati all’interno di DPM: i medesimi fanno riferimento al titolare dell’istanza (evincibile dal menù di Configurazione).
${CONTROLLER}= Ragione sociale del titolare dell’istanza${ADDRESS}= Indirizzo del titolare dell’istanza${CITY}= Sede del titolare dell’istanza${EMAIL}= Email del titolare dell’istanza${TEL}= Telefono del titolare dell’istanza${PIVAFC}= Partita Iva / Codice fiscale del titolare dell’istanza${FAX}= Fax del titolare dell’istanza${WEB}= sito web del titolare dell’istanza${DATE}= data di generazione del documento dell’istanza${LOGO}= logo caricato attraverso la procedura di caricamento del logo vista sopra${REPRESENTATIVE}= legale rappresentante del titolare dell’istanza${QUALIFICATION}= qualifica del titolare
I segnaposto che seguono sono specifici per documento.
Accordo o Addendum sul Trattamento dei Dati (Sub Responsabili)#
${THIRD_PARTY}= Denominazione del subresponsabile${THIRD_PARTY_EMAIL}= Indirizzo email del subresponsabile${THIRD_PARTY_DESCRIPTION}= Descrizione del subresponsabile${THIRD_PARTY_NOTES}= Note${THIRD_PARTY_ADDRESS}= Indirizzo del subresponsabile${THIRD_PARTY_CFPIVA}= Codice fiscale, p.iva del subresponsabile${THIRD_PARTY_PHONE}= Numero di telefono del subresponsabile${THIRD_PARTY_REPRESENTATIVE}= legale rappresentante del subresponsabile${CONTROLLER_INFO}= Dati del titolare del trattamento (denominazione, CF/P.IVA, indirizzo)${THIRD_PARTY_INFO}= Dati del subresponsabile (denominazione, CF/P.IVA, indirizzo, note)${APPLICATIONS}= Applicativi correlati al subresponsabile
Attraverso questo blocco vengono inserite le attività di trattamento all’interno del documento, in forma tabellare.
${PROCESSING_ACTIVITIES_BLOCK}${PA}${/PROCESSING_ACTIVITIES_BLOCK}
Accordo o Addendum sul Trattamento dei Dati (Responsabili)#
${THIRD_PARTY}= Denominazione del responsabile${THIRD_PARTY_EMAIL}= Indirizzo email del responsabile${THIRD_PARTY_DESCRIPTION}= Descrizione del responsabile${THIRD_PARTY_NOTES}= Note${THIRD_PARTY_ADDRESS}= Indirizzo del responsabile${THIRD_PARTY_CFPIVA}= Codice fiscale, p.iva del responsabile${THIRD_PARTY_PHONE}= Numero di telefono del responsabile${THIRD_PARTY_REPRESENTATIVE}= legale rappresentante del responsabile${CONTROLLER_INFO}= Dati del titolare del trattamento (denominazione, CF/P.IVA, indirizzo)${THIRD_PARTY_INFO}= Dati del responsabile (denominazione, CF/P.IVA, indirizzo, note)${APPLICATIONS}= Applicativi correlati al responsabile
Attraverso questo blocco vengono inserite le attività di trattamento all’interno del documento, in forma tabellare.
${PROCESSING_ACTIVITIES_BLOCK}${PA}${/PROCESSING_ACTIVITIES_BLOCK}
Lettera per gli amministratori di sistema#
${NAME_SURNAME}= Nome e cognome dell’amministratore di sistema${SYSADMIN_CFPIVA}= Codice fiscale dell’amministratore di sistema${SYSADMIN_USER_NUMBER}= Numero di matricola dell’amministratore di sistema${SYSADMIN_EMAIL}= Indirizzo email dell’amministratore di sistema${SYSADMIN_THIRD_PARTY}= Terza parte a cui e” associato l’amministratore di sistema${UNIT}= Unità di appartenenza dell’amministratore di sistema${DIRECTOR}= Dirigente/responsabile dell’amministratore di sistema${ASSETS}= Applicativi e componenti IT che sottendono la nomina ad amministratore di sistema
Lettera per il designato del titolare#
n.b. Con designato si intende il soggetto specificamente scelto dal titolare come proprio facente funzioni nel contesto di una o più unità organizzative.
${DIRECTOR}= Nome e cognome del designato${UNIT}= Unità associata al designato${DIRECTOR_QUALIFICATION}= Qualifica del Designato destinatario della lettera${PARENT_UNIT}= Nome dell’Unità gerarchicamente superiore a quella di appartenenza del Designato autorizzando${PARENT_UNIT_DIRECTOR}= Nome del Designato dell’Unità gerarchicamente superiore a quella di appartenenza del designato autorizzando${DIRECTOR_USER_NUMBER}= Matricola del Designato${DIRECTOR_FISCAL_CODE}= Codice fiscale del Designato
Attraverso questo blocco vengono inserite le attività di trattamento all’interno del documento, in forma tabellare.
${PROCESSING_ACTIVITIES_BLOCK}${PA}${/PROCESSING_ACTIVITIES_BLOCK}
Lettera di autorizzazione per incaricati/autorizzati#
${NAME_SURNAME}= Nome e cognome del destinatario${FISCAL_CODE}= Codice fiscale del destinatario${INTRO}= Chiusura dinamica della frase introduttiva, cambia se ci sono o meno trattamenti associati${UNIT}= Unità di appartenenza del destinatario${UNIT_DIRECTOR}= Nome e cognome dello unit director dell’unità nel contesto della quale la lettera viene generata${UNIT_CODE}= Codice unita” di appartenenza dell’autorizzato${USER_NUMBER}= Codice utente dell’autorizzato${USER_QUALIFICATION}= Qualifica dell’autorizzato${PARENT_UNIT}= Nome dell’Unità gerarchicamente superiore a quella di appartenenza dell’autorizzato${PARENT_UNIT_DIRECTOR}= Nome del Designato dell’Unità gerarchicamente superiore a quella di appartenenza dell’autorizzato
Attraverso questo blocco vengono inserite le attività di trattamento all’interno del documento, in forma tabellare.
${PROCESSING_ACTIVITIES_BLOCK}${PA}${/PROCESSING_ACTIVITIES_BLOCK}
Attraverso questo blocco vengono rappresentati in forma tabellare gli applicativi (nome e descrizione) di cui il soggetto è assegnatario.
${APPLICATIONS_BLOCK}${APP_BLOCK}${APP}${/APP_BLOCK}${/APPLICATIONS_BLOCK}
Registro dei trattamenti#
In DPM possono essere generati tre tipi di registro di trattamenti: il registro del titolare, il registro del responsabile ed il registro del responsabile di struttura (designato).
I tre registri condividono taluni segnaposto, che sono:
Lista delle misure di sicurezza
${SECURITY_MEASURES_ORG_TABLE}= Misure di sicurezza organizzative trasversali${SECURITY_MEASURES_TEC_TABLE}= Misure di sicurezza tecniche trasversali
Dati granulari del trattamento
Nota
Per disabilitare, modificare l’ordinamento o abilitare ulteriori dati granulari fra quelli elencati è necessario inoltrare una richiesta al servizio di assistenza.
Intestazione del trattamento, comprensiva di ID, Nome, Data di creazione e Data di ultima modifica
Ruolo nel trattamento, titolare o responsabile
Unità di afferenza del trattamento (disponibile anche nella variante inclusiva del codice della struttura)
Descrizione del trattamento
Finalità del trattamento
Basi giuridiche
Riferimenti normativi e legittimi interessi
Origine dei dati
Modalità del trattamento
Operazioni condotte sui dati personali
Categorie e tipologie di dati trattati
Categorie di interessati
Titolare del trattamento, se il trattamento è del titolare
Titolare del trattamento, se il trattamento è del responsabile
Contitolari del trattamento, se il trattamento è del titolare
Responsabili del trattamento (disponibile anche nella variante inclusiva delle relative note)
Sub responsabili del trattamento
DPO del Trattamento
Diffusione
Note relative alla diffusione
Profilazione
Trasferimento e comunicazioni dati
Misure di sicurezza organizzative del trattamento
Periodo di conservazione dei dati (dsiponibile anche nella variante inclusiva della relativa descrizione)
Applicativi e Componenti IT ad essi associati, con relative misure di sicurezza tecniche
Componenti IT associati al trattamento
Luoghi fisici associati al trattamento
Istruzioni operative specifiche per gli autorizzati
Note relative al trattamento
Riepilogo del questionario di Stima del rischio
Riepilogo del questionario di Pre assessment
Nome degli allegati al trattamento, compresa la descrizione
Misure di sicurezza organizzative trasversali
Misure di sicurezza tecniche trasversali
I dati granulari delle attività di trattamento cospirano a popolare la tabella introdotta dal presente blocco
${PROCESSING_ACTIVITIES_BLOCK}${PA}${/PROCESSING_ACTIVITIES_BLOCK}
Con riferimento al registro del designato, i segnaposto peculiari sono:
${PA_CONTROLLER}= Titolare del trattamento, se il trattamento è del titolare${PA_CONTROLLERS_DIRECTOR}= Titolare del trattamento, se il trattamento è del responsabile${PA_COCONTROLLERS_DIRECTOR}= Contitolari del trattamento, se il trattamento è del titolare
Tutti e tre i predetti segnaposto devono essere inseriti all’interno del blocco granulare dei trattamenti visto poc’anzi
Con riferimento al registro del Titolare, i segnaposto peculiari sono sono:
${PA_COCONTROLLERS}= Contitolari del Trattamento${COCONTROLLERS_DATA}= Dati dei contitolari (ragione sociale, indirizzo e città, email, numero di telefono)${DPOS_DATA}= Dati del DPO (ragione sociale, indirizzo e città, email, numero di telefono)
Il primo di questi tre segnaposto (${PA_COCONTROLLERS}) deve essere inserito all’interno della tabella granulare dei trattamenti; i restanti due possono liberamente essere inseriti nel documento, purché siano posti all’esterno della summenzionata tabella.
Con riferimento al registro del Responsabile, i segnaposto peculiari sono sono:
${CONTROLLERS_DATA}= Dati dei titolari${THIRD_PARTIES_DATA}= Dati di responsabili ed ulteriori responsabili${DPOS_DATA}= Dati dei DPO${PA_CONTROLLERS}= Titolari del trattamento
L’ultimo di questi quattro segnaposto (${PA_CONTROLLERS}) deve essere inserito all’interno della tabella granulare dei trattamenti; i restanti tre possono liberamente essere inseriti nel documento, purché siano posti all’esterno della summenzionata tabella.
Report della Valutazione d’Impatto#
${NAME}= Nome della valutazione d’impatto${CREATED_AT_DATE}= Data di creazione della valutazione d’impatto${PROCESSING_ACTIVITY}= Trattamento correlato alla valutazione d’impatto${ESSENTIAL_INFO}= Dati relativi a: data creazione analisi, data generazione del documento, data del prossimo controllo, status, ragione sociale del Titolare, denominazione del DPO.${ASSIMILATED_ACTIVITIES}= Lista di trattamenti assimilati${GOAL}= Obiettivo della valutazione d’impatto${ACTIVITY_TABLE}= Tabella con i dati del trattamento${QUALITATIVE}= Blocco con al suo interno una parte di testo statico, viene omesso se la valutazione è quantitativa
Dati granulari del trattamento
Nota
Per disabilitare, modificare l’ordinamento o abilitare ulteriori dati granulari fra quelli elencati è necessario inoltrare una richiesta al servizio di assistenza.
Intestazione del trattamento, comprensiva di ID, Nome, Data di creazione e Data di ultima modifica
Ruolo nel trattamento, titolare o responsabile
Unità di afferenza del trattamento (disponibile anche nella variante inclusiva del codice della struttura)
Descrizione del trattamento
Finalità del trattamento
Basi giuridiche
Riferimenti normativi e legittimi interessi
Origine dei dati
Modalità del trattamento
Operazioni condotte sui dati personali
Categorie e tipologie di dati trattati
Categorie di interessati
Titolare del trattamento, se il trattamento è del titolare
Titolare del trattamento, se il trattamento è del responsabile
Contitolari del trattamento, se il trattamento è del titolare
Responsabili del trattamento (disponibile anche nella variante inclusiva delle relative note)
Sub responsabili del trattamento
DPO del Trattamento
Diffusione
Note relative alla diffusione
Profilazione
Trasferimento e comunicazioni dati
Misure di sicurezza organizzative del trattamento
Periodo di conservazione dei dati (dsiponibile anche nella variante inclusiva della relativa descrizione)
Applicativi e Componenti IT ad essi associati, con relative misure di sicurezza tecniche
Componenti IT associati al trattamento
Luoghi fisici associati al trattamento
Istruzioni operative specifiche per gli autorizzati
Note relative al trattamento
Riepilogo del questionario di Stima del rischio
Riepilogo del questionario di Pre assessment
Nome degli allegati al trattamento, compresa la descrizione
Misure di sicurezza organizzative trasversali
Misure di sicurezza tecniche trasversali
I dati granulari delle attività di trattamento cospirano a popolare la tabella introdotta dal presente segnaposto
${PROCESSING_ACTIVITY_TABLE}
Blocco di allegati
${ATTACHMENTS_BLOCK}(parte necessaria del blocco da non spostare)${ATTACHMENTS}= Aggiunge una linea di testo «Allegati:»${ATT_NAME}= Nome del file allegato${ATT_DESCRIPTION}= Descrizione del file allegato${/ATTACHMENTS_BLOCK}(parte necessaria del blocco da non spostare)
Blocco dei pre assessment
${PRE_ASSESSMENT_BLOCK}(parte necessaria del blocco da non spostare)${TITLE}= Titolo del pre assessment${QUESTION}= Testo del pre assessment${/PRE_ASSESSMENT_BLOCK}(parte necessaria del blocco da non spostare)
Blocco dei diritti e principi fondamentali
${PRINCIPLE_BLOCK}(parte necessaria del blocco da non spostare)${PRINCIPLE_TITLE}= Nome del principio o diritto fondamentale preso in considerazione${PRINCIPLE_BODY}= Descrizione del principio o diritto fondamentale preso in considerazione${/PRINCIPLE_BLOCK}(parte necessaria del blocco da non spostare)
Blocco sulla proporzionalità
${DATA_CATEGORIES_BLOCK}(parte necessaria del blocco da non spostare)${DATA_CATEGORY}= Categorie di dati${/DATA_CATEGORIES_BLOCK}(parte necessaria del blocco da non spostare)${DATA_SUBJECTS_BLOCK}(parte necessaria del blocco da non spostare)${DATA_SUBJECT}= Soggetti interessati${/DATA_SUBJECTS_BLOCK}(parte necessaria del blocco da non spostare)${PURPOSE}= Finalità del trattamento di dati${PURPOSE_REASON}= Motivazioni che sottendono il trattamento dei dati
Blocco sul coinvolgimento delle parti interessate
${QUESTIONS_BLOCK}(parte necessaria del blocco da non spostare)${QUESTION}= Testo della «domanda»${ANSWER}= Descrizione delle modalità di implementazione${/QUESTIONS_BLOCK}(parte necessaria del blocco da non spostare)
Blocco della valutazione del rischio
${EVALUATION_BLOCK}(parte necessaria del blocco da non spostare)${EV_INTRO}= Introduzione della minaccia (Categoria, Nome, Descrizione, Area di Impatto, Fonti di Rischio)${EV_RESIDUAL_RISK}= Banner con il rischio residuo${EV_RISK_ACCEPTANCE}= Motivazione accettazione del rischio${EV_RISK_MOTIVATION}= Motivazione livello del rischio${EV_SECURITY_MEASURES}= introduzione del blocco delle misure di sicurezza, deve sempre stare in apice ai quattro segnaposto che seguono${EV_SM_TEXT}= Nome misura di sicurezza${EV_SM_IMP}= Implementazione misura di sicurezza${EV_SM_TABLE}= Tabella con mitigazione probabilità e impatto della misure di sicurezza${/EV_SECURITY_MEASURES}= conclusione del blocco delle misure di sicurezza, deve sempre stare in calce ai quattro segnaposto che precedono${EV_THREAT_DETAILS_TABLE}= Tabella con i livelli di rischio, impatto e probabilità, iniziale e residuo${EV_TOTAL_MITIGATION}= Tabella con la mitigazione totale delle misure di sicurezza${/EVALUATION_BLOCK}(parte necessaria del blocco da non spostare)
Informativa#
Segnaposto relativi al titolare dell’istanza
${CONTROLLER}= Denominazione${ADDRESS}= Indirizzo${CITY}= Città${EMAIL}= Email${TEL}= Telefono${PIVAFC}= Partita IVA / Codice Fiscale${FAX}= Fax${WEB}= URL del sito${DATE}= Data di generazione del documento${LOGO}= Logo dell’organizzazione/ente${REPRESENTATIVE}= Legale rappresentante${QUALIFICATION}= Qualifica
Segnaposto delle attività di trattamento
${PROCESSING_ACTIVITIES}= Tabella con i nomi dei trattamenti collegati all’informativa
Segnaposto diffusione e comunicazione dei dati
${IS_BROADCAST}= frase affermativa/negativa sul ricorrere della diffusione${DISCLOSURE_SUBJECTS_TABLE}= tabella con i nomi dei destinatari della comunicazione dei dati, posizione geografica (intra/extra-UE), legittimazione in caso di trasferimento extra-UE
Elenco blocchi
Vengono ora elencati i vari blocchi che compongono l’informativa. Eventuali parti statiche che descrivono una determinata tabella vengono eliminate nel caso non ci siano informazioni da inserire nella tabella.
Blocco della finalità
${PURPOSE_BLOCK}= Inizio blocco${PURPOSE}= Finalità${/PURPOSE_BLOCK}= Fine blocco
Blocco delle basi legali
Oltre alla parte statica, è anche presente un ulteriore blocco interno, usato per costruire l’elenco puntato.
${LEGAL_BASES_BLOCK}= Inizio blocco${LEGAL_BASES_LIST}= Inizio blocco lista${LEGAL_BASIS}= Basi legali${/LEGAL_BASES_LIST}= Fine blocco lista${/LEGAL_BASES_BLOCK}= Fine blocco
Blocco dei riferimenti normativi
${LEGAL_REFERENCES_BLOCK}= Inizio blocco${LEGAL_REFERENCES}= Riferimenti normativi${/LEGAL_REFERENCES_BLOCK}= Fine blocco
Blocco sull’origine dei dati
Oltre alla parte statica, è anche presente un ulteriore blocco interno, usato per costruire l’elenco puntato.
${DATA_SOURCES_BLOCK}= Inizio blocco${DATA_SOURCES_LIST}= Inizio blocco lista${DATA_SOURCE}= Origine dei dati${/DATA_SOURCES_LIST}= Fine blocco lista${/DATA_SOURCES_BLOCK}= Fine blocco
Blocco delle categorie di dati
${DATA_CATEGORIES_BLOCK}= Inizio blocco${DATA_CATEGORIES}= Categorie e tipi di dato${/DATA_CATEGORIES_BLOCK}= Fine blocco
Blocco dei titolari
In ogni riga vengono elencati i dati relativi ai titolari.
${CONTROLLERS_BLOCK}= Inizio blocco${CONTROLLERS}= Ragione sociale e dati di contatto${/CONTROLLERS_BLOCK}= Fine blocco
Blocco dei DPO
In ogni riga vengono elencati i dati relativi ai DPO.
${DPO_BLOCK}= Inizio blocco${DPO}= Ragione sociale e dati di contatto${/DPO_BLOCK}= Fine blocco
Blocco comunicazione per obbligo legale/contrattuale
${DATA_PROVISION_CONTRACT_BLOCK}= Inizio blocco${DATA_PROVISION_CONTRACT}= Frase affermativa${/DATA_PROVISION_CONTRACT_BLOCK}= Fine blocco
Blocco comunicazione necessaria per la conclusione del contratto
${DATA_PROVISION_ENTER_CONTRACT_BLOCK}= Inizio blocco${DATA_PROVISION_ENTER_CONTRACT}= Frase affermativa${/DATA_PROVISION_ENTER_CONTRACT_BLOCK}= Fine blocco
Blocco facoltativita” o obbligatorieta” della comunicazione
${DATA_PROVISION_OBLIGATORY_BLOCK}= Inizio blocco${DATA_PROVISION_OBLIGATORY}= Frase affermativa${/DATA_PROVISION_OBLIGATORY_BLOCK}= Fine blocco
Blocco delle possibili conseguenze
${CONSEQUENCES_BLOCK}= Inizio blocco${CONSEQUENCES}= Possibili conseguenze${/CONSEQUENCES_BLOCK}= Fine blocco
Blocco del periodo di conservazione dei dati
Oltre alla parte statica, e” anche presente un ulteriore blocco interno, usato per costruire l’elenco puntato. Vi e” inoltre un ulteriore segnaposto dove viene inserita la descrizione.
${RETENTIONS_BLOCK}= Inizio blocco${RETENTIONS_LIST}= Inizio lista${/CONSEQUENCES_BLOCK}= Fine blocco${RETENTION}= Periodi di conservazione dei dati
${/RETENTIONS_LIST}= Fine lista${RETENTION_DESCRIPTION}= Descrizione del periodo di conservazione dei dati${/RETENTIONS_BLOCK}= Fine blocco
Blocco processo decisionale automatizzato e profilazione
Viene inserita una frase statica rappresentante i due campi.
${AUTOMATION_PROFILING_BLOCK}= Inizio blocco${AUTOMATION_PROFILING}= Processo decisionale automatizzato e profilazione${/AUTOMATION_PROFILING_BLOCK}= Fine blocco
Blocco dei diritti
Oltre alla parte statica, e” anche presente un ulteriore blocco interno, usato per costruire l’elenco puntato suddiviso in 2 segnaposto.
${RIGHTS_BLOCK}= Inizio blocco${RIGHT_NAME}= Nome diritto
${RIGHT_DESCRIPTION}= Descrizione diritto${/RIGHTS_BLOCK}= Fine blocco
Blocco del consenso
Questo blocco contiene una frase statica che viene eliminata o mantenuta.
${CONSENT_BLOCK}= Inizio blocco<Inserire tra il primo e il secondo segnaposto la frase statica relativa al consenso dell’interessato>
${/CONSENT_BLOCK}= Fine blocco
Attestato di conseguimento del corso di formazione#
${USER_NAME}= nome del discente${USER_SURNAME}= cognome del discente${CONTROLLER}= titolare dell’istanza / ente di appartenenza${COMPLETION_DATE}= data di conseguimento dell’attestato${USER_NUMBER}= matricola del discente
Anticorruzione#
Soglie di rischio#
All’interno della sezione “Anticorruzione”, è possibile anzitutto stabilire il livello di soglia (medio e alto) del rischio corruttivo con particolare riferimento all’attitudine all’abbattimento delle misure di trattamento. Grazie a questa funzionalità, l’Utente può quindi autonomamente stabilire le soglie oltre le quali il livello di rischio deve ritenersi medio piuttosto che alto, a valle dell’adozione delle misure di trattamento.
Associazione delle attività di trattamento con attività amministrative#
Subito sotto alla voce dedicata alla definizione delle soglie di rischio, è presente un interruttore chiamato «Attiva attività associate al trattamento». Accendendo il medesimo si attiverà la possibilità di associare le attività di trattamento contenute nel Registro dei trattamenti alle attività corrispondenti contenute nella mappatura in ambito Anticorruzione.
Poteri dei mappatori in ordine alla personalizzazione del rischio#
In ultima istanza, tramite apposito interruttore, è possibile precludere ai mappatori in ambito anticorruzione la possibilità di personalizzare il livello del rischio nel contesto della valutazione del medesimo in Mappatura attività . Qualora infatti l’opzione fosse disattiva, il mappatore non potrà modificare, per ogni evento rischioso, il relativo livello di rischio a valle della valorizzazione dei rispettivi indicatori. Si badi che, in ogni caso, l’amministratore anticoruzzione (ad esempio RPCT e simili) potranno sempre (anche pertanto con spunta disattiva) sovvertire il livello di rischio suggerito tramite l’impostazione di un rischio personalizzato.