Configurazione

Facendo clic sulla voce di menu Configurazione è possibile definire una serie di parametri suddivisi in una serie di schede:

Generale

All’interno della prima scheda («Generale») si possono definire i soggetti predefiniti nonché talune significative impostazioni generali.

../_images/impostazioni.png

Titolare e DPO predefiniti

La definizione di questi soggetti comporta la loro presenza, per impostazione predefinita, nei relativi campi della scheda Soggetti del Registro dei trattamenti.

Il titolare ed il DPO devono essere inseriti nelle rispettive tabelle raggiungibili dal menu Soggetti -> Titolare o Soggetti -> RPD. I dati impostati nella scheda Soggetti -> Titolari per il titolare predefinito saranno quelli utilizzati per la generazione delle intestazioni e pié di pagina dei documenti.

Cambio password obbligatorio al primo accesso

../_images/Cambio_pass_obligatorio.png

Al primo accesso sarà richiesto all’utente di aggiornare la propria password di DPM.

Recupero della password

Nel menu Configurazione è altresì possibile abilitare la funzionalità di recupero della password, che permette ad ogni singolo utente (inserito nell’anagrafica dell’applicativo in associazione ad un indirizzo email) di creare nuovamente una password in caso di smarrimento o di dimenticanza.

../_images/pass_recovery_1.png

Procedura di recupero della password

Per iniziare la procedura occorrerà cliccare il link «Ho dimenticato la password» nella propria pagina di login.

../_images/pass_recovery_2.png

Vi sarà chiesto di inserire il vostro nome utente: una volta inserito occorrerà premere il tasto azzurro «INVIA» e, se la richiesta avrà avuto successo, vi sarà restituito un messaggio del tipo di quello di cui all’immagine sottostante.

../_images/pass_recovery_3.png

Vi verrà inviata una mail all’indirizzo associato al vostro utente. Potrà essere generata al massimo una mail di recupero al minuto. Cliccando il link (o copiando/incollando l’url) trasmessovi nella mail, sarete reindirizzati alla pagina di recupero. In quest’ultima vi verrà richiesto (come da immagine sottostante) di inserire il vostro nome utente nonché la nuova password prescelta e la sua ripetizione. La nuova password dovrà, congiuntamente: avere lunghezza tra 8 e 32 caratteri, contenere almeno una lettera maiuscola ed una minuscola, contenere un numero ed un carattere speciale.

../_images/pass_recovery_4.png

Completata a buon fine la procedura, apparirà un messaggio di successo nella parte in alto a destra dello schermo e sarete reindirizzati alla pagina di login. Da lì potrete infine inserire il vostro username e la nuova password per accedere al vostro account.

Attiva dispositivi personali

Attiva la possibilità di censire ed assegnare i dispositivi personali quali client, desktop, pendrive, ecc. La tabella nella quale effettuare il censimento si trova nel menu Asset -> Dispositivi, mentre le assegnazioni dei dispositivi personali vanno effettuate seguendo la procedura descritta nel capitolo Assegnazioni agli autorizzati.

Notifiche

Attiva invio notifiche agli autorizzati

Gli autorizzati riceveranno una notifica al momento della generazione degli accordi/lettere a loro indirizzati.

Attiva invio notifiche sulla generazione degli accordi per designati

Il designato riceverà una notifica al momento della generazione degli accordi a lui indirizzati.

Attiva invio notifiche sulla generazione degli accordi per amministratori di sistema

L’amministratore di sistema riceverà una notifica al momento della generazione generazione degli accordi a lui indirizzati.

Configurazione delle notifiche

In questa sezione è possibile definire alcuni dettagli di sistema, in particolare:

  • Return path: in questa sezione possono essere indicati i destinatari delle comunicazioni di mancato recapito;
  • Indirizzo From: è possibile definire l’indirizzo mail che comparirà all’utente destinatario quale mittente delle notifiche;
  • Nome From: in questa sezione si può definire un nome che comparirà al destinatario come mittente della mail.

Destinatari delle notifiche

È possibile, inoltre, definire più destinatari per ogni tipologia di notifica: i destinatari devono essere inseriti come indirizzi email separati da virgola.

Le diverse tipologie di notifiche riguardano:

  • Destinatari notifiche di sistema (creazione di utenze con priviliegi di Amministrazione, aggiornamenti);
  • Destinatari notifiche di richieste degli interessati (apertura richiesta, scadenza richiesta);
  • Destinatari notifiche di valutazioni d’impatto (cambio di stato e scadenza DPIA);
  • Destinatari notifiche di violazione dati (apertura segnalazione di una asserita violazione).

Protezione dei dati

Metodo di calcolo per la mitigazione del rischio di default

Qui è possibile selezionare il metodo di calcolo predefinito per le valutazioni del rischio;

Abilita la modifica libera del rischio residuo

Consente la modifica manuale del rischio residuo per ciascuna minaccia nella valutazione d’impatto a prescindere dal metodo di calcolo del rischio residuo utilizato;

Abilita la modifica del metodo di mitigazione

Consente la selezione del metodo di mitigazione del rischio direttamente nella valutazione d’impatto;

Abilita l’aggiunta delle «Azioni da intraprendere»

Consente di aggiungere in interfaccia la sezione afferente alle azioni da intraprendere, in calce al passaggio del giudizio di sintesi;

Abilita l’aggiunta del «Giudizio di sintesi» nel documento generato della valutazione d’impatto

Consente, in seno al report della valutazione d’impatto, di far apparire una sezione tabellare dedicata alla rappresentazione del livello di rischio complessivo del trattamento nonché l’azione da intraprendere prescelta.

Abilita l’inserimento degli utenti Informati

Consente ai reporter delle Valutazioni di Impatto di aggiungere, nella pagina di creazione del progetto, taluni utenti c.d. Informati i quali hanno la possibilità di accedere alle valutazioni d’impatto in sola lettura.

Attiva l’assegnazione del trattamento al designato

Attiva il campo «Designati dal titolare» nella scheda Soggetti del Registro dei trattamenti.

Attiva valutazione automatica del rischio sul trattamento

La valutazione automatica popola il campo «Livello di rischio» con i valori «Basso», «Medio» o «Alto» a seconda dei dati inseriti nel trattamento. Per ulteriori dettagli consultare il seguente link: Calcolo stima del rischio suggerita dal sistema.

Attiva processi associati al trattamento

Abilita/Disabilita l’associazione dei trattamenti ad uno o più processi all’interno della scheda Dati Essenziali del Registro dei trattamenti.

Attiva luoghi fisici associati al trattamento

Abilita la possibilità di associare i luoghi fisici ai trattamenti.

Abilita la modifica dei trattamenti condivisi

Abilita/Disabilita la modifica da parte di utenti con ruolo diverso da Amministratore di modificare i trattamenti condivisi fra più Unità.

Attiva componenti IT associati al trattamento

Abilita la possibilità di associare i componenti it ai trattamenti.

Abilita l’indicazione della struttura owner del trattamento

Abilita la possibilità di modifica dei trattamenti condivisi solo nel contesto di alcune unità.

Attiva segnalazione violazione dati per gli utenti

Abilita/disabilita la possibilità per tutti gli utenti di aprire una segnalazione di potenziale Violazione di dati. Tale segnalazione sarà notificata agli indirizzi indicati in «Destinatari notifiche di violazione dati». Vedi: Modulo segnalazione violazione

Abilita la generazione periodica del registro dei trattamenti

Il sistema genera in automatico ogni 30 giorni il registro dei trattamenti.

Abilita modifica del codice di identificazione del trattamento

Consente di modificare manualmente, in sede di modifica, il codice identificativo dato in automatico all’attività di trattamento.

Abilita gestione delle lettere di nomina ad autorizzato differenziate per struttura

Questa impostazione permette di gestire le lettere in maniera separata per struttura oppre se l’interruttore è disattivato le lettere di nomina saranno uniche per istanza/organizzazione.

../_images/gestionelettere.png

Cambio password

Per modificare la propria password, accedere alla pagina utente facendo clic sul proprio nome in nella parte in alto a sinistra dello schermo:

../_images/Cambio_pass_1.png

Da questa interfaccia è sufficente fare clic su «Cambio password»:

../_images/Cambio_pass_2.png

Compilare i campi del form, tendo presente il requisito di complessità e lunghezza della password: «Almeno 8 caratteri di cui una lettera maiuscola, una minuscola, un numero ed un carattere speciale»

../_images/Cambio_pass_3.png

Gestione dei Modelli di documenti

Taluni dei documenti generati attraverso l’applicativo DPM possono essere personalizzati in autonomia dagli utenti con i relativi persmessi attraverso la funzionalità di personalizzazione dei documenti, raggiungibile attraverso la scheda «Template» accessibile dal menù Configurazione.

../_images/templates_1.png

Anzitutto, viene data la possibilità di caricare un logo personalizzato da utilizzare nelle intestazioni dei documenti e dei report generati dall’applicativo. I formati di immagine supportati sono .jpg .jpeg .bmp .png.

../_images/templates_2.png

Per ogni documento è possibile, attraverso i tre bottoni azzurri presenti sulla destra: caricare il proprio modello personalizzato; scaricare il modello corrente, resettare il modello attualmente in uso a quello di default.

../_images/templates_3.png

All’interno dei documenti vengono utilizzati numerosi segnaposto, i quali vengono autonomamente riempiti dall’applicativo alla luce dei dati inseriti nei campi corrispondenti delle interfacce. Questo l’elenco esaustivo dei segnaposti utilizzati:

Segnaposto relativi al titolare dell’istanza Questo set di segnaposti viene sfruttato per tutti i documenti generati all’interno di DPM: i medesimi fanno riferimento al titolare dell’istanza (evincibile dal menù di Configurazione).

  • ${CONTROLLER} = Ragione sociale del titolare dell’istanza
  • ${ADDRESS} = Indirizzo del titolare dell’istanza
  • ${CITY} = Sede del titolare dell’istanza
  • ${EMAIL} = Email del titolare dell’istanza
  • ${TEL} = Telefono del titolare dell’istanza
  • ${PIVAFC} = Partita Iva / Codice fiscale del titolare dell’istanza
  • ${FAX} = Fax del titolare dell’istanza
  • ${WEB} = sito web del titolare dell’istanza
  • ${DATE} = data di generazione del documento dell’istanza
  • ${LOGO} = logo caricato attraverso la procedura di caricamento del logo vista sopra
  • ${REPRESENTATIVE} = legale rappresentante del titolare dell’istanza
  • ${QUALIFICATION} = qualifica

I segnaposto che seguono sono specifici per documento.

Accordo o Addendum sul Trattamento dei Dati (Sub Responsabili)

  • ${THIRD_PARTY} = Denominazione del subresponsabile
  • ${THIRD_PARTY_EMAIL} = Indirizzo email del subresponsabile
  • ${THIRD_PARTY_DESCRIPTION} = Descrizione del subresponsabile
  • ${THIRD_PARTY_NOTES} = Note
  • ${THIRD_PARTY_ADDRESS} = Indirizzo del subresponsabile
  • ${THIRD_PARTY_CFPIVA} = Codice fiscale, p.iva del subresponsabile
  • ${THIRD_PARTY_PHONE} = Numero di telefono del subresponsabile
  • ${THIRD_PARTY_REPRESENTATIVE} = legale rappresentante del subresponsabile
  • ${CONTROLLER_INFO} = Dati del titolare del trattamento (denominazione, CF/P.IVA, indirizzo)
  • ${THIRD_PARTY_INFO} = Dati del subresponsabile (denominazione, CF/P.IVA, indirizzo, note)
  • ${APPLICATIONS} = Applicativi correlati al subresponsabile

Attraverso questo blocco vengono inserite le attività di trattamento all’interno del documento, in forma tabellare.

  • ${PROCESSING_ACTIVITIES_BLOCK}
  • ${PA}
  • ${/PROCESSING_ACTIVITIES_BLOCK}

Accordo o Addendum sul Trattamento dei Dati (Responsabili)

  • ${THIRD_PARTY} = Denominazione del responsabile
  • ${THIRD_PARTY_EMAIL} = Indirizzo email del responsabile
  • ${THIRD_PARTY_DESCRIPTION} = Descrizione del responsabile
  • ${THIRD_PARTY_NOTES} = Note
  • ${THIRD_PARTY_ADDRESS} = Indirizzo del responsabile
  • ${THIRD_PARTY_CFPIVA} = Codice fiscale, p.iva del responsabile
  • ${THIRD_PARTY_PHONE} = Numero di telefono del responsabile
  • ${THIRD_PARTY_REPRESENTATIVE} = legale rappresentante del responsabile
  • ${CONTROLLER_INFO} = Dati del titolare del trattamento (denominazione, CF/P.IVA, indirizzo)
  • ${THIRD_PARTY_INFO} = Dati del bresponsabile (denominazione, CF/P.IVA, indirizzo, note)
  • ${APPLICATIONS} = Applicativi correlati al responsabile

Attraverso questo blocco vengono inserite le attività di trattamento all’interno del documento, in forma tabellare.

  • ${PROCESSING_ACTIVITIES_BLOCK}
  • ${PA}
  • ${/PROCESSING_ACTIVITIES_BLOCK}

Lettera per gli amministratori di sistema

  • ${NAME_SURNAME} = Nome e cognome dell’amministratore di sistema
  • ${SYSADMIN_CFPIVA} = Codice fiscale dell’amministratore di sistema
  • ${SYSADMIN_USER_NUMBER} = Numero di matricola dell’amministratore di sistema
  • ${SYSADMIN_EMAIL} = Indirizzo email dell’amministratore di sistema
  • ${SYSADMIN_THIRD_PARTY} = Terza parte a cui e” associato l’amministratore di sistema
  • ${UNIT} = Unità di appartenenza dell’amministratore di sistema
  • ${DIRECTOR} = Dirigente/responsabile dell’amministratore di sistema
  • ${ASSETS} = Applicativi e componenti IT che sottendono la nomina ad amministratore di sistema

Lettera per il designato del titolare

n.b. Con designato si intende il soggetto specificamente scelto dal titolare come proprio facente funzioni nel contesto di una o più unità organizzative.

  • ${DIRECTOR} = Nome e cognome del designato
  • ${UNIT} = Unità associata al designato
  • ${DIRECTOR_USER_NUMBER} = Matricola del designato
  • ${DIRECTOR_FISCAL_CODE} = Codice fiscale del designato

Attraverso questo blocco vengono inserite le attività di trattamento all’interno del documento, in forma tabellare.

  • ${PROCESSING_ACTIVITIES_BLOCK}
  • ${PA}
  • ${/PROCESSING_ACTIVITIES_BLOCK}

Lettera di autorizzazione per incaricati/autorizzati

  • ${NAME_SURNAME} = Nome e cognome del destinatario
  • ${FISCAL_CODE} = Codice fiscale del destinatario
  • ${INTRO} = Chiusura dinamica della frase introduttiva, cambia se ci sono o meno trattamenti associati
  • ${UNIT} = Unità di appartenenza del destinatario

Attraverso questo blocco vengono inserite le attività di trattamento all’interno del documento, in forma tabellare.

  • ${PROCESSING_ACTIVITIES_BLOCK}
  • ${PA}
  • ${/PROCESSING_ACTIVITIES_BLOCK}

Attraverso questo blocco vengono rappresentati (attrvaerso nome e descrizione) in forma tabellare gli applicativi di cui il soggetto è assegnatario

  • ${APPLICATIONS_BLOCK}
  • ${APP_BLOCK}
  • ${APP}
  • ${/APP_BLOCK}
  • ${/APPLICATIONS_BLOCK}

Registri dei trattamenti

In DPM possono essere generati tre tipi di registro di trattamenti: il registro del titolare, il registro del responsabile ed il registro del responsabile di struttura (designato). I tre registri condividono taluni segnaposto, che sono:

Lista delle misure di sicurezza

  • ${SECURITY_MEASURES_ORG_TABLE} = Misure di sicurezza organizzative trasversali
  • ${SECURITY_MEASURES_TEC_TABLE} = Misure di sicurezza tecniche trasversali

Blocco con i dati granulari del trattamento

  • ${TABLE_CONFIG} = (campo da mantenere in epigrafe e da non modificare)
  • ${PA_TABLE_HEADER} = Intestazione del trattamento, presenta ID, Nome, Data creazione e Data ultima modifica
  • ${PA_DESCRIPTION} = Descrizione del Trattamento
  • ${PA_PROCESS_TYPES} = Modalità di conservazione
  • ${PA_DPOS} = DPO del Trattamento
  • ${PA_DATA_SOURCE_TYPES} = Origine dei dati
  • ${PA_PURPOSE} = Finalità
  • ${PA_LEGAL_BASIS} = Basi giuridiche
  • ${PA_LEGAL_REFERENCES} = Riferimenti normativi
  • ${PA_DATA_CATEGORIES} = Categorie di dati
  • ${PA_DATA_SUBJECTS} = Categorie di interessati
  • ${PA_DISCLOSURE_SUBJECTS} = Trasferimento e comunicazioni dati
  • ${PA_INTERNAL_PROCESSORS} = Designati
  • ${PA_EXTERNAL_PROCESSORS} = Responsabili del Trattamento
  • ${PA_SUB_PROCESSORS} = Sub Responsabili del Trattamento
  • ${PA_IS_BROADCAST} = Diffusione
  • ${PA_IS_BROADCAST_NOTES} = Note sulla diffusione
  • ${PA_HAS_PROFILING_ACTIVITIES} = Profilazione
  • ${PA_AUTOMATED_PROCESS_DESCRIPTION} = Procedimento Automatizzato
  • ${PA_RETENTIONS} = Periodo di conservazione dei dati
  • ${PA_RETENTION_DESCRIPTION} = Descrizione del periodo di conservazione dei dati
  • ${PA_APPLICATIONS} = Applicativi e it component associati con relative misure di sicurezza tecniche
  • ${PA_IT_COMPONENTS} = Componenti IT associati al trattamento
  • ${PA_LOCATIONS} = Luoghi fisici associati al trattamento
  • ${PA_SECURITY_MEASURES_ORG} = Misure di sicurezza organizzative del trattamento
  • ${PA_APPLICATIONS_ONLY} = Solo applicativi associati
  • ${PA_NOTES} = Note
  • ${PA_ATTACHMENTS} = Nome allegati e descrizione
  • ${/TABLE_CONFIG} (campo da mantenere in calce e non modificare)

I dati granulari delle attività di trattamento cospirano a popolare la tabella introdotta dal presente blocco

  • ${PROCESSING_ACTIVITIES_BLOCK}
  • ${ACTIVITY_TABLE}
  • ${/PROCESSING_ACTIVITIES_BLOCK}

Con riferimento al registro del designato, i segnaposto peculiari sono:

  • ${PA_CONTROLLER} = Titolare del trattamento, se il trattamento è del titolare
  • ${PA_CONTROLLERS_DIRECTOR} = Titolare del trattamento, se il trattamento è del responsabile
  • ${PA_COCONTROLLERS_DIRECTOR} = Contitolari del trattamento, se il trattamento è del titolare

Tutti e tre i predetti segnaposto devono essere inseriti all’interno del blocco granulare dei trattamenti visto poc’anzi

Con riferimento al registro del Titolare, i segnaposto peculiari sono sono:

  • ${PA_COCONTROLLERS} = Contitolari del Trattamento
  • ${COCONTROLLERS_DATA} = Dati dei contitolari (ragione sociale, indirizzo e città, email, numero di telefono)
  • ${DPOS_DATA} = Dati del DPO (ragione sociale, indirizzo e città, email, numero di telefono)

Il primo di questi tre segnaposto (${PA_COCONTROLLERS}) deve essere inserito all’interno della tabella granulare dei trattamenti; i restanti due possono liberamente essere inseriti nel documento, purché siano posti all’esterno della summenzionata tabella.

Con riferimento al registro del Responsabile, i segnaposto peculiari sono sono:

  • ${CONTROLLERS_DATA} = Dati dei titolari
  • ${THIRD_PARTIES_DATA} = Dati di responsabili ed ulteriori responsabili
  • ${DPOS_DATA} = Dati dei DPO
  • ${PA_CONTROLLERS} = Titolari del trattamento

L’ultimo di questi quattro segnaposto (${PA_CONTROLLERS}) deve essere inserito all’interno della tabella granulare dei trattamenti; i restanti tre possono liberamente essere inseriti nel documento, purché siano posti all’esterno della summenzionata tabella.

Report della Valutazione d’Impatto

  • ${NAME} = Nome della valutazione d’impatto
  • ${CREATED_AT_DATE} = Data di creazione della valutazione d’impatto
  • ${PROCESSING_ACTIVITY} = Trattamento correlato alla valutazione d’impatto
  • ${ESSENTIAL_INFO} = Dati relativi a: data creazione analisi, data generazione del documento, data del prossimo controllo, status, ragione sociale del Titolare, denominazione del DPO.
  • ${ASSIMILATED_ACTIVITIES} = Lista di trattamenti assimilati
  • ${GOAL} = Obiettivo della valutazione d’impatto
  • ${ACTIVITY_TABLE} = Tabella con i dati del trattamento
  • ${QUALITATIVE} = Blocco con al suo interno una parte di testo statico, viene omesso se la valutazione è quantitativa

Blocco con i dati granulari del trattamento

  • ${FIX} (campo da mantenere in epigrafe e da non modificare)
  • ${ACTIVITY_TABLE} (campo da mantenere in epigrafe e da non modificare)
  • ${FIX} (campo da mantenere in epigrafe e da non modificare)
  • ${TABLE_CONFIG} (campo da mantenere in epigrafe e da non modificare)
  • ${PA_TABLE_HEADER} = Intestazione del trattamento, presenta ID, Nome, Data creazione e Data ultima modifica
  • ${PA_DESCRIPTION} = Descrizione del Trattamento
  • ${PA_CONTROLLER} = Titolare del trattamento, se il trattamento è del titolare
  • ${PA_CONTROLLERS_DIRECTOR} = Titolare del trattamento, se il trattamento è del responsabile
  • ${PA_COCONTROLLERS_DIRECTOR} = Contitolari del trattamento, se il trattamento è del titolare
  • ${PA_PROCESS_TYPES} = Modalità di conservazione
  • ${PA_DPOS} = DPO del Trattamento
  • ${PA_DATA_SOURCE_TYPES} = Origine dei dati
  • ${PA_PURPOSE} = Finalità
  • ${PA_LEGAL_BASIS} = Basi giuridiche
  • ${PA_LEGAL_REFERENCES} = Riferimenti normativi
  • ${PA_DATA_CATEGORIES} = Categorie di dati
  • ${PA_DATA_SUBJECTS} = Categorie di interessati
  • ${PA_DISCLOSURE_SUBJECTS} = Trasferimento e comunicazioni dati
  • ${PA_INTERNAL_PROCESSORS} = Designati
  • ${PA_EXTERNAL_PROCESSORS} = Responsabili del Trattamento
  • ${PA_SUB_PROCESSORS} = Sub Responsabili del Trattamento
  • ${PA_IS_BROADCAST} = Diffusione
  • ${PA_IS_BROADCAST_NOTES} = Note sulla diffusione
  • ${PA_HAS_PROFILING_ACTIVITIES} = Profilazione
  • ${PA_AUTOMATED_PROCESS_DESCRIPTION} = Procedimento Automatizzato
  • ${PA_RETENTIONS} = Periodo di conservazione dei dati
  • ${PA_RETENTION_DESCRIPTION} = Descrizione del periodo di conservazione dei dati
  • ${PA_APPLICATIONS_ONLY} = Solo applicativi associati
  • ${PA_NOTES} = Note
  • ${PA_ATTACHMENTS} = Nome allegati e descrizione
  • ${/TABLE_CONFIG} (campo da mantenere in calce e non modificare)

I dati granulari delle attività di trattamento cospirano a popolare la tabella introdotta dal presente blocco

  • ${PROCESSING_ACTIVITIES_BLOCK}
  • ${ACTIVITY_TABLE}
  • ${/PROCESSING_ACTIVITIES_BLOCK}

Blocco di allegati

  • ${ATTACHMENTS_BLOCK} (parte necessaria del blocco da non spostare)
  • ${ATTACHMENTS} = Aggiunge una linea di testo «Allegati:»
  • ${ATT_NAME} = Nome del file allegato
  • ${ATT_DESCRIPTION} = Descrizione del file allegato
  • ${/ATTACHMENTS_BLOCK} (parte necessaria del blocco da non spostare)

Blocco dei pre assessment

  • ${PRE_ASSESSMENT_BLOCK} (parte necessaria del blocco da non spostare)
  • ${TITLE} = Titolo del pre assessment
  • ${QUESTION} = Testo del pre assessment
  • ${/PRE_ASSESSMENT_BLOCK} (parte necessaria del blocco da non spostare)

Blocco dei diritti e principi fondamentali

  • ${PRINCIPLE_BLOCK} (parte necessaria del blocco da non spostare)
  • ${PRINCIPLE_TITLE} = Nome del principio o diritto fondamentale preso in considerazione
  • ${PRINCIPLE_BODY} = Descrizione del principio o diritto fondamentale preso in considerazione
  • ${/PRINCIPLE_BLOCK} (parte necessaria del blocco da non spostare)

Blocco sulla proporzionalità

  • ${DATA_CATEGORIES_BLOCK} (parte necessaria del blocco da non spostare)
  • ${DATA_CATEGORY} = Categorie di dati
  • ${/DATA_CATEGORIES_BLOCK} (parte necessaria del blocco da non spostare)
  • ${DATA_SUBJECTS_BLOCK} (parte necessaria del blocco da non spostare)
  • ${DATA_SUBJECT} = Soggetti interessati
  • ${/DATA_SUBJECTS_BLOCK} (parte necessaria del blocco da non spostare)
  • ${PURPOSE} = Finalità del trattamento di dati
  • ${PURPOSE_REASON} = Motivazioni che sottendono il trattamento dei dati

Blocco sul coinvolgimento delle parti interessate

  • ${QUESTIONS_BLOCK} (parte necessaria del blocco da non spostare)
  • ${QUESTION} = Testo della «domanda»
  • ${ANSWER} = Descrizione delle modalità di implementazione
  • ${/QUESTIONS_BLOCK} (parte necessaria del blocco da non spostare)

Blocco della valutazione del rischio

  • ${EVALUATION_BLOCK} (parte necessaria del blocco da non spostare)
  • ${EV_INTRO} = Introduzione della minaccia (Categoria, Nome, Descrizione, Area di Impatto, Fonti di Rischio)
  • ${EV_RESIDUAL_RISK} = Banner con il rischio residuo
  • ${EV_RISK_ACCEPTANCE} = Motivazione accettazione del rischio
  • ${EV_RISK_MOTIVATION} = Motivazione livello del rischio
  • ${EV_SECURITY_MEASURES} = introduzione del blocco delle misure di sicurezza, deve sempre stare in apice ai quattro segnaposto che seguono
  • ${EV_SM_TEXT} = Nome misura di sicurezza
  • ${EV_SM_IMP} = Implementazione misura di sicurezza
  • ${EV_SM_TABLE} = Tabella con mitigazione probabilità e impatto della misure di sicurezza
  • ${/EV_SECURITY_MEASURES} = conclusione del blocco delle misure di sicurezza, deve sempre stare in calce ai quattro segnaposto che precedono
  • ${EV_THREAT_DETAILS_TABLE} = Tabella con i livelli di rischio, impatto e probabilità, iniziale e residuo
  • ${EV_TOTAL_MITIGATION} = Tabella con la mitigazione totale delle misure di sicurezza
  • ${/EVALUATION_BLOCK} (parte necessaria del blocco da non spostare)

Informativa su singolo trattamento

  • ${PROCESSING_ACTIVITY} = Tabella con nome e descrizione del trattamento

I seguenti segnaposto afferiscono a talune informazioni afferenti al trattamento in oggetto, rappresentate come stringa di testo

  • ${LEGAL_BASIS} = Basi legali del trattamento
  • ${NAME} = Nome del trattamento
  • ${PURPOSE} = Finalità del trattamento
  • ${RETENTIONS} = Nome e descrizione dei periodi di conservazione dei dati
  • ${HAS_PROFILING_ACTIVITY} = Attività di profilazione (Sì/No)
  • ${IS_PROCESS_AUTOMATED} = Processi decisionali automatizzati (Sì/No)

Qui di seguito i blocchi che a vario titolo compongono l’informativa e che vengono invece rappresentati in forma tabellare.

Blocco dei soggetti (qualifica, denominazione, dati di contatto).

  • ${SUBJECTS_BLOCK} (parte necessaria del blocco da non spostare)
  • ${SUBJECTS_TABLE} = soggetti coinvolti
  • ${/SUBJECTS_BLOCK} (parte necessaria del blocco da non spostare)

Blocco di finalità e basi giuridiche.

  • ${SCOPE_BASIS_BLOCK} (parte necessaria del blocco da non spostare)
  • ${SCOPE_BASIS_TABLE} = finalità e basi giuridiche del trattamento
  • ${/SCOPE_BASIS_BLOCK} (parte necessaria del blocco da non spostare)

Blocco dei trasferimenti (destinatari, posizione geografica, legittimazione).

  • ${DISCLOSURE_BLOCK} (parte necessaria del blocco da non spostare)
  • ${DISCLOSURE_TABLE} = destinatari dei trasferimenti
  • ${/DISCLOSURE_BLOCK} (parte necessaria del blocco da non spostare)

Blocco relativo ai periodi di conservazione.

  • ${RETENTIONS_BLOCK} (parte necessaria del blocco da non spostare)
  • ${RETENTIONS_TABLE} = periodi di conservazione
  • ${/RETENTIONS_BLOCK} (parte necessaria del blocco da non spostare)

Blocco relativo all’origine dei dati (qualora i dati fossero comunicati da terzi, compariranno altresì i dati di coloro i quali hanno comunicato il dato).

  • ${DATA_SOURCE_BLOCK} (parte necessaria del blocco da non spostare)
  • ${DATA_SOURCE_TABLE} = origine dei dati
  • ${/DATA_SOURCE_BLOCK} (parte necessaria del blocco da non spostare)

Blocco relativo alle categorie di dati.

  • ${DATA_CATEGORY_BLOCK} (parte necessaria del blocco da non spostare)
  • ${DATA_CATEGORY_TABLE} = categorie di dati personali.
  • ${/DATA_CATEGORY_BLOCK} (parte necessaria del blocco da non spostare)

Blocco relativo al processo decisionale automatizzato nonché alla profilazione (sì/no, eventuale descrizione).

  • ${PROFILING_AUTOMATION_BLOCK} (parte necessaria del blocco da non spostare)
  • ${PROFILING_AUTOMATION_TABLE} = presenza/descrizione del processo automatizzato
  • ${/PROFILING_AUTOMATION_BLOCK} (parte necessaria del blocco da non spostare)

Blocco relativo alla frase statica afferente al consenso (non presente se difettano le basi legali di cui all’art. 6 lett. a e art. 9 lett. a, Reg UE 2016/679).

  • ${CONSENT_BLOCK} (parte necessaria del blocco da non spostare)
  • ${/CONSENT_BLOCK} (parte necessaria del blocco da non spostare)

Informativa multipla (generata selezionando più trattamenti)

  • ${MAIN_INFO_TABLE} = Tramite questa tabella vengono rappresentati in forma sinottica i seguenti dati afferenti ai trattamenti: Finalità, Base giuridica, Periodo di conservazione, Destinatari, Categorie di dati trattati.

Vengono rappresentate le informazioni afferenti a diffusione, profilazione, processo automatizzato tramite le seguenti tabelle (n.b. se solo uno dei trattamenti considerati comporta una delle tre suesposte attività, in tabella comparirà un «sì»).

  • ${IS_BROADCAST_TABLE} = diffusione
  • ${PROFILING_TABLE} = profilazione
  • ${AUTOMATED_PROCESS_TABLE} = prezenza di processo automatizzato
  • ${PROCESS_DESCRIPTION_TABLE} = descrizione del processo automatizzato

Blocco afferente ai dati del DPO.

  • ${DPO_BLOCK} (parte necessaria del blocco da non spostare)
  • ${DPO_TABLE} = dati del responsabile della protezione dei dati
  • ${/DPO_BLOCK} (parte necessaria del blocco da non spostare)

Blocco relativo all’origine dei dati (qualora i dati fossero comunicati da terzi, compariranno altresì i dati di coloro i quali hanno comunicato il dato).

  • ${DATA_SOURCE_BLOCK} (parte necessaria del blocco da non spostare)
  • ${DATA_SOURCE_TABLE} = origine dei dati
  • ${/DATA_SOURCE_BLOCK} (parte necessaria del blocco da non spostare)

Blocco relativo alla frase statica afferente al consenso (non presente se difettano le basi legali di cui all’art. 6 lett. a e art. 9 lett. a, Reg UE 2016/679).

  • ${CONSENT_BLOCK} (parte necessaria del blocco da non spostare)
  • ${/CONSENT_BLOCK} (parte necessaria del blocco da non spostare)

Anticorruzione

../_images/Impostaz_AC.png

Soglie di rischio

All’interno della sezione “Anticorruzione”, è possibile anzitutto stabilire il livello di soglia (medio e alto) del rischio corruttivo con particolare riferimento all’attitudine all’abbattimento delle misure di trattamento. Grazie a questa funzionalità, l’Utente può quindi autonomamente stabilire le soglie oltre le quali il livello di rischio deve ritenersi medio piuttosto che alto, a valle dell’adozione delle misure di trattamento.

Associazione delle attività di trattamento con attività amministrative

Subito sotto alla voce dedicata alla definizione delle soglie di rischio, è presente un interruttore chiamato «Attiva attività associate al trattamento». Accendendo il medesimo si attiverà la possibilità di associare le attività di trattamento contenute nel Registro dei trattamenti alle attività corrispondenti contenute nella mappatura in ambito Anticorruzione.

Poteri dei mappatori in ordine alla personalizzazione del rischio

In ultima istanza, tramite apposito interruttore, è possibile precludere ai mappatori in ambito anticorruzione la possibilità di personalizzare il livello del rischio nel contesto della valutazione del medesimo in Mappatura attività . Qualora infatti l’opzione fosse disattiva, il mappatore non potrà modificare, per ogni evento rischioso, il relativo livello di rischio a valle della valorizzazione dei rispettivi indicatori. Si badi che, in ogni caso, l’amministratore anticoruzzione (ad esempio RPCT e simili) potranno sempre (anche pertanto con spunta disattiva) sovvertire il livello di rischio suggerito tramite l’impostazione di un rischio personalizzato.