Registro dei trattamenti

Il registro dei trattamenti costituisce la pietra angolare su cui poggiano molti degli adempimenti richiesti dal Regolamento EU 679/2016 (GDPR), quali: l’analisi d’impatto sulla protezione dei dati, la notifica di violazioni dei dati personali, la distribuzione delle responsabilità.

Il registro dei trattamenti è composto dall’insieme dei trattamenti per il quale l’ente è Titolare o è Responsabile.

Per accedere al registro dei trattamenti in DPM è sufficiente fare clic sulla voce di menu Reg. Trattamenti:



Dall’interfaccia a cui si accede facendo clic sulla voce di menu REG. TRATTAMENTI è possibile:

  • inserire nuove attività di trattamento – facendo clic sul pulsante «Nuovo»;
  • modificare le attività di trattamento inserite – selezionando il trattamento e facendo clic su «Modifica»;
  • ricercare attività di trattamento inserite – utilizzando la funzione di ricerca posizionata al vertice di ogni colonna
  • generare il registro delle attività di trattamento in formato .pdf e .odt - facendo clic sul pulsante «Genera registro» e selezionando il formato desiderato;
  • generare il registro delle attività di trattamento in formato .csv
  • generare le informative specifiche in formato .pdf e .odt – selezionando il/i trattamento/i effettuato/i e facendo clic su «Genera informativa»;
  • duplicare un’attività di trattamento - selezionando l’elemento desiderato e facendo clic su «Duplica»;
  • disattivare una o più attività di trattamento - selezionando uno o più elementi che si vuole disattivare e premendo «Disattiva»;
  • Correlare le attività di trattamento alle unità organizzative - selezionando il singolo trattamento d’interesse e facendo quindi clic su «Modifica» posto accanto alla voce «Unità associate».

Export dei trattamenti in un foglio di calcolo

Per esportare le attività di trattamento in un foglio di calcolo (Excel, Calc) è sufficiente fare clic sull’icona:

../_images/registro_trattamenti_exportcsv.png

Percentuale di completamento

../_images/Registro_percentuale.png

Per ogni singola attività di trattamento viene indicata una cosiddetta «percentuale di completamento». Tale variabile sta ad indicare il livello di completezza delle informazioni fino a quel momento inserite riguardanti il singolo trattamento. I campi considerati al fine del calcolo della suddetta percentuale sono esclusivamente quelli qualificati come «necessari», escludendo quindi i campi realtivi al Responsabile del trattamento e quelli relatvi ad eventuali trasferimenti e comunicazioni.

Nello specifico, i campi presi in considerazione sono:

  • Finalità
  • Basi giuridiche
  • Categorie di dati
  • Categorie di interessati
  • Titolare
  • RPD
  • Misure di sicurezza
  • Periodo di conservazione

Caratteristiche ed elementi del registro dei trattamenti

Attraverso la funzione «modifica» presente in ogni attività di trattamento, vi è la possibilità di attivare o disattivare il singolo tipo di trattamento. Tale funzionalità è utile per inserire attributi ed elementi del trattamento ed, eventualmente, al fine di effettuare un’analisi d’impatto preventiva, ossia in una fase precedente all’implementazione del trattamento nella realtà organizzativa dell’ente e, di conseguenza, preliminare all’inserimento dei suddetti elementi nel registro delle attività di trattamento.

Per disattivare un trattamento è sufficiente spostare il cursore che si trova nella prima sezione del trattamento.

Un’attività di trattamento è composta da cinque sezioni nelle quali sono racchiuse tutte le informazioni correlate con l’attività di trattamento.

Le informazioni da inserirsi in ciascun tipo di trattamento sono quelle definite dall’articolo 30 del Regolamento UE 679/2016, con l’aggiunta di alcune informazioni funzionali all’implementazione di misure di sicurezza organizzative (quali la definizione di un responsabile interno) e alla generazione delle informative (quali la presenza di meccanismi di profilazione e meccanismi decisionali automatizzati).

Nel dettaglio, le informazioni correlate ad ogni attività di trattamento sono suddivise nelle schede:

Dati esenziali
  • Attivo e Identificativo
  • Nome e descrizione
  • Finalità
  • Basi legali
  • Ambito del processo
  • Tipo dati
  • Categorie di dati
  • Origine dei dati
Soggetti
  • Categorie di interessati
  • Titolari
  • Responsabili del trattamento
  • Referenti interni
  • Sub-responabili del trattamento
  • DPO
Trasferimenti e comunicazioni Intra UE o Extra UE + Base legale per export di dati + Diffusione
Misure di sicurezza Misure di sicurezza organizzative
Altro
  • Profilazione
  • Processi decisionali automatizzati
  • Periodo di conservazione
  • Applicativi

Molte delle informazioni che possono essere inserite durante la compilazione del registro derivano da quanto inserito nelle voci dei sotto-menu a cui è possibile accedere dalle voci del menu, Asset e Soggetti.

Nel sotto menu Asset è possibile definire:

Asset
  • Applicativi
  • Categorie di dati
  • Categorie di interessati
  • Controlli di sicurezza
  • Periodo di conservazione
  • Dispositivi
  • Misure di sicurezza
    • Tecniche
    • Organizzative

Nel sotto menu Soggetti è possibile definire :

Soggetti
  • DPO o RDP
  • Qualifiche (del personale)
  • Ruoli – (vedi 2.1 Privilegi utenti e ruoli predefiniti)
  • Terze parti
  • Titolari
  • Unità
  • Utenti

L’inserimento delle attività di trattamento si configura come un percorso che accompagna l’utente nella compilazione dei campi necessari per definire i trattamenti.

Inserimento nuova attività di trattamento

Per inserire una nuova attività di trattamento è necessario fare clic su “Nuovo”, così facendo si apre un percorso guidato che tramite 5 passaggi permette di inserire tutte le informazioni richieste dal Registro e necessarie per la generazione delle Informative.

Dati essenziali

Nella prima scheda denominata dati essenziali si trovano i seguenti campi:

  • Attivo.
    • Grazie a questa funzionalità è possibile inserire attività di trattamento non ancora in produzione o temporaneamente non attive.
  • Identificativo.
    • Questo è un numero inserito in maniera automatica e progressiva al momento di creazione di un trattamento. Esso può essere modificato solo a seguito dell’inserimento del trattamento, in modalità “modifica”.
  • Nome e descrizione dell’attività di trattamento.
  • Finalità del trattamento.
  • Base giuridica che legittima l’attività di trattamento.
    • Le basi giuridiche sono quelle definite nel Regolamento 2016/679 agli articoli 6 e 9. Tuttavia, è anche possibile inserire i riferimenti normativi nel caso la base giuridica sia “l’esecuzione di un compito di pubblico interesse o l’adempimento di un obbligo legale”.
  • Origine dei dati (qui è opportuno indicare se i dati vengono forniti in prima persona dall’interessato o/e se sono comunicati da altri soggetti).
    • Se i dati vengono comunicati da terzi è possibile selezionare la terza parte che comunica i dati. I soggetti terzi sono definiti nel menù Soggetti → Terze parti. Questo campo serve a definire quale tipologia di informativa generare, se ex articolo 13 o ex articolo 14 del Regolamento.
  • Tipo di banca dati (se cartacea o informatizzata).
    • Tale fattore indica la modalità di conservazione dei dati personali.
  • Categorie di dati.
    • Le categorie di dati possono essere personalizzate dall’apposito menu Asset → Categorie di dati. Queste sono raggruppate su due livelli (categorie di dati e tipi di dati). A seconda del dettaglio nel quale si desidera scendere è possibile selezionare la categoria o il tipo.

Facendo clic su “salva e procedi” l’attività di trattamento viene salvata ed è possibile proseguire nella sezione Soggetti.

Soggetti

Qui si hanno a disposizione una serie di campi che permettono di definire tutti i soggetti che potrebbero intervenire in un’attività di trattamento.

  • Le categorie di interessati.
    • Le categorie di interessati sono definite nella scheda Asset → Categorie di interessati.
  • Il titolare o i titolari.
    • I Titolari sono definiti nella scheda Soggetti → Titolari
  • I responsabili del trattamento.
    • I responsabili del trattamento possono essere inseriti nella scheda Soggetti → Terze parti.
  • Eventuali referenti interni del trattamento. Questo campo è disponibile se abilitato nelle impostazioni.
    • Nel caso i referenti interni non siano abilitati per trattamento, saranno automaticamente individuati sulla base dei responsabili delle diverse unità organizzative a cui è correlata l’attività di trattamento. Nelle impostazioni è anche possibile inserire il Titolare e il DPO predefiniti.
  • Eventuali sub-responsabili del trattamento.
  • Nel campo RPD è possibile inserire il Responsabile della protezione dei dati, quando individuato dal titolare o dal responsabile del trattamento.
    • Il DPO/RPD può essere inserito nella scheda Soggetti → RPD. È anche possibile impostare un DPO/RPD predefinito nella voce del menu principale Impostazioni.

Facendo clic su “Successivo” si accede alla scheda Trasferimenti e comunicazioni.

Trasferimenti e comunicazioni

In prima istanza è necessario indicare se vi siano delle comunicazioni di dati spostando il cursore e facendo clic sul pulsante “Aggiungi nuovo”, successivamente inserire quale sia il destinatario della comunicazione.

Il campo nel quale inserire gli estremi identificativi del destinatario è un campo di testo libero, ma è anche disponibile un campo strutturato che attinge dai soggetti inseriti in Terze parti.

In questa scheda è anche possibile definire se il destinatario sia stabilito in all’interno o all’esterno dell’unione europea, solo in quest’ultimo caso sarà opportuno indicare una base legale che legittima l’esportazione di dati.

../_images/Trasferimenti_Comunicazione.png

Per aggiungere ulteriori soggetti a cui sono trasferiti dati è sufficiente fare clic su “Aggiungi nuovo”

È anche possibile attivare la spunta su diffusione. Se presente, la diffusione dei dati comporterà l’aumento dell’indice di rischiosità del trattamento a cui viene associato secondo le logiche illustrate in Calcolo stima del rischio suggerita dal sistema

Facendo clic su “Successivo” si accede alla scheda Misure di sicurezza

Misure di sicurezza






In questa interfaccia è possibile indicare esclusivamente le misure di sicurezza organizzative, in quanto quelle tecniche sono definite per gli applicativi, che saranno correlati con il trattamento nel passaggio successivo.

../_images/Registro_trasferimenti.png

Facendo clic su “Successivo” si accede all’ultima scheda.

Altre informazioni




In questa scheda è possibile definire:

  • Profilazione e processi decisionali automatizzati: Se l’attività di trattamento comporti attività di profilazione e, nel caso, se siano presenti processi decisionali automatizzati.
  • Periodo di conservazione dei dati: Nel caso diverse categorie di dati abbiano periodi di conservazione non omogenei, si possono inserire più periodi di conservazione specificando i dettagli nel campo di testo libero sottostante. I periodi di conservazione sono definiti nella scheda Asset → Conservazione.
  • Applicativi tramite i quali vengono trattati i dati; è un passaggio essenziale per un’adeguata compilazione del registro in quanto agli applicativi sono correlate le misure di sicurezza tecniche.
  • Stima del rischio dell’attività di trattamento sulla base delle informazioni inserite fino a quel momento. Il sistema fornisce una stima del rischio secondo le logiche illustarte paragrafo Calcolo stima del rischio suggerita dal sistema
../_images/Registro_altre_info.png

Al termine dell’inserimento dei dati è sufficiente fare clic su Fine per salvare l’attività di trattamento e tornare al registro delle attività di trattamento.

Calcolo stima del rischio suggerita dal sistema

Questa opzione può essere attivata o disattivata dalla Configurazione:

../_images/Config_auto_rischio.png
Il sistema propone un livello di richio definito in base alle informazioni inserite nel registro.
In particolare, viene asseganto un punteggio al trattamento sulla base dei seguenti indicatori:
Categorie di dati

Se particolari +1

Se rati e condanne penali +1

Categorie di interessati Se vulnerabili +1
Trasferimenti e comunicazioni Se Diffusione +1
Profilazione Profilazione +1
Processi decisionali automatizzati Processi decisionali automatizzati +1
Conservazione Se esteso +1
Il rischio suggerito si basa sulla seguente scala:
Punteggio = 0 Rischio basso
Punteggio = 1 Rischio medio
Punteggio > 1 Rischio alto
../_images/Livello_rischio.png

Duplicare un trattamento

Per duplicare una attività di trattamento, è sufficiente selezionare il trattamento dall’interfaccia del Registro e fare clic sul tasto duplica posto nella finestra di dettaglio del trattamento.

../_images/Duplica_trattamento.png

Sarà poi necessario confermare la propria intezione di copiare il trattamento facendo clic su «Conferma» nella finestra di dialogo che compare. Il nuovo trattamento verrà inserito con il nome di «Copia di [NOME_TRATTAMENTO]»: tutte le altre informazioni ad essa correlate, incluse le unità saranno identiche.

../_images/Conferma_copia.png

Correlazione Trattamento-Unità

La correlazione dei trattamenti alle unità è essenziale se si intende effettuare una gestione dei trattamenti in maniera distribuita, raccogliendo quindi le informazioni concernenti i trattamenti da soggetti posti in posizione apicale nelle diverse unità organizzative.

Un trattamento può essere correlato ad una o più unità. Per correlare un trattamento a delle unità occorre selezionare il Registro dei trattamenti dal Menu principale, selezionare un trattamento, espandere l’ultima voce della sezione Dettagli del trattamento denominata Unità associate posta sul lato destro dell’interfaccia e fare clic su «modifica»:

../_images/trattamento_unita.png

Timeline

La funzionalità Timeline permette di verificare la cronologia delle modifiche effettuate ad una attività di trattamento.

Per ogni modifica viene illustrato:

  • data ed ora della modifica;
  • nome e cognome dell’utente che ha effettuato la modifica;
  • sezione del registro modificata;
../_images/Timeline.png

Informative

A partire dalle informazioni inserite nel registro è possibile generare i documenti contenenti le informazioni da fornire all’interessato (cd. informative), così come previsto dagli articoli 13 e 14 del Regolamento 2016/679. Per generare le informative è sufficiente selezionare l’attività di trattamento per la quale si desidera generare il documento e fare clic sul pulsante «Genera Informativa» posizionato sulla parte superiore destra dello schermo.

../_images/informative.png

Le informative (come tutti gli altri documenti) possono essere generate in formato modificabile (.odt) ed in formato pdf.