Registro dei trattamenti

Registro dei trattamenti#

Il registro dei trattamenti costituisce elemento centrale attorno al quale orbitano molti degli adempimenti richiesti dal Regolamento EU 679/2016 (GDPR), quali: l’analisi d’impatto sulla protezione dei dati, la notifica di violazioni dei dati personali, la distribuzione delle responsabilità.

Il registro dei trattamenti è composto dall’insieme dei trattamenti per il quale l’ente è Titolare o Responsabile.

Per accedere al registro dei trattamenti in DPM è sufficiente fare clic sulla voce di menu Reg. Trattamenti:

Dall’interfaccia a cui si accede facendo clic sulla voce di menu REG. TRATTAMENTI è possibile:

  • inserire nuove attività di trattamento (facendo clic sul pulsante «Nuovo»);

  • modificare le attività di trattamento inserite (selezionando il trattamento e facendo clic su «Modifica»);

  • ricercare attività di trattamento inserite (utilizzando la funzione di ricerca posizionata sulla sommità di ogni colonna);

  • generare il registro di tutte le attività di trattamento, in formato .pdf e .docx (facendo clic sul pulsante «Genera registro» e selezionando il formato desiderato);

  • generare un registro relativo alle sole attività di trattamento previamente selezionate, in formato .pdf e .docx (facendo clic sui singoli trattamenti e successivamente sul pulsante «Genera registro» e selezionando il formato desiderato).

  • generare il registro delle attività di trattamento in formato .ods

  • generare le informative privacy

  • duplicare un’attività di trattamento

  • disattivare una o più attività di trattamento - selezionando uno o più elementi che si vuole disattivare e premendo «Disattiva»;

  • correlare le attività di trattamento alle unità organizzative;

  • visualizzare la cronistoria degli interventi effettuati su un singolo trattamento nonché generare un report in formato .ods afferente allo stato di un trattamento in un determinato momento storico.

Export dei trattamenti in un foglio di calcolo#

Per esportare le attività di trattamento in un foglio di calcolo (Excel, Calc) è sufficiente fare clic sull’icona “Esporta il registro dei trattamenti”.

../_images/PAs_ods_export_button.png

Il menù a tendina proposto consente di scegliere se produrre:

  • Un’esportazione del registro completo (“Esporta tutti gli elementi”), indicando nelle modale di generazione se includere nel file di esportazione tutti i trattamenti oppure solo quelli attivi o disattivati.

../_images/PAs_ods_export_modal_all_pas.png

  • Una selezione puntuale dei trattamenti (“Esporta gli elementi selezionati”), con la possibilità di editare dalla modale di generazione i trattamenti selezionati per l’esportazione.

../_images/PAs_ods_export_modal_selectedPAs.png

In entrambi i casi, la modale consente di scegliere come ordinare i trattamenti all’interno dell’export, se per codice identificativo, nome del trattamento o data di creazione.

Tramite la spunta “Moltiplica i trattamenti se effettuati in più unità” è infine possibile esplodere le attività di trattamento se queste sono condivise su più strutture, così da facilitare la consultazione del file.

../_images/PAs_ods_export_modal_explode_by_unit.png

Titolarità e Responsabilità delle attività di trattamento#

Nella sezione dedicata al registro dei trattamenti è possibile filtrare il medesimo affinché siano visualizzati:

  • il registro completo dei trattamenti;

  • i trattamenti effettuati come titolare del trattamento;

  • i trattamenti effettuati come responsabile del trattamento.

Per filtrare il registro è sufficiente utilizzare il menù a tendina che si prospetta in cima alla vista dei trattamenti (cfr immagine sottostante).

../_images/PA_record_pa_filters.png

Status dei trattamenti#

../_images/PA_record_pa_statuses.png

DPM permette di gestire i trattamenti inseriti a registro in termini di «Pubblicato» e «In Lavorazione». Al di là delle finalità organizzativo-gestorie, categorizzando i trattamenti, solo quelli indicati in stato «Pubblicato» compariranno nel registro dei trattamenti.

Stato di conformità#

../_images/PA_record_pa_completion_percentage.png

Per ogni singola attività di trattamento viene indicato un c.d. «Stato di conformità»: tale variabile intende indicare il livello di completezza delle informazioni fino a quel momento inserite. I campi considerati al fine della prospettazione dell’avanzamento dello «Stato di conformità»sono:

  • Finalità;

  • Basi giuridiche;

  • Categorie di dati;

  • Periodo di conservazione;

  • Categorie di interessati;

  • Diffusione;

  • Trasferimento o comunicazione dei dati (specificando nel caso i destinatari);

  • Misure di sicurezza.

Oltre alla consultazione nell’interfaccia di dettaglio dei trattamenti, lo stato di conformità viene dinamicamente mostrato durante il processo di registrazione di un’attività di trattamento.

../_images/rewarding_system.png

Caratteristiche ed elementi del registro dei trattamenti#

Le informazioni da inserire con riferimento a ciascun trattamento sono quelle definite dall’art. 30 del Regolamento UE 679/2016, con l’aggiunta di alcune informazioni necessarie per rendere l’attività del Titolare del trattamento conforme alle prescrizioni imposte dal GDPR.

L’inserimento delle attività di trattamento si delinea come un percorso declinato in sei passaggi che accompagnano l’utente nella compilazione dei campi necessari.

Nel dettaglio, i passaggi che l’utente affronterà sono i seguenti:

Dati essenziali

  • Appartenenza del trattamento al registro del Titolare o del Responsabile

  • Codice identificativo e Stato del trattamento

  • Nome del trattamento

  • Descrizione

  • Unità organizzative di afferenza del trattamento

  • Basi giuridiche, Riferimenti normativi e legittimi interessi

  • Finalità

  • Attività associate al trattamento

  • Categorie di dati

  • Periodi di conservazione e descrizione degli stessi

Soggetti

  • Categorie di interessati

  • Titolari del trattamento

  • Responsabili del trattamento

  • Sub-responabili del trattamento

Trasferimenti e comunicazioni

  • Indicazione su «Diffusione» e «Trasferimento o comunicazione» dei dati

Asset e altre informazioni

  • Applicativi

  • Luoghi fisici

  • Componenti IT

  • Origine dei dati

  • Modalità del trattamento

  • Operazioni condotte sui dati personali

  • Processi associati al trattamento

  • Utenti informati

  • Data di inizio/scadenza

  • Note

Sicurezza del trattamento

  • Misure di sicurezza verticali e trasversali associate al trattamento

Stima del rischio e Pre assessment

  • Questionario di Stima del rischio

  • Questionario di Pre assessment

Rischio potenziale e obbligatorietà della Valutazione d’impatto

  • Riepilogo dell’esito dei questionari di Stima del Rischio e Pre assessment

Molte delle informazioni che possono essere inserite durante la compilazione del registro derivano da quanto inserito nelle voci dei sotto-menu a cui è possibile accedere dalle voci del menu, Asset e Soggetti.

Nel sotto menu Asset è possibile definire:

Asset

  • Applicativi

  • Categorie di dati

  • Categorie di interessati

  • Periodi di conservazione

  • Basi giuridiche

  • Minacce

  • Luoghi Fisici

  • Dispositivi personali

  • Misure di sicurezza

  • Componenti IT

  • Sistemi operativi

  • Processi

Nel sotto menu Soggetti è possibile definire :

Soggetti

  • DPO o RDP

  • Qualifiche

  • Ruoli

  • Terze parti

  • Titolari

  • Unità

  • Utenti

Inserimento di una nuova attività di trattamento#

Per inserire una nuova attività di trattamento sarà sufficiente fare clic sul bottone “Nuovo” posto nella parte superiore della schermata del Registro.

1. Dati essenziali#

Nella prima scheda, denominata Dati essenziali, potranno essere completati i seguenti campi:

Trattamento effettuato come Titolare o Responsabile Tramite questa indicazione è possibile ascrivere il trattamento al Registro del Titolare o del Responsabile

Identificativo Questo è un numero inserito in maniera automatica e progressiva al momento di creazione di un trattamento. Esso può essere modificato solo a seguito dell’inserimento del trattamento, in modalità “modifica”, laddove nel menu configurazione sia acceso l’apposito interruttore di modifica dell’ID. Per un uso corretto dell’identificativo si suggerisce di procedere codificando i trattamenti con un formato del tipo «0001.0», «0002.0», «000n.0». In tal modo non solo si otterrà un ordinamento da 1 a n delle attività di trattamento ma ci si riserverà altresì la possibilità di frapporre le nuove attività di trattamento a quelle preesistenti. Esemplificando, se all’interno del registro vi sono due attività di trattamento, 0001.0 e 0002.0, può essere inserita, tra le due, un’attività di trattamento conferendo a quest’ultima il codice 0001.1.

Stato del trattamento Questa funzionalità permette di indicare lo stato del trattamento: Pubblicato o Bozza. I trattamenti in stato «Bozza» non compariranno all’interno dei diversi registri documentali generati tramite applicativo (reg. del titolare, reg. del responsabile, reg. di struttura, reg. parziale).

Nome e Descrizione dell’attività di trattamento

Unità In questa sezione è possibile collegare il trattamento alle unità organizzative di afferenza, oltre che indicare l’eventuale struttura owner. Per maggiori dettagli, vedere Correlazione Trattamento-Unità.

Base giuridica che legittima il trattamento Le basi giuridiche riportate sono quelle definite nel Regolamento 2016/679 agli articoli 6 e 9. Tuttavia, è anche possibile inserire dei riferimenti normativi personalizzati nel caso in cui la base giuridica fosse “l’esecuzione di un compito di pubblico interesse o l’adempimento di un obbligo legale”.

Finalità del trattamento

Categorie di dati Le categorie di dati possono essere personalizzate dall’apposito menu ASSET → CATEGORIE DI DATI. Questi, come si è visto, sono connotati da tre livelli di dettaglio.

Periodo di conservazione dei dati Nel caso diverse categorie di dati abbiano periodi di conservazione non omogenei, si possono inserire più periodi di conservazione specificando i dettagli nel campo di testo libero sottostante. I periodi di conservazione sono definiti nella scheda Asset → Conservazione.

Facendo clic su “Salva e procedi” l’attività di trattamento viene salvata ed è possibile proseguire nella sezione Soggetti.

2. Soggetti#

In questa interfaccia si possono definire tutti i soggetti che potrebbero intervenire in un’attività di trattamento.

  • Le categorie di interessati.

    • Le categorie di interessati sono definite nella scheda Asset → Categorie di interessati.

  • Il titolare e gli eventuali contitolari.

    • I Titolari sono definiti nella scheda Soggetti → Titolari

  • I responsabili del trattamento.

    • I responsabili del trattamento possono essere inseriti nella scheda Soggetti → Terze parti.

  • Eventuali sub-responsabili del trattamento.

Gestione delle relazioni tra i soggetti#

Al fine di agevolare l’utente nella compilazione del registro, è possibile individuare un Titolare, un Responsabile esterno ed un RPD predefiniti.

Il Titolare e il Responsabile esterno predefiniti compariranno in automatico negli appositi campi della scheda Soggetti ogniqualvolta verrà censita, rispettivamente, una nuova attività di trattamento ascritta al Registro del Titolare e al Registro del Responsabile. Per poter indicare Titolare, Responsabile esterno ed RPD predefiniti sarà sufficiente fare clic sulla voce di menu Configurazione ed indicarli in corrispondenza dei rispettivi campi all’interno della sezione «Soggetti predefiniti».

Facendo clic su “Successivo” si accede alla scheda Trasferimenti e comunicazioni.

3. Trasferimenti e comunicazioni#

Qualora il Titolare effettuasse diffusione, trasferimento e/o comunicazione dei dati a soggetti terzi che non siano responsabili del trattamento, dovrà indicarlo nella scheda «Trasferimenti e comunicazione». La differenza fra diffusione e trasferimento/comunicazione risiede nel numero (indefinito o definito) dei soggetti destinatari dei dati.

../_images/PA_record_pa_disclosure_subjects.png

Se ricorre la diffusione e/o il trasferimento o comunicazione dei dati, l’utente potrà valorizzare l’opportuna risposta «Sì / No» in corrispondenza della sezione pertinente. Indicando la risposta «» in corrispondenza della Diffusione si aprirà un campo di testo libero dove indicare, tra gli altri dettagli, il mezzo e le modalità per la diffusione dei dati.

Per quanto concerne i trasferimenti di dati, indicando la risposta «» in corrispondenza della dicitura «Si effettua il trasferimento o la comunicazione dei dati», comparirà un pulsante “Nuovo”, cliccando il quale si potranno indicare:

  • Categorie di destinatari: in questo campo di testo possono essere inseriti gli estremi identificativi dei destinatari.

  • Terze parti: da questo selettore è possibile attingere specifiche terze parti da indicare come destinatarie del trasferimento. Gli elementi selezionabili sono attinti da Terze parti.

  • Ambito del trasferimento: in questa sezione è possibile definire se il destinatario del trasferimento o comunicazione dei dati sia stabilito all’interno o all’esterno dell’Unione Europea.

    • Intra-UE: questo valore è preselezionato quando si censisce una nuovo destinatario di trasferimenti o comunicazione dei dati.

    • Extra-UE: selezionando invece questo valore, compariranno tre menù a tendina dove indicare le basi legali che legittimano il trasferimento o la comunicazione di dati (Il trasferimento avviene sulla base di una decisione di adeguatezza, è soggetto a garanzie adeguate o avviene al ricorrere di una specifica situazione di deroga).

  • Note sui trasferimenti o comunicazioni: questo campo di testo libero può essere utilizzato per tenere traccia di ulteriori informazioni quali, ad esempio, quelle afferenti alla finalità del trasferimento.

../_images/PA_record_pa_add_disclosure_subject_modal.png

Un volta salvati i dati inseriti dalla modale, si potranno aggiungere ulteriori destinatari cliccando sul bottone “Nuovo”. Per ogni destinatario di trasferimenti, una scheda riassuntiva verrà mostrata all’interno della sezione. All’interno di questa scheda, il bottone «Modifica» consentirà di editare i dati inseriti, mentre il bottone «Elimina» rimuoverà i dati censiti.

../_images/PA_record_pa_disclosure_subject_add_edit_delete.png

Facendo clic su “Salva e procedi” si procederà alla scheda Asset e altre informazioni

4. Asset e altre informazioni#

In questa scheda è possibile definire:

  • Applicativi tramite i quali vengono trattati i dati; è un passaggio essenziale per un’adeguata compilazione del Registro in quanto agli applicativi sono correlate le misure di sicurezza, per l’appunto, sugli applicativi.

  • Luoghi Fisici ovverosia i contesti fisici spaziali non informatici nei quali vengono trattati i dati. La possibilità di associare luoghi fisici ed attività di trattamento deve essere previamente attivata da Configurazione.

  • Componenti IT ovverosia i contesti informatici nei quali o tramite i quali vengono trattati i dati. La possibilità di associare componenti IT ed attività di trattamento deve essere previamente attivata da Configurazione.

  • Origine dei dati

    • È questa l’occasione per indicare se i dati vengono forniti in prima persona dall’interessato o/e se sono comunicati da altri soggetti. Se i dati vengono comunicati da terzi è possibile identificare la terza parte che comunica i dati. I soggetti terzi sono definiti nel menù SOGGETTI → TERZE PARTI. Questo campo serve a definire quale tipologia di informativa generare, se ex articolo 13 o ex articolo 14 del Regolamento.

  • Modalità del trattamento

    • Tale fattore indica la modalità di conservazione dei dati personali.

  • Operazioni condotte sui dati personali

    • In questa sezione si possono indicare le operazioni condotte sui dati nel contesto dell’attività di trattamento, fra le quali: Raccolta, Registrazione, Organizzazione, Strutturazione, Conservazione, Adattamento o modifica, Estrazione, Consultazione, Uso, Comunicazione mediante trasmissione, Diffusione o qualsiasi altra forma di messa a disposizione, Raffronto o interconnessione, Limitazione, Cancellazione o distruzione.

  • Processi

    • In questo campo possono essere collegati al trattamento tutti i processi del caso.

  • Utenti informati

    • Vengono qui indicati, attingendoli dall’anagrafica applicativa, gli utenti c.d. «Informati» del trattamento, ovverosia dei soggetti con la facoltà di accedere alla voce di registro senza tuttavia poterla modificare, a prescindere dal ruolo applicativo che ricoprono.

  • Note a completamento di quanto censito nei precedenti step del trattamento.

../_images/PA_record_pa_step_4.png

Al termine dell’inserimento dei dati è sufficiente fare clic su “Salva e procedi” per procedere con il passaggio Sicurezza del trattamento.

5. Sicurezza del trattamento#

In questa interfaccia è possibile indicare le misure di sicurezza associate al trattamento oggetto di analisi. Le misure di sicurezza sugli asset compariranno una volta associati gli asset all’attività di trattamento, nel passaggio relativo .

../_images/step_misure_di_sicurezza.png

Sarà pertanto possibile: 1. consultare e modificare le misure di sicurezza specifiche per quell’attività di trattamento; 2. consultare le misure di sicurezza trasversali a tutte le attività di trattamento che recano come contesto di applicazione «Misure per trattamenti»; 3. consultare le misure di sicurezza, specifiche e trasversali, associati agli asset correlati all’attività di trattamento.

Facendo clic su “Successivo” si accede all’ultima scheda.

6. Stima del rischio e pre-assessment#

In questo passaggio è possibile effettuare delle considerazioni preliminari alla valutazione d’impatto:

  • Stima del rischio: consente di verificare la ricorrenza dei nove criteri di stima del rischio per i diritti e le libertà dell’interessato definiti dal Gruppo di lavoro Art. 29;

  • Pre assessment: indicazione dell’appartenenza del trattamento ad uno dei dodici di cui all’elenco pubblicato dal Garante ai sensi dell’art. 35 par 4 del Regolamento.

Le risposte ai questionari vengono confermate cliccando sui bottoni SI/NO. È possibile annullare una risposta (tornando ad una stato di selezione nulla) cliccando nuovamente sul bottone SI/NO.

../_images/Questionnaires_YES_NO_selected.png
../_images/Questionnaires_YES_NO_deselect.png

L’obbligatorietà della valutazione insorge se: il trattamento appartiene a uno dei dodici trattamenti e/o se il trattamento può presentare un rischio elevato per i diritti e le libertà degli interessati (evenienza che si avvera al ricorrere di almeno due dei criteri WP29).

Stima del rischio#

In questo passaggio è possibile indicare la ricorrenza dei criteri del WP 29 nel trattamento censito cliccando sui bottoni SI/NO. In base alle risposte fornite nel questionario, il sistema suggerisce un livello di rischio potenziale per i diritti e le libertà degli interessati. Al ricorrere di uno dei criteri il livello di rischio suggerito sarà MEDIO, al ricorrere di due criteri il livello di rischio suggerito sarà invece ALTO.

In calce al questionario è presente una tabella di riepilogo dei criteri ricorrenti, la stima del rischio calcolata dal sistema, la stima del rischio libera che l’utente può fissare in deroga di quella suggerita e un campo note per riportare specifiche considerazioni sulla stima del rischio.

../_images/Questionnaires_tab_riskassessment.png

Pre-assessment#

In questo passaggio è possibile compilare il c.d. questionario di pre-assessment. Il questionario include le «Attività di trattamento soggette a valutazione d’impatto obbligatoria», pubblicate con provvedimento del Garante del 2018 ai sensi dell’art. 35 comma quarto del Reg. UE 2016/679. Qui è opportuno indicare tramite il pulsante SI/NO le circostanze specifiche che afferiscono all’attività di trattamento per cui eventualmente si andrà a redigere una valutazione d’impatto. Anche in questo caso, in calce al questionario è presente una tabella di riepilogo dei criteri ricorrenti, oltre all’indicazione sulla necessità di sottoporre il trattamento a Valutazione d’Impatto.

../_images/Questionnaires_tab_pre_assessment.png

Al termine della compilazione dei questionari viene proposta una tabella di riepilogo, con indicato l’esito definitivo:

  • DPIA OBBLIGATORIA COME DEFINITO NEL PROVVEDIMENTO DELL’AUTORITÀ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI DEL 2018

oppure

  • DPIA NON OBBLIGATORIA COME DEFINITO NEL PROVVEDIMENTO DELL’AUTORITÀ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI DEL 2018

7. Rischio potenziale e obbligatorietà della valutazione d’impatto#

Una volta terminata la compilazione dei questionari, il presente passaggio propone delle tabelle riassuntive che ne riportano l’esito. L’area di testo “Considerazioni finali” nella sezione «Riepilogo relativo a stima del rischio e pre assessment» consente infine di riportare ulteriori commenti e considerazioni.

../_images/Questionnaires_tab_recap_assessments.png

Nel caso di DPIA obbligatoria, è possibile procedere con la creazione della relativa Valutazione d’Impatto cliccando su “Nuova Valutazione d’impatto”: in questo modo sarà creato un nuovo progetto di Valutazione nella sezione Valutazione d’impatto

Qualora dovesse esservi già a corredo del trattamento oggetto di analisi un progetto di Valutazione d’Impatto, ne verrà data evidenza tramite una scheda riassuntiva in calce alla pagina.

../_images/PA_record_pa_related_DPIAs.png

Una volta riviste le informazioni in questa sezione, ed eventualmente creato un progetto di Valutazione d’impatto, è sufficiente cliccare su «Completa» per terminare l’inserimento dell’attività di trattamento e tornare al Registro.

Duplicare un trattamento#

Per duplicare un’attività di trattamento, è sufficiente selezionare il trattamento dall’interfaccia del Registro e fare clic sul tasto «Duplica» posto nella finestra di dettaglio dello stesso.

../_images/PA_record_pa_duplicate.png

Il nuovo trattamento verrà inserito con il nome di «Copia di [NOME_TRATTAMENTO]»: tutte le altre informazioni ad essa correlate saranno identiche.

N.B. Le unità di afferenza saranno in toto associate al trattamento duplicato soltanto quando la copia viene creata da utenti con ruolo di Amministratore o assimilabili. Nelle copie create da utenti con ruolo di Delegato o Designato saranno invece associate soltanto le unità organizzative appartenenti alla rispettiva area di competenza.

Correlazione Trattamento-Unità#

La correlazione dei trattamenti con le unità consiste in uno snodo essenziale al fine di effettuare una gestione dei trattamenti in maniera decentrata, raccogliendo quindi le informazioni afferenti ai singoli trattamenti dal contributo dei soggetti posti in posizione apicale nelle diverse unità organizzative.

Un trattamento può essere pertanto correlato ad una o più unità. Per correlare un trattamento a delle unità occorre selezionare il Registro dei trattamenti dal Menu principale, selezionare quindi il trattamento del caso, cliccare sul bottone «Modifica» dal riquadro di dettaglio sulla destra. Nel passaggio «1. Dati essenziali», scorrere fino alla sezione «Unità».

../_images/PA_record_pa_unit_linking.png

Un profilo rilevante afferente alla distribuzione del trattamento su più unità (leggi gestione dei trattamenti condivisi) è quello riguardante la possibilità di indicare una o più strutture c.d. Owner. Per attivare questa funzionalità, si faccia previo riferimento a Configurazione.

Qualora fosse preclusa la possibilità di modificare i trattamenti condivisi in Configurazione. è pertanto possibile definire talune unità organizzative nel contesto delle quali quel trattamento può invece essere modificato. Per potere eleggere una o più unità owner, è sufficiente cliccare sul quadratino a fianco all’elenco delle unità, una volta cliccato su di un trattamento inserito a registro.

../_images/PA_record_pa_unit_linking_owner_unit.png

N.B. È possibile definire le unità owner solo con riferimento a quelle di appartenenza (l’utente amministratore potrà sempre aggiungere o togliere unità owner). Il procedimento di rimozione dell’ownership della propria unità è irreversibile nel senso che, a seguito di tale operazione, si perdono contestualmente i poteri di modificare quel trattamento.

Informativa#

È possibile creare delle informative su un trattamento selezionato cliccando sul bottone «Crea» all’interno della relativa finestra di dettaglio. Ogni informativa così generata, oltre a qualsiasi altra informativa collegata al trattamento selezionato, sarà mostrata in questa sezione, con inoltre la possibilità di scaricare il relativo documento generato, oltre che di accedere in modifica al rispettivo elemento direttamente dal bottone «Modifica» a fianco di ogni informativa prospettata.

../_images/pa_informative.png

Valutazione d’Impatto#

Da questa finestra di dettaglio è possibile visualizzare un breve riassunto delle valutazioni d’impatto create per il trattamento del caso. Per ciascuna viene dato conto dello stato, del rischio residuo globale e dei report generati. Questi ultimi possono essere scaricati direttamente dal relativo riquadro. È infine possibile cliccare sul bottone «Modifica» per essere rimandati direttamente al progetto di DPIA per editarne le sezioni. Questo riquadro è anche presente in calce alla schermata del passaggio 7. Rischio potenziale e obbligatorietà della valutazione d’impatto del trattamento.

../_images/pa_wizard_DPIA_1.png
../_images/pa_wizard_DPIA.png

In questa sede viene anche data evidenza dell’esistenza di progetti di DPIA in cui il trattamento esaminato figura fra i c.d. «Trattamenti assimilabili». Nel caso, il riquadro di dettaglio della Valutazione d’impatto riporterà la dicitura «Trattamento simile con rischi elevati analoghi». Trattandosi di valutazioni non direttamente afferenti al trattamento, il bottone «Modifica» non sarà disponibile. Similmente al caso di cui sopra, questa informazione viene riportata anche in calce alla schermata del passaggio 7. Rischio potenziale e obbligatorietà della valutazione d’impatto del trattamento.

../_images/pa_wizard_DPIA_similar_1.png
../_images/pa_wizard_DPIA_similar_2.png

Valutazione del rischio#

In DPM è possibile creare una valutazione del rischio relativa ai trattamenti di dati, accedendo alla sezione dedicata nel menù «Dettagli». Espandendo il menù a tendina Valutazione del rischio, cliccare su «Crea una nuova valutazione» per proseguire.

../_images/PA_create_risk_analysis.png

Per procedere con la modifica di una valutazione del rischio sul trattamento, cliccare sul bottone «Modifica». A fianco di questo è inoltre presente il bottone «Rimuovi», tramite il quale è possibile eliminare definitivamente la valutazione del rischio in questione.

../_images/PA_new_risk_analysis_edit_delete.png

Cliccato il bottone «Modifica», si potrà procedere ad esaminare tutti i profili di rischio del trattamento secondo i passaggi riportati nella sezione Valutazione del rischio .

Terminato l’aggiornamento della valutazione del rischio sul trattamento, sarà sufficiente cliccare sul bottone «Torna al trattamento» per tornare alla pagina principale del Registro.

../_images/PA_new_risk_analysis_back_to_pa_details.png

Timeline#

La funzionalità Timeline permette di verificare la cronologia delle modifiche effettuate ad una attività di trattamento.

Per ogni modifica viene illustrato:

  • data ed ora della modifica;

  • nome e cognome dell’utente che ha effettuato la modifica;

  • sezione del registro specificamente modificata;

  • modifica apportata confrontata con l’informazione precedente.

../_images/timeline_registro0.2.png
../_images/timeline_registro0.4.png

Export del singolo trattamento in foglio di calcolo o PDF#

Per ciascun evento registrato nella Timeline è inoltre possibile effettuare un export in PDF o foglio di calcolo contenente le informazioni relative all’attività di trattamento nonché le relative modifiche.

../_images/timeline_registro0.1.png

Export del singolo trattamento e generazione del registro parziale dei trattamenti#

Un singolo trattamento (o anche più d’uno) può essere altresì esportato in formato pdf o docx, tramite la funzionalità di generazione del registro parziale dei trattamenti. A tal fine sarà sufficiente cliccare sul singolo trattamento e successivamente su «Genera Registro». Nell’interfaccia che vi si prospetterà compariranno tutti i trattamenti che sono stati selezionati.

../_images/PAs_record_generation_selectedPAs.png

Generazione del registro di unità#

È possibile esportare il registro di unità in formato pdf o docx di una o più strutture organizzative contemporaneamente.

../_images/PAs_record_generation_by_units.png

Attraverso la modale si possono specificare le unità per cui generare il registro scegliendole dall’apposito menù a tendina. Navigando l’elenco sarà sufficiente cliccare in corrispondenza dell’unità di interesse per aggiungerla. Nel caso di unità annidate, la freccia posta a destra della struttura gerarchicamente superiore consente di esplodere l’elenco di quelle da essa dipendenti. Il registro prodotto includerà tutti i trattamenti associati alle unità spuntate.

../_images/PAs_record_generation_by_unit_details.png

Ricerca avanzata#

È possibile condurre delle ricerche avanzate all’interno dei registri dei trattamenti, tramite apposito pulsante presente nella parte sommitale di interfaccia, denominato per l’appunto «Ricerca avanzata».

../_images/pulsante_ricerca.png

Nella finestra di ricerca è possibile filtrare la tabella delle attività di trattamento sulla scorta di alcuni parametri tra cui:

  • finalità;

  • determinati responsabili del trattamento;

  • determinati titolari o contitolari del trattamento;

  • categorie di dati trattati;

  • l’accadimento di episodi di violazioni di dati (data breach);

  • la presenza di Valutazioni d’impatto;

  • lo stato di completamento del trattamento;

  • il livello di rischio potenziale;

  • il tipo di dati trattati;

  • testo inserito nel campo note;

  • le unità nel contesto delle quali le attività di trattamento ricercate vengono condotte

../_images/nuova_ricerca_avanzata.png