Registro dei trattamenti

Il registro dei trattamenti costituisce elemento centrale attorno al quale orbitano molti degli adempimenti richiesti dal Regolamento EU 679/2016 (GDPR), quali: l’analisi d’impatto sulla protezione dei dati, la notifica di violazioni dei dati personali, la distribuzione delle responsabilità.

Il registro dei trattamenti è composto dall’insieme dei trattamenti per il quale l’ente è Titolare o Responsabile.

Per accedere al registro dei trattamenti in DPM è sufficiente fare clic sulla voce di menu Reg. Trattamenti:



Dall’interfaccia a cui si accede facendo clic sulla voce di menu REG. TRATTAMENTI è possibile:

  • inserire nuove attività di trattamento (facendo clic sul pulsante «Nuovo»);
  • modificare le attività di trattamento inserite (selezionando il trattamento e facendo clic su «Modifica»);
  • ricercare attività di trattamento inserite (utilizzando la funzione di ricerca posizionata sulla sommità di ogni colonna);
  • generare il registro di tutte le attività di trattamento, in formato .pdf e .docx (facendo clic sul pulsante «Genera registro» e selezionando il formato desiderato);
  • generare un registro relativo alle sole attività di trattamento previamente selezionate, in formato .pdf e .docx (facendo clic sui singoli trattamenti e successivamente sul pulsante «Genera registro» e selezionando il formato desiderato).
  • generare il registro delle attività di trattamento in formato .ods
  • generare le informative privacy
  • duplicare un’attività di trattamento
  • disattivare una o più attività di trattamento - selezionando uno o più elementi che si vuole disattivare e premendo «Disattiva»;
  • correlare le attività di trattamento alle unità organizzative;
  • visualizzare la cronistoria degli interventi effettuati su un singolo trattamento nonché generare un report in formato .ods afferente allo stato di un trattamento in un determinato momento storico.

Export dei trattamenti in un foglio di calcolo

Per esportare le attività di trattamento in un foglio di calcolo (Excel, Calc) è sufficiente fare clic sull’icona:

../_images/registro_trattamenti_exportcsv.png

Status dei trattamenti

../_images/Status.png

DPM permette di gestire i trattamenti inseriti a registro in termini di «Pubblicato» e «Bozza». Al di là delle finalità organizzativo-gestorie, categorizzando i trattamenti, solo quelli indicati in stato «Pubblicato» compariranno nel registro dei trattamenti.

Percentuale di completamento

../_images/Registro_percentuale.png

Per ogni singola attività di trattamento viene indicata una c.d. «percentuale di completamento»: tale variabile intende indicare il livello di completezza delle informazioni fino a quel momento inserite. I campi considerati al fine del calcolo della suddetta percentuale sono esclusivamente quelli qualificati come «necessari»: sono esclusi pertanto i campi realtivi al Responsabile del trattamento e quelli relatvi ad eventuali trasferimenti e comunicazioni.

Nello specifico, i campi presi in considerazione sono:

  • Finalità;
  • Basi giuridiche;
  • Categorie di dati;
  • Categorie di interessati;
  • Titolare;
  • RPD;
  • Misure di sicurezza;
  • Periodo di conservazione.

Caratteristiche ed elementi del registro dei trattamenti

Le informazioni da inserire con riferimento a ciascun trattamento sono quelle definite dall’art. 30 del Regolamento UE 679/2016, con l’aggiunta di alcune informazioni necessarie per rendere l’attività del Titolare del trattamento conforme alle prescrizioni imposte dal GDPR.

L’inserimento delle attività di trattamento si delinea come un percorso declinato cinque passaggi che accompagnano l’utente nella compilazione dei campi necessari.

Nel dettaglio, i passaggi che l’utente affronterà sono i seguenti:

Dati essenziali
  • Spunta «Attivo» e Identificativo
  • Nome e descrizione
  • Processi associati
  • Finalità
  • Basi giuridiche
  • Origine dei Dati
  • Tipo di banca dati
  • Categorie di dati
Soggetti
  • Categorie di interessati
  • Titolari
  • Responsabili del trattamento
  • Sub-responabili del trattamento
  • RPD
Trasferimenti e comunicazioni Spunta «Diffusione» e spunta «Trasferimento o comunicazione»
Misure di sicurezza | Misure di sicurezza sul trattamento
Altro
  • Profilazione
  • Processi decisionali automatizzati
  • Periodo di conservazione
  • Applicativi e luoghi fisici

Molte delle informazioni che possono essere inserite durante la compilazione del registro derivano da quanto inserito nelle voci dei sotto-menu a cui è possibile accedere dalle voci del menu, Asset e Soggetti.

Nel sotto menu Asset è possibile definire:

Asset
  • Applicativi
  • Categorie di dati
  • Categorie di interessati
  • Periodi di conservazione
  • Minacce
  • Luoghi Fisici
  • Dispositivi personali
  • Misure di sicurezza
  • Componenti IT
  • Sistemi operativi
  • Processi

Nel sotto menu Soggetti è possibile definire :

Soggetti
  • DPO o RDP
  • Qualifiche
  • Ruoli
  • Terze parti
  • Titolari
  • Unità
  • Utenti

Inserimento nuova attività di trattamento

Per inserire una nuova attività di trattamento sarà sufficiente fare clic su “Nuovo”: comincerà così il percorso così come sopra delineato.

Dati essenziali

Nella prima scheda denominata dati essenziali si trovano i seguenti campi:

  • «Attivo».
    • Grazie a questa funzionalità è possibile inserire attività di trattamento non ancora in produzione o temporaneamente non attive. Tale funzionalità è utile per inserire in via preventiva attributi ed elementi del trattamento ed, eventualmente, al fine di effettuare un’analisi d’impatto in una fase precedente all’implementazione del trattamento nella realtà organizzativa dell’ente.
  • Identificativo.
    • Questo è un numero inserito in maniera automatica e progressiva al momento di creazione di un trattamento. Esso può essere modificato solo a seguito dell’inserimento del trattamento, in modalità “modifica”, laddove nel menu configurazione sia acceso l’apposito interruttore di modifica dell’ID.
  • Nome e descrizione dell’attività di trattamento.
  • Finalità del trattamento.
  • Base giuridica che legittima l’attività di trattamento.
    • Le basi giuridiche riportate sono quelle definite nel Regolamento 2016/679 agli articoli 6 e 9. Tuttavia, è anche possibile inserire dei riferimenti normativi personalizzati nel caso in cui la base giuridica fosse “l’esecuzione di un compito di pubblico interesse o l’adempimento di un obbligo legale”.
  • Origine dei dati
    • È questa l’occasione per indicare se i dati vengono forniti in prima persona dall’interessato o/e se sono comunicati da altri soggetti. Se i dati vengono comunicati da terzi è possibile identificare la terza parte che comunica i dati. I soggetti terzi sono definiti nel menù SOGGETTI → TERZE PARTI. Questo campo serve a definire quale tipologia di informativa generare, se ex articolo 13 o ex articolo 14 del Regolamento.
  • Tipo di banca dati.
    • Tale fattore indica la modalità di conservazione dei dati personali.
  • Categorie di dati.
    • Le categorie di dati possono essere personalizzate dall’apposito menu ASSET → CATEGORIE DI DATI. Questi, come si è visto, sono connotati da tre livelli di dettaglio.

Facendo clic su “salva e procedi” l’attività di trattamento viene salvata ed è possibile proseguire nella sezione Soggetti.

Soggetti

In questa interfaccia si possono definire tutti i soggetti che potrebbero intervenire in un’attività di trattamento.

  • Le categorie di interessati.
    • Le categorie di interessati sono definite nella scheda Asset → Categorie di interessati.
  • Il titolare e gli eventuali contitolari.
    • I Titolari sono definiti nella scheda Soggetti → Titolari
  • I responsabili del trattamento.
    • I responsabili del trattamento possono essere inseriti nella scheda Soggetti → Terze parti.
  • Eventuali sub-responsabili del trattamento.
  • Nel campo RPD è possibile inserire il Responsabile della protezione dei dati, quando individuato dal titolare o dal responsabile del trattamento.
    • Il DPO/RPD può essere inserito nella scheda Soggetti → RPD.

Gestione delle relazioni tra i soggetti

Al fine di agevolare l’utente nella compilazione del registro, è possibile individuare un Titolare ed un RPD predefiniti, che andranno a comparire in automatico negli appositi campi della scheda soggetti ogniqualvolta si crea una nuova attività di trattamento. Per poter indicare il Titolare e il RPD predefiniti sarà sufficiente fare clic sulla voce di menu Configurazione ed indicarli sotto al campo «Soggetti predefiniti».

Facendo clic su “Successivo” si accede alla scheda Trasferimenti e comunicazioni.

Trasferimenti e comunicazioni

Qualora il Titolare effettuasse diffusione, trasferimento e/o comunicazione dei dati a soggetti terzi che non siano responsabili del trattamento, dovrà indicarlo nella scheda «Trasferimenti e comunicazione». La differenza fra diffusione e trasferimento/comunicazione risiede nel numero (indefinito o definito) dei soggetti destinatari dei dati.

Se vi è diffusione e/o comunicazione dei dati, l’utente dovrà accendere il rispettivo interruttore. Accendendo l’interruttore della diffusione si aprirà un campo di testo libero dove è possibile, tra l’altro, indicare il mezzo utilizzato per la diffusione dei dati. Se presente, la diffusione dei dati comporterà l’aumento dell’indice di rischiosità del trattamento a cui viene associato secondo le logiche illustrate in Calcolo stima del rischio suggerita dal sistema.

Viceversa, spostando il cursore posto accanto alla voce «Si effettua il trasferimento o la comunicazione dei dati», si aprirà il pulsante “Aggiungi nuovo”. Cliccando sullo stesso si potrà inserire quale sia il destinatario della comunicazione.

Il campo nel quale inserire gli estremi identificativi del destinatario è un campo di testo libero, ma è anche disponibile un campo strutturato che attinge dai soggetti inseriti in Terze parti. Il campo di testo libero, qualora il soggetto destinatario venga inserito attingendo dall’elenco TERZE PARTI, può comunque essere utilizzato per tenere traccia di ulteriori informazioni quali, ad esempio, quelle afferenti alla finalità del trasferimento.

In questa scheda è anche possibile definire se il destinatario sia stabilito all’interno o all’esterno dell’Unione Europea: in quest’ultimo caso sarà opportuno indicare una base legale che legittima l’esportazione di dati.

../_images/Trasferimenti_Comunicazione.png

Una volta salvato il destinatario, per aggiungerne altri è sufficiente fare clic su “Aggiungi nuovo”

Facendo clic su “Successivo” si accede alla scheda Misure di sicurezza

Misure di sicurezza






In questa interfaccia è possibile indicare esclusivamente le misure di sicurezza sul trattamento, in quanto quelle sugli asset sono definite per gli applicativi, che saranno correlati con il trattamento nel passaggio successivo.

../_images/Registro_trasferimenti.png

Facendo clic su “Successivo” si accede all’ultima scheda.

Altre informazioni




In questa scheda è possibile definire:

  • Profilazione e processi decisionali automatizzati: Se l’attività di trattamento comporta attività di profilazione e, nel caso, se sono presenti processi decisionali automatizzati.
  • Periodo di conservazione dei dati: Nel caso diverse categorie di dati abbiano periodi di conservazione non omogenei, si possono inserire più periodi di conservazione specificando i dettagli nel campo di testo libero sottostante. I periodi di conservazione sono definiti nella scheda Asset → Conservazione.
  • Applicativi tramite i quali vengono trattati i dati; è un passaggio essenziale per un’adeguata compilazione del Registro in quanto agli applicativi sono correlate le misure di sicurezza, per l’appunto, sugli applicativi.
  • Luoghi Fisici ovverosia i contesti fisici spaziali non informatici nei quali vengono trattati i dati. La possibilità di associare luoghi fisici ed attività di trattamento deve essere previamente attivata da Configurazione
  • Componenti IT ovverosia i contesti informatici nei quali o tramite i quali vengono trattati i dati. La possibilità di associare componenti IT ed attività di trattamento deve essere previamente attivata da Configurazione
  • Stima del rischio dell’attività di trattamento sulla base delle informazioni inserite fino a quel momento. Il sistema fornisce una stima del rischio secondo le logiche illustarte paragrafo Calcolo stima del rischio suggerita dal sistema.
../_images/Registro_altre_info.png

Al termine dell’inserimento dei dati è sufficiente fare clic su Fine per salvare l’attività di trattamento e tornare al Registro delle attività di trattamento.

Calcolo stima del rischio suggerita dal sistema

Questa opzione può essere attivata o disattivata dalla Configurazione:

../_images/Config_auto_rischio.png
Il sistema propone un livello di richio definito in base alle informazioni inserite nel Registro.
In particolare, viene asseganto un punteggio al trattamento sulla base dei seguenti indicatori:
Categorie di dati

Se particolari +1

Se reati e condanne penali +1

Categorie di interessati Se vulnerabili +1
Trasferimenti e comunicazioni Se Diffusione +1
Profilazione Profilazione +1
Processi decisionali automatizzati Processi decisionali automatizzati +1
Conservazione Se esteso +1
Il rischio suggerito si basa sulla seguente scala:
Punteggio = 0 Rischio basso
Punteggio = 1 Rischio medio
Punteggio > 1 Rischio alto
../_images/Livello_rischio.png

Pre assessment

In ultima istanza è possibile, già in sede di inserimento o modifica di un trattamento a registro, compilare un c.d. questionario di pre-assessment sulla scorta del quale decidere se procedere con la redazione o meno di una Valutazione d’impatto. Per far ciò sarà sufficiente cliccare sul bottone azzurro «Vai alla pagina di pre assessment»

../_images/Vai_a_preassessment.png

Il questionario include le «Attività di trattamento soggette a valutazione d’impatto obbligatoria», pubblicate con provvedimento del Garante del 2018 ai sensi dell’art. 35 comma quarto del Reg. UE 2016/679. Qui è opportuno apporre la spunta sulle circostanze specifiche che afferiscono all’attività di trattamento per cui eventualmente si andrà a redigere una valutazione d’impatto.

../_images/preassessment.png

Una volta compilato il questionario come del caso, sarà sufficiente cliccare sul tasto di Conferma in calce (vedi immagine). Comparirà, in caso di successo, un messaggio di conferma su sfondo verde.

../_images/Preassessment_2.png

Alla luce delle risposte date durante la compilazione del questionario, verrà consigliato dall’applicativo di procedere o meno con la valutazione d’impatto. Qualora dovesse esservi già a corredo del trattamento oggetto di analisi un progetto di Valutazione d’impatto, ne verrà data evidenza tramite un link in calce alla pagina.

../_images/Preassessment_3.png

Duplicare un trattamento

Per duplicare un’attività di trattamento, è sufficiente selezionare il trattamento dall’interfaccia del Registro e fare clic sul tasto «duplica» posto nella finestra di dettaglio del trattamento.

../_images/Duplica_trattamento.png

Sarà poi necessario confermare la propria intenzione di copiare il trattamento facendo clic su «Conferma» nella finestra di dialogo che compare. Il nuovo trattamento verrà inserito con il nome di «Copia di [NOME_TRATTAMENTO]»: tutte le altre informazioni ad essa correlate, incluse le unità saranno identiche.

../_images/Conferma_copia.png

Correlazione Trattamento-Unità

La correlazione dei trattamenti con le unità consiste in uno snodo essenziale al fine di effettuare una gestione dei trattamenti in maniera decentrata, raccogliendo quindi le informazioni afferenti ai singoli trattamenti dal contributo dei soggetti posti in posizione apicale nelle diverse unità organizzative.

Un trattamento può essere pertanto correlato ad una o più unità. Per correlare un trattamento a delle unità occorre selezionare il Registro dei trattamenti dal Menu principale, selezionare un trattamento, espandere la quartultima voce della sezione Dettagli del trattamento denominata Unità associate posta sul lato destro dell’interfaccia e fare clic su «modifica»:

../_images/trattamento_unita.png

Un profilo rilevante afferente alla distribuzione del trattamento su più unità (leggi gestione dei trattamenti condivisi) è quello riguardante la possibilità di indicare una o più strutture c.d. Owner. Per attivare questa funzionalità, si faccia previo riferimento a Configurazione.

Qualora fosse preclusa la possibilità di modificare i trattamenti condivisi in Configurazione. è pertanto possibile definire talune unità organizzative nel contesto delle quali quel trattamento può invece essere modificato. Per potere eleggere una o più unità owner, è sufficiente cliccare sul quadratino a fianco all’elenco delle unità, una volta cliccato su di un trattamento inserito a registro.

../_images/owners.png

N.B. È possibile definire le unità owner solo con riferimento a quelle di appartenenza (l’utente amministratore potrà sempre aggiungere o togliere unità owner). Il procedimento di rimozione dell’ownership della propria unità è irreversibile nel senso che, a seguito di tale operazione, si perdono contestualmente i poteri di modificare quel trattamento.

Timeline

La funzionalità Timeline permette di verificare la cronologia delle modifiche effettuate ad una attività di trattamento.

Per ogni modifica viene illustrato:

  • data ed ora della modifica;
  • nome e cognome dell’utente che ha effettuato la modifica;
  • sezione del registro specificamente modificata.
../_images/timeline_registro.png

Export del singolo trattamento in foglio di calcolo

Per ciascun evento registrato nella Timeline è inoltre possibile effettuare un export in un foglio di calcolo contenente le informazioni relative all’attività di trattamento nonché le relative modifiche.

../_images/Timeline_export.png

Export del singolo trattamento e generazione del registro parziale dei trattamenti

Un singolo (o anche più d’uno) trattamento può essere esportato anche in formato pdf o docx, tramite la funzionalità di generazione del registro parziale dei trattamenti. A tal fine sarà sufficiente cliccare sul singolo trattamento e successivamente su «Genera Registro». Nell’interfaccia che vi si prospetterà compariranno tutti i trattamenti che sono stati selezionati.

../_images/reg_parziale.png

Informative

A partire dalle informazioni inserite nel Registro è possibile generare i documenti contenenti le informazioni da fornire all’interessato (cd. informative), così come previsto dagli articoli 13 e 14 del Regolamento UE 2016/679. Per generare le informative è sufficiente selezionare il trattamento desiderato e cliccare, all’interno della scheda dettagli, il tasto verde Genera Informativa. Allorché, cliccato il tasto dedicato, vi sarà fornita la scelta di generare l’informativa in formato modificabile o in formato .pdf. Al fine di generare un’informativa relativa a più trattamenti sarà sufficiente effettuare una selezione multipla dei medesimi dal Registro dei Trattamenti e, infine, cliccare sul bottone verde «Genera informativa multipla».

../_images/informative.png