Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
data processing a
CHECKLI
PROGETTAZIONE TRATTAME
data processing assessment
CHECKLIST
ONE TRATTAMENTI
essing assessment
HECKLIST
Data:
Owner:
Oggetto:
LEGENDA
SI: Conforme NO: Non conforme NA: Non applicabile
PRINCIPI DI TRATTAMENTO
6
7
8
9
a
b
c
10
11
12
13
Note:
asssss
f
Note:
15
16
17
18
19
20
21
22
23
24
Note:
25
26
Note:
TRATTAMENTO DI CATEGORIE PARTICOLARI DI
27
m
n
Note:
28
29
30
Note:
TRATTAMENTI CHE NON RICHIEDONO L'IDENTIFICAZI
31
32
33
34
35
Note:
40
41
42
43
44
45
46
47
48
49
50
Note:
DIRITTI DELL'INTERESSATO: INFORMAZIONI DA FORNIRE AL MOMENTO DELL'OTTENIM
51
52
53
54
55
56
57
58
59
60
61
62
63
Note:
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
Note:
Note:
92
93
94
95
96
97
98
99
100
101
102
103
Note:
105
Note:
DIRITTI DELL'INTERESSATO: DIRITTO ALLA CANCELLAZIONE ("D
106
107
108
109
110
111
Note:
112
113
114
115
116
Note:
117
Note:
121
Note:
122
123
124
Note:
DIRITTI DEGLI INTERESSATI: DECISIONI INDIVIDUALI AUTOMATIZZATE, COMPRESO
125
126
127
128
129
130
131
132
133
134
135
Note:
136
137
138
139
140
Note:
141
142
143
144
145
146
147
Note:
148
149
150
151
Note:
RESPONSABILE TRATTAMENTO DATI
152
153
154
155
156
157
158
159
160
161
162
163
164
165
Note:
166
167
168
169
170
171
172
173
174
Note:
175
176
177
178
179
180
181
Note:
183
184
185
186
187
188
189
Note:
191
Note:
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
Note:
RESPONSABILE DELLA PROTEZIONE DEI DA
221
222
223
224
a
h
Note:
220
220
xxxxxxxxx
Descrizione trattamento
PROGETTAZIONE TRATTAMENTI
data processing assessment check lis
LEGENDA
SI: Conforme NO: Non conforme NA: Non applicabile
PRINCIPI DI TRATTAMENTO
I dati personali sono raccolti per scopi specifici, inteso come l'effettuazione di una raccolta con un
maniera indiscriminata o casuale?
I dati personali sono raccolti per finalità esplicite, inteso come definizione di un obiettivo della rac
trasparente agli individui interessati, in modo che siano consapevoli di come e perché i loro dati v
I dati personali vengono raccolti per scopi legittimi, inteso come una raccolta appropriata, valida e
Possono essere ulteriormente trattati in modo da non essere incompatibile con tale finalità?
I dati personali nella fase di raccolta sono esatti, veritieri e pertinenti rispetto agli scopi per i qua
E' prevista una procedura di aggiornamento dei dati personali, qualora nuove necessità si presen
E' stato definito il concetto di "Tempestivamante" nell'ambito del trattamento in oggetto?
I dati personali inesatti rispetto allo scopo vengono cancellati e/o rettificati mediante l'uso di una
I dati vengono conservati per un periodo non superiore a quello necessario allo scopo, nei casi in
Elaborati a fini di archiviazione nel pubblico interesse.
Sono trattati a scopo di ricerca scientifica.
Sono trattati a fini storici.
Sono state adottate misure di sicurezza, documentabili, per proteggere l'integrità e la riservatezza
Sono state adottate misure di sicurezza, documentabili, contro il trattamento non autorizzato o ill
Sono state adottate misure di sicurezza, documentabili, per prevenire la perdita, la distruzione o i
Il consenso può essere revocato con la stessa facilità con cui viene raccolto?
Sono previsti strumenti e mezzi per agevolare la revoca del consenso in qualsiasi momento?
Si può dimostrare che il consenso sia realmente libero e non condizionato da forme coercitive di r
Si verifica che il consenso sia stato dato dal titolare dell'autorità parentale o della tutela sul minor
te:
TRATTAMENTO DI CATEGORIE PARTICOLARI DI DATI
Il trattamento di dati particolari, avviene in deroga al divieto generale, in base ad una delle condiz
I dati sono trattati con il consenso esplicito e non esistono norme giuridiche che ne vie
È necessario proteggere gli interessi vitali di una persona e l'interessato non è in grado
prestare il suo consenso.
E' svolto nell'ambito di attività legittime e con le dovute garanzie e richiama esclusivam
passati o a persone che mantengono contatti regolari in relazione alla finalità (politica,
sindacale).
Viene svolta nell'ambito di attività legittime e con le dovute garanzie e non viene comu
degli interessati.
È necessario ai fini della medicina preventiva o del lavoro, della valutazione dell'idonei
della diagnosi medica, della fornitura di assistenza o trattamento sanitario o sociale, o
servizi di assistenza sanitaria e sociale.
È necessario per motivi di interesse pubblico nel campo della salute pubblica, sulla bas
prevedono misure appropriate e specifiche per proteggere i diritti e le libertà dell'indiv
È necessario a fini di archiviazione nel pubblico interesse, per scopi di ricerca scientific
sulla base di norme giuridiche.
Viene effettuato nel rispetto delle condizioni relative al trattamento dei dati genetici, d
alla salute come previsto dalla normativa nazionale.
te:
Il registro completo delle condanne penali è tenuto sotto il controllo delle autorità pubbliche?
te:
TRATTAMENTI CHE NON RICHIEDONO L'IDENTIFICAZIONE (art.11)
Sebbene il titolare non sia obbligato ad acquisire ulteriori informazioni per identificare l'interessat
ugualmente raccolte?
Qualora il titolare decida di non identificare o non identificare più l'interessato, l'interessato è sta
Per l'esercizio dei diritti, all'interessato vengono richieste ulteriori informazioni necessarie per con
L'interessato è agevolato nell'esercizio dei propri diritti attraverso moduli e procedure semplici ed
Le richieste di esercizio dei diritti sono trattate anche se il trattamento non richiede l'identificazion
interessata non possa essere identificata?
In relazione alle procedure elaborate, l'interessato sarà informato entro un mese dal ricevimento
L'informazione viene fornita per l'esercizio di diritti complessi o per molte richieste entro un perio
ricevimento della domanda?
La proroga di tre mesi viene comunicata entro un mese, indicando il motivo del ritardo?
Viene privilegiata la segnalazione elettronica quando la richiesta di esercizio viene ricevuta per via
l'utente non richieda che venga effettuata con altri mezzi?
Sono segnalati i motivi del mancato intervento e la possibilità di presentare un reclamo a una auto
vie legali, entro un mese dal ricevimento della richiesta, se non viene dato seguito alla richiesta st
Quando le informative si basano su icone standardizzate, queste sono facilmente visibili, e se pre
elettronico, leggibili da dispositivo automatico?
te:
DIRITTI DELL'INTERESSATO: INFORMAZIONI DA FORNIRE AL MOMENTO DELL'OTTENIMENTO DEI DA
L'identità e i dati di contatto del titolare e ove necessario del suo rappresentante, sono forniti ne
Vengono forniti i dati di contatto del titolare della protezione dei dati?
Vengono fornite le finalità del trattamento dei dati personali e la base giuridica del trattamento?
Vengono fornite informazioni sul periodo di conservazione dei dati personali o sui criteri utilizzati
Vengono fornite informazioni sull'esistenza del diritto di richiedere l'accesso, la rettifica o la cance
trattamento, il diritto di opposizione e il diritto alla portabilità?
Se il trattamento è basato sul consenso, si segnala l'esistenza del diritto di revocarlo in qualsiasi m
Vengono segnalati gli incarichi basati su un requisito necessario per la stipula di un contratto?
te:
Vengono fornite informazioni sui criteri utilizzati per determinare il periodo di conservazione, qua
segnalarlo?
Vengono resi noti gli specifici interessi legittimi su cui si basa il trattamento?
L'interessato è informato del diritto di richiedere l'accesso ai propri dati personali?
L'interessato è informato del suo diritto di richiedere la rettifica dei propri dati?
Sebbene non venga fornita l'informativa perché potrebbe rendere impossibile o ostacolare gravem
finalità del trattamento, vengono adottate tutte le misure idonee per tutelare i diritti, le libertà e g
dell'interessato?
L'Informativa non è fornita perché i dati personali sono riservati sulla base di un obbligo del segre
da norme di legge?
te:
te:
Vengono fornite informazioni sui destinatari o sulle categorie di destinatari a cui le informazioni s
comunicate?
Vengono fornite informazioni sul periodo di conservazione previsto per i dati personali?
Vengono riportati i criteri utilizzati per determinare il periodo di conservazione?
L'interessato è informato del suo diritto di richiedere la rettifica o la cancellazione dei propri dati?
L'interessato è informato del diritto di richiedere la limitazione del trattamento dei dati?
Le informazioni sull'origine dei dati sono fornite quando questi non sono raccolti presso l'interess
Una copia dei dati personali oggetto di trattamento viene fornita su richiesta dell'interessato?
Le informazioni vengono fornite in un formato elettronico comunemente utilizzato, se richiesto p
non sia previsto un altro mezzo?
te:
I dati personali incompleti vengono completati tenendo conto delle finalità del trattamento?
te:
DIRITTI DELL'INTERESSATO: DIRITTO ALLA CANCELLAZIONE ("DIRITTO ALL'O
I dati vengono cancellati quando non sono più necessari per le finalità per cui sono stati raccolti?
I dati vengono cancellati quando viene revocato il consenso su cui si basa il trattamento?
I dati vengono cancellati quando sono ottenuti in relazione alla fornitura di servizi della società de
te:
L'interessato viene informato della rettifica, della cancellazione o della limitazione del trattamento
te:
I dati vengono trasferiti al nuovo titolare del trattamento, che l'interessato ha individuato, se tecn
te:
A fronte di richieste di opposizione, le stesse vengono soddisfatte e cessa l'elaborazione dei dati?
Le richieste di opposizione vengono soddisfatte anche qualora il trattamento non venga interrott
che prevalgono sugli interessi, quali i diritti e le libertà o per la formulazione, l'esercizio o la difesa
I mezzi necessari sono messi a disposizione per consentire all'interessato di esercitare il diritto di
sistema automatizzato?
te:
DIRITTI DEGLI INTERESSATI: DECISIONI INDIVIDUALI AUTOMATIZZATE, COMPRESO IL TRATTAM
Nessun trattamento che comporti una decisione basata esclusivamente sul trattamento automati
giuridici, viene effettuato?
Viene effettuata un'operazione di trattamento che comporta l'adozione di una decisione basata e
automatizzato e che produce effetti giuridici, in quanto necessaria per la conclusione o l'esecuzion
Vengono effettuate operazioni di trattamento che comportano l'adozione di una decisione basata
trattamento automatizzato e che producono effetti giuridici, perché autorizzati dalla legge?
Vengono effettuate operazioni di trattamento che comportano l'adozione di una decisione basata
trattamento automatizzato e che producono effetti giuridici, perché c'è un consenso esplicito?
Qualora vengano effettuate operazioni di trattamento che comportino una decisione basata esclu
automatizzato e che producono effetti giuridici, vengono adottate misure appropriate per salvagu
interessi legittimi?
Se vengono effettuate operazioni di trattamento che comportano una decisione basata esclusivam
automatizzato e che producono effetti giuridici, vengono adottate misure appropriate per salvagu
l'intervento umano da parte del titolare del trattamento?
Se vengono effettuate operazioni di trattamento che comportano una decisione basata esclusivam
automatizzato e che producono effetti giuridici, vengono adottate misure appropriate per dare all
esprimere il proprio punto di vista e di contestare la decisione?
Le decisioni individuali automatizzate, compresa la profilazione, sono prese sulla base di categorie
perché è stato ottenuto il consenso della persona interessata?
Le decisioni individuali automatizzate, compresa la profilazione, sono prese sulla base di categorie
quanto esiste un diritto legale a farlo?
Le decisioni individuali automatizzate, compresa la profilazione, sono prese sulla base di categori
perché sono state adottate misure appropriate per salvaguardare i diritti e le libertà e gli interessi
te:
La natura, l'ambito, il contesto e le finalità del trattamento vengono presi in considerazione al fine
di dimostrare che il trattamento è conforme al GDPR?
Viene considerato il rischio in relazione alla probabilità e gravità per i diritti e le libertà delle perso
Vengono implementate misure tecniche e organizzative adeguate?
te:
Nella progettazione del trattamento si tiene conto di misure tecniche e organizzative adeguate pe
Sono state attuate misure tecniche e organizzative adeguate per garantire che, per impostazione
solo i dati richiesti per ciascuna delle finalità?
Le misure tecniche e organizzative sono implementate tenendo conto della quantità di dati perso
trattamento, il periodo di conservazione e l'accessibilità?
Le misure garantiscono che, per impostazione predefinita, i dati non siano accessibili a un numero
senza l'intervento del personale?
te:
L'accordo di contitolarità riflette i rispettivi ruoli e rapporti dei contitolari nei confronti degli intere
Vengono selezionati responsabili che offrono sufficienti garanzie di conformità ai requisiti del GDP
dei diritti degli interessati?
Il responsabile del trattamento utilizza altri responsabili del trattamento esclusivamente autorizz
Il contratto stabilisce l'oggetto, la durata, la natura e la finalità del trattamento, il tipo di dati e le c
nonché gli obblighi e i diritti del titolare del trattamento?
Il contratto prevede che i dati personali siano trattati solo su istruzioni documentate del titolare?
Il contratto garantisce che le persone autorizzate al trattamento dei dati personali si siano impegn
o siano soggetti a un obbligo di riservatezza di natura legale?
Il contratto prevede che le condizioni di cui sopra debbano essere rispettate per l'utilizzo di un div
Il contratto prevede che il responsabile del trattamento assista nel rispondere alle richieste che so
diritti degli interessati?
Il contratto prevede la cancellazione o la restituzione dei dati personali al termine della fornitura d
delle copie esistenti, a meno che non sia richiesta la conservazione dei dati personali?
Il contratto prevede che l'azienda metta a disposizione tutte le informazioni necessarie a dimostra
obblighi previsti, nonché consentire e assistere lo svolgimento di audit e ispezioni da parte del tito
altro revisore autorizzato dal titolare del trattamento?
Il contratto prevede che se il responsabile del trattamento si avvale di un altro responsabile per sv
trattamento per conto del titolare del trattamento, a quest'ultimo vengono imposti gli stessi obbl
previsti dal contratto o da un altro atto legale stabilito in conformità alla legge?
te:
Il registro contiene il nome e i dati di contatto del titolare, se del caso, del contitolare, del rappres
trattamento e del responsabile della protezione dei dati?
Elenca le categorie di destinatari a cui i dati personali sono stati o saranno comunicati?
Include una descrizione generale delle misure tecniche e organizzative adeguate al rischio de i tra
te:
Lo stato dell'arte e i costi di implementazione sono presi in considerazione nel determinare le mis
l'ambito, il contesto e le finalità del trattamento, nonché i rischi di varia probabilità e gravità per i
fisiche?
Vengono applicate misure tecniche e organizzative adeguate per garantire un livello di sicurezza a
Sono state incluse misure per garantire riservatezza, integrità, disponibilità e resilienza, di sistemi
Sono state valutate misure per garantire la capacità di ripristinare la disponibilità e l'accesso ai da
caso di incidente fisico o tecnico?
Esiste una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecnic
Sono stati presi in considerazione i rischi che il trattamento comporta a seguito del suo utilizzo, la
l'alterazione accidentale o illecita dei dati trasmessi, conservati o elaborati, o la comunicazione o l
dati, al fine di valutare il livello di sicurezza applicato?
Sono state adottate misure per garantire che le persone autorizzate ad accedere ai dati abbiano a
l'autorizzazione come da istruzioni?
te:
Esiste una procedura che consente ai responsabili del trattamento di notificare le violazioni all'Au
ne vengono a conoscenza?
Esiste una procedura per documentare i motivi per cui non è possibile effettuare la notifica entro
Esiste una procedura che consente di fornire informazioni in modo graduale quando non è possib
simultaneo?
La documentazione comprende i fatti relativi, i loro effetti e le misure adottate, azioni correttive in
te:
La comunicazione alla persona interessata è effettuata con un linguaggio chiaro e semplice, descr
dimensioni e le modalità di intervento?
te:
Una DPIA viene effettuata sulle operazioni di trattamento incluse nell'elenco pubblicato dall'autor
La DPIA comprende una descrizione sistematica delle operazioni di trattamento previste e delle fi
caso, il legittimo interesse perseguito?
E' stata elaborata una valutazione della necessità e della proporzionalità (LIA) delle operazioni di e
suo scopo?
La DPIA include una valutazione dei rischi di impatto sui diritti e le libertà dell'interessato?
Include le misure previste per dimostrare la conformità al GDPR, tenendo conto dei i diritti e gli in
interessati e delle altre persone coinvolte?
Include le misure previste per affrontare i rischi, le salvaguardie e i meccanismi per assicurare la p
La DPIA viene rivista ogni volta che è necessario e ogni volta che si verifica una variazione dei risch
L'autorità di controllo viene consultata prima del trattamento quando una DPIA dimostra che, se n
mitigazione, il rischio è elevato?
Le rispettive responsabilità delle persone coinvolte nel trattamento nella consultazione sono ripor
In fase di consultazione preventiva, vengono fornite informazioni sulle finalità e sui mezzi del tratt
In fase di consultazione preventiva, vengono forniti i dati di contatto del responsabile della protez
I trasferimenti sono effettuati mediante garanzie adeguate che assicurano alle parti interessate i d
legali, fra cui:
Esistono clausole standard di protezione dei dati adottate da un'autorità di vigilanza e approv
Esiste un codice di condotta e impegni vincolanti ed esecutivi nel Paese terzo, per consentire
misure di salvaguardia.
Esistono accordi amministrativi tra le autorità pubbliche e gli enti pubblici che incorporano di
effettivi ed esigibili per gli stakeholder.
Sono necessari per l'esecuzione di un contratto con la parte interessata o per l'esecuzione di m
su richiesta dell'interessato.
Sono necessari per la tutela degli interessi vitali dell'interessato o di altre persone, se l'interes
proprio consenso.
Sono state valutate tutte le circostanze e sono state fornite garanzie appropriate.
220
220
c
r
i
t
e
r
i
SI 0 ###
NO 13 ###
NA 0 ###
13 ###
NO ###
NO ###
X
NO ###
O
NO ###
NO ###
NO ###
NO ###
NO ###
NO ###
O ###
O ###
O ###
O ###
NO ###
NO
NO
NO
100.00%
SI NO
###
###
###
###
NO SI 0 ###
O NO 1 ###
O NA 0 ###
O 1 ###
O
###
NO
SI 0 ###
NO
NO 10 ###
NO
NA 0 ###
NO ###
10
NO ###
NO ###
NO ###
NO
NO
NO
100.00%
SI NO
SI
SI 2 ###
SI
NO 0 ###
NA 0 ###
2
100.00%
SI NO
NO
SI 0 ###
O
NO 1 ###
O
NA 0 ###
O
1
O
O
NO
SI 0 ###
NO
NO 3 ###
NO
NA 0 ###
3
100.00%
SI NO
100.00%
SI NO
NO
SI 0 ###
NO
NO 5 ###
NO
NA 0 ###
NO
5
NO
166.67%
SI NO
NO SI 0 ###
NO NO 15 ###
NO NA 0 ###
NO 15
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
100.00%
SI NO
100.00%
SI NO
ERESSATO.
NO
SI 0 ###
NO NO 13 ###
NO
NA 0 ###
NO
13
NO
NO
NO
NO
NO
NO
NO
NO
NO
100.00%
SI NO
ATO.
NO SI 0 ###
NO NO 28 ###
NO NA 0 ###
NO 28
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
100.00%
SI NO
###
NO SI 0 ###
NO
NO 12 ###
NO
NA 0 ###
NO 12
NO
NO
NO
NO
NO
NO
NO
NO
100.00%
SI NO
NO SI 0 ###
NO
NO 2 ###
NA 0 ###
2
100.00%
SI NO
NO SI 0 ###
NO NO 6 ###
NO
NA 0 ###
NO
6
NO
NO
100.00%
SI NO
NO
SI 0 ###
NO
NO 5 ###
NO
NA 0 ###
NO
5
NO
100.00%
SI NO
NO
SI 0 ###
NO 1 ###
NA 0 ###
1
NO SI 0 ###
NO NO 4 ###
NO
NA 0 ###
NO 4
100.00%
SI NO
NO SI 0 ###
NO
NO 3 ###
NO
NA 0 ###
3
100.00%
SI NO
NALI.
NO
SI 0 ###
NO
NO 11 ###
NO
NA 0 ###
NO
11
NO
NO
NO
NO
NO
NO
NO
100.00%
SI NO
NO
SI 0 ###
NO
NO 5 ###
NO
NA 0 ###
NO
5
NO
100.00%
SI NO
NO
SI 0 ###
NO
NO 7 ###
NO
NA 0 ###
NO
7
NO
NO
NO
100.00%
SI NO
NO
SI 0 ###
NO NO 4 ###
NO NA 0 ###
NO
4
100.00%
SI NO
100.00%
SI NO
NO
SI 0 ###
NO
NO 14 ###
NO
NA 0 ###
NO
14
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
100.00%
SI NO
NO
SI 0 ###
NO
NO 9 ###
NO
NA 0 ###
NO
9
NO
NO
NO
NO
NO
100.00%
SI NO
NO
SI 0 ###
NO
NO 7 ###
NO
NA 0 ###
NO
7
NO
NO
NO
100.00%
SI NO
NO
SI 0 ###
NO
NO 8 ###
NO
NA 0 ###
NO
8
NO
NO
NO
NO
100.00%
SI NO
NO
SI 0 ###
NO
NO 2 ###
NA 0 ###
2
100.00%
SI NO
NO
SI 0 ###
NO NO 15 ###
NO
NA 0 ###
NO
15
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
NO
100.00%
SI NO
NO
SI 2 ###
NO
NO 2 ###
SI
NA 0 ###
X
4
SI
O
50.00%
SI NO
224 ###
4 1.79%
220 ###
LEGENDA
Valore Descrizione
ISTRUZIONI OPERATI
2) Per ogni processo definisci quale punto di controllo è applicato (SI), non applic
4) Per processi con punti di controllo maggiori di 1 è presente un grafico che illus
5) Verifica il summary finale in coda alla checklist per implementare misure corre
LEGENDA
Note
STRUZIONI OPERATIVE
La checklist è stata realizzata sulla base delle indicazioni fornite dal documento