PROGETTAZIONE TR

data processing a
CHECKLI
PROGETTAZIONE TRATTAME
data processing assessment
CHECKLIST
ONE TRATTAMENTI
essing assessment
HECKLIST
 Data:

Owner:

Oggetto:

LEGENDA
SI: Conforme NO: Non conforme NA: Non applicabile

PRINCIPI DI TRATTAMENTO

6
7
8
 9
a
b
c

10

11

12

13
Note:
asssss

BASE GIURIDICA DEL TRATTAMENTO

14
a
b
c
 d

f
Note:

CONDIZIONI PER IL CONSENSO

15

16

17

18

19

20

21

22
 23

24
Note:

CONSENSO DEI MINORI IN RELAZIONE AI SERVIZI DELLA SOCIETÀ

25

26
Note:
 TRATTAMENTO DI CATEGORIE PARTICOLARI DI

27

m
 n

Note:

TRATTAMENTI RELATIVI A CONDANNE PENALI E

28

29

30
Note:
 TRATTAMENTI CHE NON RICHIEDONO L'IDENTIFICAZI

31

32

33

34

35
Note:

DIRITTI DEGLI INTERESSATI: TRASPARENZA DELLE INF

36
37
 38
39

40

41

42

43

44

45

46

47

48

49

50

Note:
 DIRITTI DELL'INTERESSATO: INFORMAZIONI DA FORNIRE AL MOMENTO DELL'OTTENIM

51

52

53

54

55

56

57

58

59

60

61

62
 63

Note:

DIRITTI DELL'INTERESSATO: INFORMAZIONI DA FORNIRE QUANDO I DATI NON SO

64
65

66
67

68

69

70

71

72
73
 74

75

76
77

78

79

80

81

82

83

84

85

86
87

88

89

90

91

Note:
Note:

DIRITTI DELL'INTERESSATO: DIRITTO DI ACCES

92

93

94

95
96

97

98

99

100

101

102
 103

Note:

DIRITTI DELL'INTERESSATO: DIRITTO DI RETTIF

104

105
Note:
 DIRITTI DELL'INTERESSATO: DIRITTO ALLA CANCELLAZIONE ("D

106

107

108

109

110

111
Note:

DIRITTI DELL'INTERESSATO: DIRITTO ALLA LIMITAZIONE DE

112

113

114
 115

116
Note:

INFORMAZIONI ALL'INTERESSATO IN CASO DI RETTIFICA, CANCELLAZIONE O

117
Note:

DIRITTI DELL'INTERESSATO: DIRITTO ALLA PORTABILI

 118
119
120

121
Note:

DIRITTI DELL'INTERESSATO: DIRITTO DI OPPOSIZ

122

123

124

Note:
 DIRITTI DEGLI INTERESSATI: DECISIONI INDIVIDUALI AUTOMATIZZATE, COMPRESO

125

126

127

128

129

130

131
 132

133

134

135

Note:

RESPONSABILITÀ DEL TITOLARE DEL TRATTAM

136

137
 138

139

140

Note:

PROTEZIONE DEI DATI PER PROGETTAZIONE E PER IMPOSTAZ

141

142

143

144

145
 146

147

Note:

CONTITOLARI DEL TRATTAMENTO

148

149

150

151
Note:
 RESPONSABILE TRATTAMENTO DATI

152

153

154

155

156

157

158

159

160

161
 162

163

164

165

Note:

REGISTRAZIONE DELLE ATTIVITÀ DI TRATTAME

166

167

168
 169

170

171

172

173

174
Note:

SICUREZZA DEL TRATTAMENTO

175
 176

177

178

179

180

181

Note:

NOTIFICA DELLE VIOLAZIONI DELLA SICUREZZA DEI DATI PERSONALI A

 182

183

184

185

186

187

188

189

Note:

COMUNICAZIONE DELLA VIOLAZIONE ALL'INTERE

 190

191

Note:

VALUTAZIONE D'IMPATTO SULLA PROTEZIONE D

192

193

194

195

196
 197

198

199

200

201

202

203

204

205

206
Note:
 RESPONSABILE DELLA PROTEZIONE DEI DA

TRASFERIMENTI A PAESI TERZI O ORGANIZZAZIONI INT

221

222

223

224
 a

h
Note:

220
 220

Conformità Non Conformità

 gg/mm/aaaa

xxxxxxxxx

Descrizione trattamento

PROGETTAZIONE TRATTAMENTI
data processing assessment check lis

LEGENDA
SI: Conforme NO: Non conforme NA: Non applicabile

PRINCIPI DI TRATTAMENTO
I dati personali sono raccolti per scopi specifici, inteso come l'effettuazione di una raccolta con un
maniera indiscriminata o casuale?

I dati personali sono raccolti per finalità esplicite, inteso come definizione di un obiettivo della rac
trasparente agli individui interessati, in modo che siano consapevoli di come e perché i loro dati v

I dati personali vengono raccolti per scopi legittimi, inteso come una raccolta appropriata, valida e

Possono essere ulteriormente trattati in modo da non essere incompatibile con tale finalità?

I dati personali nella fase di raccolta sono esatti, veritieri e pertinenti rispetto agli scopi per i qua

E' prevista una procedura di aggiornamento dei dati personali, qualora nuove necessità si presen
E' stato definito il concetto di "Tempestivamante" nell'ambito del trattamento in oggetto?
I dati personali inesatti rispetto allo scopo vengono cancellati e/o rettificati mediante l'uso di una
 I dati vengono conservati per un periodo non superiore a quello necessario allo scopo, nei casi in
Elaborati a fini di archiviazione nel pubblico interesse.
Sono trattati a scopo di ricerca scientifica.
Sono trattati a fini storici.

I dati personali sono trattati a fini statistici.

Sono state adottate misure di sicurezza, documentabili, per proteggere l'integrità e la riservatezza

Sono state adottate misure di sicurezza, documentabili, contro il trattamento non autorizzato o ill

Sono state adottate misure di sicurezza, documentabili, per prevenire la perdita, la distruzione o i

Viene mantenuta la tracciabilità delle finalità del trattamento?

te:
sss

BASE GIURIDICA DEL TRATTAMENTO

E' stata individuata almeno una corretta base giuridica, come di seguito indicato?
Il consenso viene dato per ogni finalità del trattamento.
Il trattamento è necessario per l'esecuzione di un contratto o di un precontratto.
Esiste un obbligo legale.
 Il trattamento è necessario per proteggere interessi vitali.

Il trattamento è necessario per il soddisfacimento dell'interesse pubblico.

Il trattamento è necessario per soddisfare interessi legittimi.

te:

CONDIZIONI PER IL CONSENSO

E' stata elaborata una procedura dal titolare per poter garantire e dimostrare che l'interessato ha
trattamento?

Si può dimostrare che il trattamento venga effettuato in conseguenza dell'adempimento di un obb

Il consenso viene prestato in una dichiarazione che riguarda altre questioni, risulta essere prestat
distinguibile dalle altre materie?

Il consenso viene richiesto in una forma facilmente accessibile e comprensibile?

Il consenso viene richiesto con un linguaggio chiaro e semplice?

L'Informativa viene fornite prima della richiesta di consenso?

Il consenso può essere revocato con la stessa facilità con cui viene raccolto?

Sono previsti strumenti e mezzi per agevolare la revoca del consenso in qualsiasi momento?
 Si può dimostrare che il consenso sia realmente libero e non condizionato da forme coercitive di r

Per l'erogazione di un un servizio, vengono richiesti solo i dati strettamente necessari?

te:

CONSENSO DEI MINORI IN RELAZIONE AI SERVIZI DELLA SOCIETÀ DELL'INFOR

Il consenso dei minori di 14 anni, viene richiesto al titolare della responsabilità genitoriale (anche
congiunta, nei casi di genitori separati) e della tutela sul minore?

Si verifica che il consenso sia stato dato dal titolare dell'autorità parentale o della tutela sul minor
te:
 TRATTAMENTO DI CATEGORIE PARTICOLARI DI DATI

Il trattamento di dati particolari, avviene in deroga al divieto generale, in base ad una delle condiz

I dati sono trattati con il consenso esplicito e non esistono norme giuridiche che ne vie

È necessario per l'adempimento di obblighi e l'esercizio di diritti specifici nel campo de

sicurezza, nella misura in cui è stabilito dalla normativa di legge.

È necessario per l'adempimento di obblighi e l'esercizio di diritti specifici nel campo de

sicurezza, nella misura in cui esiste un contratto collettivo a norma di legge.

È necessario proteggere gli interessi vitali di una persona e l'interessato non è in grado
prestare il suo consenso.

E' svolto nell'ambito di attività legittime e con le dovute garanzie e richiama esclusivam
passati o a persone che mantengono contatti regolari in relazione alla finalità (politica,
sindacale).

Viene svolta nell'ambito di attività legittime e con le dovute garanzie e non viene comu
degli interessati.

Vengono trattati dati che sono palesemente resi pubblici dall'interessato.

È necessario per la formulazione, l'esercizio o la difesa dei diritti.

È necessario ai fini della medicina preventiva o del lavoro, della valutazione dell'idonei
della diagnosi medica, della fornitura di assistenza o trattamento sanitario o sociale, o
servizi di assistenza sanitaria e sociale.

È necessario per motivi di interesse pubblico nel campo della salute pubblica, sulla bas
prevedono misure appropriate e specifiche per proteggere i diritti e le libertà dell'indiv

È necessario a fini di archiviazione nel pubblico interesse, per scopi di ricerca scientific
sulla base di norme giuridiche.
 Viene effettuato nel rispetto delle condizioni relative al trattamento dei dati genetici, d
alla salute come previsto dalla normativa nazionale.
te:

TRATTAMENTI RELATIVI A CONDANNE PENALI E REATI

I dati sono trattati sotto la supervisione delle autorità pubbliche?

I dati sono trattati in base all'autorizzazione di norme di legge?

Il registro completo delle condanne penali è tenuto sotto il controllo delle autorità pubbliche?
te:
 TRATTAMENTI CHE NON RICHIEDONO L'IDENTIFICAZIONE (art.11)

Vengono conservate informazioni aggiuntive al fine di identificare l'interessato, qualora le finalità

richiedono più, l'identificazione dell'interessato?

Sebbene il titolare non sia obbligato ad acquisire ulteriori informazioni per identificare l'interessat
ugualmente raccolte?

Vengono utlizzati dati non anonimizzati per identificare le persone interessate?

Qualora il titolare decida di non identificare o non identificare più l'interessato, l'interessato è sta

I dati vengono cancellati quando l'interessato viene identificato?

te:

DIRITTI DEGLI INTERESSATI: TRASPARENZA DELLE INFORMAZIONI

Vengono adottate misure per fornire all'interessato tutte le informazioni relative al trattamento?
Le informazioni sono fornite in forma concisa, trasparente e comprensibile?
 Le informazioni sono fornite in un linguaggio chiaro e semplice?
L'Informativa è fornita per iscritto o con altri mezzi, compresi quelli elettronici?

Per l'esercizio dei diritti, all'interessato vengono richieste ulteriori informazioni necessarie per con

L'interessato è agevolato nell'esercizio dei propri diritti attraverso moduli e procedure semplici ed

Le richieste di esercizio dei diritti sono trattate anche se il trattamento non richiede l'identificazion
interessata non possa essere identificata?

In relazione alle procedure elaborate, l'interessato sarà informato entro un mese dal ricevimento

L'informazione viene fornita per l'esercizio di diritti complessi o per molte richieste entro un perio
ricevimento della domanda?

La proroga di tre mesi viene comunicata entro un mese, indicando il motivo del ritardo?

Gli interessati possono esercitare i loro diritti con mezzi elettronici?

Viene privilegiata la segnalazione elettronica quando la richiesta di esercizio viene ricevuta per via
l'utente non richieda che venga effettuata con altri mezzi?

Sono segnalati i motivi del mancato intervento e la possibilità di presentare un reclamo a una auto
vie legali, entro un mese dal ricevimento della richiesta, se non viene dato seguito alla richiesta st

L'esercizio dei diritti è reso agevole ed è gratuito?

Quando le informative si basano su icone standardizzate, queste sono facilmente visibili, e se pre
elettronico, leggibili da dispositivo automatico?
te:
DIRITTI DELL'INTERESSATO: INFORMAZIONI DA FORNIRE AL MOMENTO DELL'OTTENIMENTO DEI DA

L'identità e i dati di contatto del titolare e ove necessario del suo rappresentante, sono forniti ne

Vengono forniti i dati di contatto del titolare della protezione dei dati?

Vengono fornite le finalità del trattamento dei dati personali e la base giuridica del trattamento?

Vengono fornite le informazioni sul legittimo interesse?

Vengono riportate le informazioni sui destinatari o sulle categorie di destinatari?

Vengono fornite informazioni sul periodo di conservazione dei dati personali o sui criteri utilizzati

Vengono fornite informazioni sull'esistenza del diritto di richiedere l'accesso, la rettifica o la cance
trattamento, il diritto di opposizione e il diritto alla portabilità?

Se il trattamento è basato sul consenso, si segnala l'esistenza del diritto di revocarlo in qualsiasi m

Vengono fornite informazioni sul diritto di proporre reclamo a un'autorità di controllo?

Vengono fornite informazioni sugli incarichi in base a requisiti legali o contrattuali?

Vengono segnalati gli incarichi basati su un requisito necessario per la stipula di un contratto?

Viene segnalata l'esistenza di decisioni automatizzate, la profilazione, la logica applicata, il signific

del trattamento?
 Prima di trattare i dati personali per uno scopo diverso da quello per cui sono stati raccolti, l'inter
l'informativa copre tale altra finalità ed ogni altra informazione rilevante?

te:

DIRITTI DELL'INTERESSATO: INFORMAZIONI DA FORNIRE QUANDO I DATI NON SONO STATI OT

Vengono forniti l'identità e i dati di contatto del titolare, se del caso, del suo rappresentante?
Vengono forniti i dettagli di contatto del RPD?

Vengono fornite informazioni sulle finalità del trattamento?

Viene riportata la base giuridica del trattamento?

Sono indicate le categorie di dati personali che si trattano?

I destinatari o le categorie di destinatari dei dati sono informati?

Vengono fornite informazioni sul periodo di conservazione dei dati personali?

Vengono fornite informazioni sui criteri utilizzati per determinare il periodo di conservazione, qua
segnalarlo?

Vengono resi noti gli specifici interessi legittimi su cui si basa il trattamento?
L'interessato è informato del diritto di richiedere l'accesso ai propri dati personali?
 L'interessato è informato del suo diritto di richiedere la rettifica dei propri dati?

L'interessato è informato del diritto di richiedere la cancellazione dei dati?

L'interessato è informato del diritto di limitare il trattamento?

L'interessato è informato del diritto di opporsi al trattamento?

L'interessato è informato del diritto alla portabilità dei dati?

L'interessato è informato dell'esistenza del diritto di revocare il consenso in qualsiasi momento.

L'interessato è informato sul diritto di proporre reclamo a un'autorità di controllo?

Viene indicata la fonte da cui provengono i dati personali?

Se provengono da fonti disponibili al pubblico, questo viene indicato?

Le informazioni rihcieste nell'esercizio dei diritti, vengono fornite entro un mese?

Qualora i dati personali siano utilizzati per comunicazioni con l'interessato, l'informativa è fornita
momento della prima comunicazione?

Qualora si intenda comunicare i dati personali dell'interessato ad altro destinatario, l'interessato v

momento in cui i dati personali vengono comunicati per la prima volta?
L'interessato viene informato se il trattamento viene effettuato per finalità diverse da quelle per c
Le informazioni sono già a disposizione dell'interessato e quindi non viene fornita alcuna informati

Viene indicato se e quando la comunicazione di tali informazioni è impossibile o comporta uno sf

Sebbene non venga fornita l'informativa perché potrebbe rendere impossibile o ostacolare gravem
finalità del trattamento, vengono adottate tutte le misure idonee per tutelare i diritti, le libertà e g
dell'interessato?

Qualora la raccolta o la comunicazione è espressamente prevista da norme di legge applicabile, vi

L'Informativa non è fornita perché i dati personali sono riservati sulla base di un obbligo del segre
da norme di legge?
te:
te:

DIRITTI DELL'INTERESSATO: DIRITTO DI ACCESSO

Vengono fornite informazioni sulle finalità del trattamento?

Si riportano le categorie di dati personali trattati?

Vengono fornite informazioni sui destinatari o sulle categorie di destinatari a cui le informazioni s
comunicate?

Vengono fornite informazioni sul periodo di conservazione previsto per i dati personali?
Vengono riportati i criteri utilizzati per determinare il periodo di conservazione?

L'interessato è informato del suo diritto di richiedere la rettifica o la cancellazione dei propri dati?

L'interessato è informato del diritto di richiedere la limitazione del trattamento dei dati?

L'interessato è informato del diritto di opporsi al trattamento dei dati?

L'interessato è informato sul diritto di proporre reclamo a un'autorità di controllo?

Le informazioni sull'origine dei dati sono fornite quando questi non sono raccolti presso l'interess

Una copia dei dati personali oggetto di trattamento viene fornita su richiesta dell'interessato?
 Le informazioni vengono fornite in un formato elettronico comunemente utilizzato, se richiesto p
non sia previsto un altro mezzo?
te:

DIRITTI DELL'INTERESSATO: DIRITTO DI RETTIFICA

I dati personali inesatti vengono rettificati senza ritardi ingiustificati?

I dati personali incompleti vengono completati tenendo conto delle finalità del trattamento?
te:
 DIRITTI DELL'INTERESSATO: DIRITTO ALLA CANCELLAZIONE ("DIRITTO ALL'O

I dati vengono cancellati quando non sono più necessari per le finalità per cui sono stati raccolti?

I dati vengono cancellati quando viene revocato il consenso su cui si basa il trattamento?

I dati vengono cancellati in caso di opposizione al trattamento?

I dati vengono cancellati quando sono stati trattati illegalmente?

I dati vengono cancellati se richiesto da un obbligo di legge?

I dati vengono cancellati quando sono ottenuti in relazione alla fornitura di servizi della società de
te:

DIRITTI DELL'INTERESSATO: DIRITTO ALLA LIMITAZIONE DEL TRATTAME

Il trattamento è limitato per un periodo di tempo al fine di verificare l'esattezza dei dati, quando l
discussione la sua esattezza?

Il trattamento è limitato quando è illegale e la persona interessata si oppone alla cancellazione de

limitazione del loro utilizzo?

Il trattamento è limitato quando non è necessario per le finalità, ma l'interessato ne ha bisogno p

obiettivi, come formulare, esercitare o difendere richieste di risarcimento?
 Il trattamento è limitato quando la persona interessata si oppone al trattamento mentre si verific
titolare prevalgono su quelli dell'interessato?

L'interessato viene informato della revoca della limitazione del trattamento?

te:

INFORMAZIONI ALL'INTERESSATO IN CASO DI RETTIFICA, CANCELLAZIONE O LIMITAZION

L'interessato viene informato della rettifica, della cancellazione o della limitazione del trattamento
te:

DIRITTI DELL'INTERESSATO: DIRITTO ALLA PORTABILITÀ DEI DATI

 I dati vengono forniti su richiesta dell'interessato in un formato strutturato e di uso comune ed el
I dati sono trasmessi ad un altro titolare del trattamento se il trattamento è basato sul consenso o
I dati vengono trasmessi qualora il trattamento sia effettuato con mezzi automatizzati?

I dati vengono trasferiti al nuovo titolare del trattamento, che l'interessato ha individuato, se tecn
te:

DIRITTI DELL'INTERESSATO: DIRITTO DI OPPOSIZIONE

A fronte di richieste di opposizione, le stesse vengono soddisfatte e cessa l'elaborazione dei dati?

Le richieste di opposizione vengono soddisfatte anche qualora il trattamento non venga interrott
che prevalgono sugli interessi, quali i diritti e le libertà o per la formulazione, l'esercizio o la difesa

I mezzi necessari sono messi a disposizione per consentire all'interessato di esercitare il diritto di
sistema automatizzato?
te:
 DIRITTI DEGLI INTERESSATI: DECISIONI INDIVIDUALI AUTOMATIZZATE, COMPRESO IL TRATTAM

Nessun trattamento che comporti una decisione basata esclusivamente sul trattamento automati
giuridici, viene effettuato?

Viene effettuata un'operazione di trattamento che comporta l'adozione di una decisione basata e
automatizzato e che produce effetti giuridici, in quanto necessaria per la conclusione o l'esecuzion

Vengono effettuate operazioni di trattamento che comportano l'adozione di una decisione basata
trattamento automatizzato e che producono effetti giuridici, perché autorizzati dalla legge?

Vengono effettuate operazioni di trattamento che comportano l'adozione di una decisione basata
trattamento automatizzato e che producono effetti giuridici, perché c'è un consenso esplicito?

Qualora vengano effettuate operazioni di trattamento che comportino una decisione basata esclu
automatizzato e che producono effetti giuridici, vengono adottate misure appropriate per salvagu
interessi legittimi?

Se vengono effettuate operazioni di trattamento che comportano una decisione basata esclusivam
automatizzato e che producono effetti giuridici, vengono adottate misure appropriate per salvagu
l'intervento umano da parte del titolare del trattamento?

Se vengono effettuate operazioni di trattamento che comportano una decisione basata esclusivam
automatizzato e che producono effetti giuridici, vengono adottate misure appropriate per dare all
esprimere il proprio punto di vista e di contestare la decisione?
 Le decisioni individuali automatizzate, compresa la profilazione, sono prese sulla base di categorie
perché è stato ottenuto il consenso della persona interessata?

Le decisioni individuali automatizzate, compresa la profilazione, sono prese sulla base di categorie
quanto esiste un diritto legale a farlo?

Le persone interessate sono informate di queste decisioni individuali automatizzate e dell'abilitaz

individuali, legate al soggetto?

Le decisioni individuali automatizzate, compresa la profilazione, sono prese sulla base di categori
perché sono state adottate misure appropriate per salvaguardare i diritti e le libertà e gli interessi

te:

RESPONSABILITÀ DEL TITOLARE DEL TRATTAMENTO

La natura, l'ambito, il contesto e le finalità del trattamento vengono presi in considerazione al fine
di dimostrare che il trattamento è conforme al GDPR?

Viene considerato il rischio in relazione alla probabilità e gravità per i diritti e le libertà delle perso
 Vengono implementate misure tecniche e organizzative adeguate?

Le misure vengono riviste e aggiornate se necessario?

Sono state elaborate politiche di protezione dei dati?

te:

PROTEZIONE DEI DATI PER PROGETTAZIONE E PER IMPOSTAZIONE PREDE

Le misure tecniche e organizzative appropriate vengono analizzate prima di determinare i mezzi d

Nella progettazione del trattamento si tiene conto di misure tecniche e organizzative adeguate pe

Durante il trattamento, vengono applicate le misure che sono state determinate?

Durante il trattamento viene verificata l'efficacia delle misure applicate?

Sono state attuate misure tecniche e organizzative adeguate per garantire che, per impostazione
solo i dati richiesti per ciascuna delle finalità?
 Le misure tecniche e organizzative sono implementate tenendo conto della quantità di dati perso
trattamento, il periodo di conservazione e l'accessibilità?

Le misure garantiscono che, per impostazione predefinita, i dati non siano accessibili a un numero
senza l'intervento del personale?
te:

CONTITOLARI DEL TRATTAMENTO

Le rispettive responsabilità delle parti contitolari per il rispetto degli obblighi imposti dal GDPR son
trasparente e reciprocamente concordate?
L'accordo stabilisce i rispettivi obblighi di informazione nei confronti dell'interessato?

L'accordo di contitolarità riflette i rispettivi ruoli e rapporti dei contitolari nei confronti degli intere

Gli aspetti essenziali dell'accordo sono disponibili su richiesta?

te:
 RESPONSABILE TRATTAMENTO DATI

Vengono selezionati responsabili che offrono sufficienti garanzie di conformità ai requisiti del GDP
dei diritti degli interessati?

Il responsabile del trattamento utilizza altri responsabili del trattamento esclusivamente autorizz

Il trattamento da parte dell'incaricato del trattamento è disciplinato da un contratto o da un altro

conformità con la normativa vigente?

Il contratto stabilisce l'oggetto, la durata, la natura e la finalità del trattamento, il tipo di dati e le c
nonché gli obblighi e i diritti del titolare del trattamento?

Il contratto prevede che i dati personali siano trattati solo su istruzioni documentate del titolare?

Il contratto garantisce che le persone autorizzate al trattamento dei dati personali si siano impegn
o siano soggetti a un obbligo di riservatezza di natura legale?

Il contratto prevede l'adozione delle necessarie misure di sicurezza?

Il contratto prevede che le condizioni di cui sopra debbano essere rispettate per l'utilizzo di un div

Il contratto prevede che il responsabile del trattamento assista nel rispondere alle richieste che so
diritti degli interessati?

Il contratto prevede la cancellazione o la restituzione dei dati personali al termine della fornitura d
delle copie esistenti, a meno che non sia richiesta la conservazione dei dati personali?
 Il contratto prevede che l'azienda metta a disposizione tutte le informazioni necessarie a dimostra
obblighi previsti, nonché consentire e assistere lo svolgimento di audit e ispezioni da parte del tito
altro revisore autorizzato dal titolare del trattamento?

Il contratto prevede che se il responsabile del trattamento si avvale di un altro responsabile per sv
trattamento per conto del titolare del trattamento, a quest'ultimo vengono imposti gli stessi obbl
previsti dal contratto o da un altro atto legale stabilito in conformità alla legge?

Il contratto è in forma scritta?

L'accesso ai dati avviene solo su istruzione del titolare del trattamento?

te:

REGISTRAZIONE DELLE ATTIVITÀ DI TRATTAMENTO

Viene tenuto un registro delle attività di trattamento?

Il registro contiene il nome e i dati di contatto del titolare, se del caso, del contitolare, del rappres
trattamento e del responsabile della protezione dei dati?

Il registro stabilisce le finalità del trattamento?

 Contiene una descrizione delle categorie di persone interessate e delle categorie di dati personali

Elenca le categorie di destinatari a cui i dati personali sono stati o saranno comunicati?

Comprende i destinatari di paesi terzi o di organizzazioni internazionali?

Indica i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, co

paese terzo o organizzazione internazionale?

Include le scadenze previste per la cancellazione delle categorie di dati?

Include una descrizione generale delle misure tecniche e organizzative adeguate al rischio de i tra
te:

SICUREZZA DEL TRATTAMENTO

Lo stato dell'arte e i costi di implementazione sono presi in considerazione nel determinare le mis
l'ambito, il contesto e le finalità del trattamento, nonché i rischi di varia probabilità e gravità per i
fisiche?
 Vengono applicate misure tecniche e organizzative adeguate per garantire un livello di sicurezza a

Sono state incluse misure per garantire riservatezza, integrità, disponibilità e resilienza, di sistemi

Sono state valutate misure per garantire la capacità di ripristinare la disponibilità e l'accesso ai da
caso di incidente fisico o tecnico?

Esiste una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecnic

Sono stati presi in considerazione i rischi che il trattamento comporta a seguito del suo utilizzo, la
l'alterazione accidentale o illecita dei dati trasmessi, conservati o elaborati, o la comunicazione o l
dati, al fine di valutare il livello di sicurezza applicato?

Sono state adottate misure per garantire che le persone autorizzate ad accedere ai dati abbiano a
l'autorizzazione come da istruzioni?

te:

NOTIFICA DELLE VIOLAZIONI DELLA SICUREZZA DEI DATI PERSONALI ALL'AUTORIT

 È attuata una procedura per identificare e gestire le violazioni della sicurezza?

Esiste una procedura che consente ai responsabili del trattamento di notificare le violazioni all'Au
ne vengono a conoscenza?

Esiste una procedura di notifica all'autorità di vigilanza entro 72 ore?

Esiste una procedura per documentare i motivi per cui non è possibile effettuare la notifica entro

Esiste una procedura che consente di fornire informazioni in modo graduale quando non è possib
simultaneo?

Qualsiasi violazione della sicurezza dei dati personali viene documentata?

La documentazione comprende i fatti relativi, i loro effetti e le misure adottate, azioni correttive in

La procedura di notifica è stata verificata per assicurarne il funzionamento?

te:

COMUNICAZIONE DELLA VIOLAZIONE ALL'INTERESSATO

 Esiste una procedura per segnalare la violazione senza ritardi ingiustificati quando è probabile che
per i diritti e le libertà?

La comunicazione alla persona interessata è effettuata con un linguaggio chiaro e semplice, descr
dimensioni e le modalità di intervento?

te:

VALUTAZIONE D'IMPATTO SULLA PROTEZIONE DEI DATI

Viene richiesto il parere dell' RPD?

Una DPIA viene effettuata sulle operazioni di trattamento incluse nell'elenco pubblicato dall'autor

La DPIA comprende una descrizione sistematica delle operazioni di trattamento previste e delle fi
caso, il legittimo interesse perseguito?

E' stata elaborata una valutazione della necessità e della proporzionalità (LIA) delle operazioni di e
suo scopo?

La DPIA include una valutazione dei rischi di impatto sui diritti e le libertà dell'interessato?
 Include le misure previste per dimostrare la conformità al GDPR, tenendo conto dei i diritti e gli in
interessati e delle altre persone coinvolte?

Include le misure previste per affrontare i rischi, le salvaguardie e i meccanismi per assicurare la p

La DPIA viene rivista ogni volta che è necessario e ogni volta che si verifica una variazione dei risch

L'autorità di controllo viene consultata prima del trattamento quando una DPIA dimostra che, se n
mitigazione, il rischio è elevato?

Le rispettive responsabilità delle persone coinvolte nel trattamento nella consultazione sono ripor

In fase di consultazione preventiva, vengono fornite informazioni sulle finalità e sui mezzi del tratt

In fase di consultazione preventiva, vengono fornite informazioni sulle misure e le salvaguardie m

diritti e le libertà?

In fase di consultazione preventiva, vengono forniti i dati di contatto del responsabile della protez

La valutazione d'impatto viene inclusa?

In caso di consultazione, vengono fornite tutte le informazioni supplementari richieste dall'autorit

te:
 RESPONSABILE DELLA PROTEZIONE DEI DATI

TRASFERIMENTI A PAESI TERZI O ORGANIZZAZIONI INTERNAZIONAL

I trasferimenti vengono effettuati a paesi, o settori di essi, o a organizzazioni internazionali, dichia

Europea ad un livello adeguato di protezione?

Viene monitorata la validità delle decisioni di adeguatezza della Commissione Europea?

I trasferimenti sono effettuati mediante garanzie adeguate che assicurano alle parti interessate i d
legali, fra cui:

Esiste uno strumento giuridico vincolante ed esecutivo tra le autorità o le agenzie.

Esistono regole aziendali vincolanti.

Esistono clausole standard di protezione dei dati adottate dalla Commissione.

Esistono clausole standard di protezione dei dati adottate da un'autorità di vigilanza e approv

Esiste un codice di condotta e impegni vincolanti ed esecutivi nel Paese terzo, per consentire
misure di salvaguardia.

Esistono un meccanismo di certificazione e impegni vincolanti ed esecutivi nel paese terzo ch

adeguate salvaguardie

Esistono clausole contrattuali che richiedono l'approvazione preventiva dell'autorità di vigilan

Esistono accordi amministrativi tra le autorità pubbliche e gli enti pubblici che incorporano di
effettivi ed esigibili per gli stakeholder.

I trasferimenti internazionali vengono effettuati in assenza di una decisione di adeguatezza della C

adeguate garanzie, di cui:
 Il consenso esplicito dell'interessato è disponibile ed egli è stato informato del potenziali risch

Sono necessari per l'esecuzione di un contratto con la parte interessata o per l'esecuzione di m
su richiesta dell'interessato.

Sono necessari per la formulazione, l'esercizio o la difesa dei diritti.

Sono necessari per la tutela degli interessi vitali dell'interessato o di altre persone, se l'interes
proprio consenso.

Interessi legittimi impellenti.

Interessa un numero limitato di soggetti interessati e non è ripetitivo.

Sono state valutate tutte le circostanze e sono state fornite garanzie appropriate.

L'autorità di controllo è stata informata.

te:

220
 220

Conformità Non Conformità

 g
e
n
e
r
a
l
e

c
r
i
t
e
r
i

SI 0 ###

NO 13 ###
NA 0 ###
13 ###

NO ###

NO ###
X
NO ###
O
NO ###

NO ###

NO ###
NO ###
NO ###
 NO ###
O ###
O ###
O ###

O ###

NO ###

NO

NO

NO

100.00%
SI NO
###
###
###
###
NO SI 0 ###
O NO 1 ###
O NA 0 ###
O 1 ###
O

###

NO
SI 0 ###
NO
NO 10 ###
NO
NA 0 ###
NO ###
10
NO ###

NO ###

NO ###

NO
 NO

NO

100.00%
SI NO

SI
SI 2 ###
SI
NO 0 ###
NA 0 ###
2

100.00%
SI NO
NO
SI 0 ###

O
NO 1 ###
O
NA 0 ###

O
1

O
 O

NO
SI 0 ###
NO
NO 3 ###
NO
NA 0 ###
3

100.00%
SI NO
 100.00%
SI NO

NO
SI 0 ###

NO
NO 5 ###
NO
NA 0 ###

NO
5
NO

166.67%
SI NO

NO SI 0 ###
NO NO 15 ###
 NO NA 0 ###
NO 15
NO

NO

NO

NO

NO

NO

NO

NO

NO

NO

NO

100.00%
SI NO
 100.00%
SI NO

ERESSATO.

NO
SI 0 ###
NO NO 13 ###
NO
NA 0 ###

NO
13
NO

NO

NO

NO

NO

NO

NO

NO
 NO

100.00%
SI NO

ATO.
NO SI 0 ###
NO NO 28 ###
NO NA 0 ###
NO 28

NO

NO

NO

NO

NO
NO
NO

NO

NO
NO

NO

NO

NO

NO

NO

NO

NO

NO

NO
NO

NO

NO

NO

NO
 100.00%
SI NO

###

NO SI 0 ###
NO
NO 12 ###

NO
NA 0 ###
NO 12
NO

NO

NO

NO

NO

NO

NO
 NO

100.00%
SI NO

NO SI 0 ###
NO
NO 2 ###
NA 0 ###
2

100.00%
SI NO
 NO SI 0 ###
NO NO 6 ###
NO
NA 0 ###
NO
6
NO

NO

100.00%
SI NO

NO
SI 0 ###

NO
NO 5 ###

NO
NA 0 ###
 NO
5
NO

100.00%
SI NO

NO
SI 0 ###
NO 1 ###
NA 0 ###
1
 NO SI 0 ###
NO NO 4 ###
NO
NA 0 ###
NO 4

100.00%
SI NO

NO SI 0 ###

NO
NO 3 ###

NO
NA 0 ###
3
 100.00%
SI NO

NALI.

NO
SI 0 ###

NO
NO 11 ###

NO
NA 0 ###

NO
11

NO

NO

NO
 NO

NO

NO

NO

100.00%
SI NO

NO
SI 0 ###
NO
NO 5 ###
 NO
NA 0 ###
NO
5

NO

100.00%
SI NO

NO
SI 0 ###

NO
NO 7 ###

NO
NA 0 ###
NO
7

NO
 NO

NO

100.00%
SI NO

NO
SI 0 ###
NO NO 4 ###
NO NA 0 ###
NO
4

100.00%
SI NO
 100.00%
SI NO

NO
SI 0 ###
NO
NO 14 ###

NO
NA 0 ###

NO
14
NO

NO

NO

NO

NO

NO
 NO

NO

NO

NO

100.00%
SI NO

NO
SI 0 ###

NO
NO 9 ###
NO
NA 0 ###
 NO
9

NO

NO

NO

NO

NO

100.00%
SI NO

NO

SI 0 ###
 NO
NO 7 ###

NO
NA 0 ###

NO
7

NO

NO

NO

100.00%
SI NO
 NO
SI 0 ###

NO
NO 8 ###
NO
NA 0 ###
NO
8

NO

NO

NO

NO

100.00%
SI NO
 NO
SI 0 ###

NO
NO 2 ###
NA 0 ###
2

100.00%
SI NO

NO
SI 0 ###
NO NO 15 ###

NO
NA 0 ###
NO
15

NO
 NO

NO

NO

NO

NO

NO

NO

NO

NO

NO

100.00%
SI NO
NO
SI 2 ###

NO
NO 2 ###

SI
NA 0 ###
X
4

SI
 O

50.00%

SI NO

224 ###
4 1.79%
220 ###
 LEGENDA

Valore Descrizione

SI Conformità - Punto di controllo applicato

NO Non conformità - Punto di controllo non applicato
NA Non applicabile - Punto di controllo fuori scopo
O Specifica punto di controllo non selezionata
X Specifica punto di controllo selezionata

ISTRUZIONI OPERATI

1) Compila il carteggio introduttivo relativo al trattamento

2) Per ogni processo definisci quale punto di controllo è applicato (SI), non applic

Alcuni punti di controllo sono specifiche relative al trattamento in valutazione

3) con (O)

4) Per processi con punti di controllo maggiori di 1 è presente un grafico che illus

5) Verifica il summary finale in coda alla checklist per implementare misure corre
 LEGENDA

Note

Impatta sulla distribuzione esiti

Impatta sulla distribuzione esiti
Impatta sulla distribuzione esiti
Non impatta sulla distribuzione esiti
Non impatta sulla distribuzione esiti

STRUZIONI OPERATIVE

pplicato (SI), non applicato (NO), non applicabile (NA)

amento in valutazione e potrai selezionarle con (X) o altrimenti lasciarle deselezionate

ente un grafico che illustra gli esiti

ementare misure correttive idonee

 CONDIZIONI DI UTILI

La checklist è stata realizzata sulla base delle indicazioni fornite dal documento

La checklist è coperta dalla licenza Attribuzione 4.0 I

CONDIZIONI DI UTILIZZO

ni fornite dal documento Listado De Cumplimiento Normativo elaborata dall'AEPD.

enza Attribuzione 4.0 Internazione di Creative Commons.