Valutazioni d’impatto sulla protezione dei dati (DPIA): guida per i titolari del trattamento dei dati che utilizzano TGSpeedy by SIRIO Informatica sas.

Ai sensi del Regolamento generale sulla protezione dei dati (GDPR), i titolari del trattamento dei dati sono tenuti a preparare una valutazione d’impatto sulla protezione dei dati (DPIA) per il trattamento di operazioni che “potrebbero comportare un rischio elevato per i diritti e le libertà delle persone fisiche”. Non esiste alcun elemento intrinseco in TGSpeedy che richieda necessariamente la creazione di una DPIA da parte di un titolare del trattamento dei dati che lo usa. La necessità di una DPIA dipenderà piuttosto dai dettagli e dal contesto relativo alle modalità con cui il titolare del trattamento dei dati distribuisce, configura e usa TGSpeedy. In ogni caso, una DPIA dovrebbe iniziare nella fase iniziale di un progetto ed essere eseguita in parallelo al processo di pianificazione e sviluppo.

L’obiettivo di questa pagina è di fornire informazioni riguardanti TGSpeedy ai titolari del trattamento dei dati per aiutarli a determinare se è necessaria una DPIA e, in tal caso, quali dettagli includere.

Parte 1: determinare se è necessaria una DPIA

L’articolo 35 del RGPD prevede che un titolare del trattamento dei dati crei una valutazione d’impatto sulla protezione dei dati (DPIA) “laddove un tipo di elaborazione, in particolare utilizzando le nuove tecnologie e tenendo conto della natura, della portata, del contesto e delle finalità dell’elaborazione, rischi di comportare un rischio elevato per i diritti e le libertà delle persone fisiche”. Stabilisce, inoltre, particolari fattori che indicherebbero un rischio così elevato, i quali sono discussi nella seguente tabella. Per determinare se sia necessaria una DPIA, un titolare del trattamento dei dati dovrebbe considerare questi fattori, insieme a qualsiasi altro fattore rilevante, alla luce delle specifiche implementazioni e degli usi di TGSpeedy da parte del titolare del trattamento dei dati.

Fattore di rischio elevato Informazioni rilevanti su TGSpeedy
Una valutazione sistematica ed approfondita degli aspetti personali relativi alle persone fisiche che si basano su un trattamento automatizzato, inclusa la profilatura e su cui si basano decisioni che producono effetti giuridici riguardanti la persona fisica o che influiscono in modo analogo in modo significativo sulla persona fisica.

I servizi di TGSpeedy non sono progettati per eseguire l’elaborazione su cui si basano decisioni che producono effetti legali o altrettanto significativi sui singoli utenti.

Tuttavia, poiché TGSpeedy è un servizio altamente personalizzabile, un titolare del trattamento dei dati potrebbe potenzialmente configurare i servizi di TGSpeedy da usare per tale elaborazione. I controller devono effettuare questa determinazione in base all’utilizzo di TGSpeedy.

Trattamento su larga scala di categorie speciali di dati (dati personali che rivelano origini razziali o etniche, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale e trattamento di dati genetici, dati biometrici per identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all’orientamento sessuale di una persona fisica) o di dati personali relativi a condanne e reati penali.

TGSpeedy non è progettato per elaborare categorie speciali di dati personali su larga scala.

Tuttavia, un titolare del trattamento dei dati potrebbe usare TGSpeedy per elaborare le categorie speciali di dati enumerate. TGSpeedy è un servizio altamente personalizzabile che consente al cliente di tenere traccia o elaborare in altro modo i dati personali, incluse categorie speciali di dati personali. Tuttavia, in qualità di responsabile del trattamento dei dati, SIRIO Informatica sas non ha alcun controllo né alcuna conoscenza di tale utilizzo. Spetta al titolare del trattamento dei dati determinare gli usi appropriati dei dati del titolare del trattamento dei dati.

Monitoraggio sistematico di un’area pubblicamente accessibile su vasta scala.

TGSpeedy non è progettato per condurre o facilitare tale monitoraggio su larga scala.

Tuttavia, un titolare del trattamento dei dati potrebbe usare TGSpeedy per elaborare i dati raccolti tramite tale monitoraggio. TGSpeedy è un servizio altamente personalizzabile che consente al cliente di tenere traccia o elaborare in altro modo qualsiasi tipo di dati, inclusi i dati di monitoraggio. Tuttavia, in qualità di responsabile del trattamento dei dati, SIRIO Informatica sas non ha alcun controllo né alcuna conoscenza di tale utilizzo. Spetta al titolare del trattamento dei dati determinare gli usi appropriati dei dati del titolare del trattamento dei dati.

Parte 2: contenuto di una DPIA

L’articolo 35, paragrafo 7, del GDPR impone che una valutazione dell’impatto sulla protezione dei dati specifichi le finalità del trattamento e una descrizione sistematica del trattamento previsto. Una descrizione sistematica di una DPIA completa può includere fattori come i tipi di dati elaborati, la durata della conservazione dei dati, la posizione e il trasferimento dei dati e le terze parti che possono avere accesso ai dati ed essere supportati da un diagramma del flusso di dati. La DPIA deve inoltre includere:

  • Una valutazione della necessità e della proporzionale delle operazioni di trattamento in relazione alle finalità;
  • Una valutazione dei rischi per i diritti e le libertà delle persone fisiche; e
  • Le misure previste per affrontare i rischi, tra cui misure di sicurezza, misure di sicurezza e meccanismi per garantire la protezione dei dati personali e dimostrare il rispetto del presente regolamento tenendo conto dei diritti e degli interessi legittimi degli interessati e di altre persone interessate.

La tabella seguente contiene informazioni su TGSpeedy rilevanti per ognuno di questi elementi. Come nella parte 1, i titolari del trattamento dei dati devono prendere in considerazione i dettagli forniti nella tabella, insieme ad altri fattori rilevanti, nel contesto delle implementazioni e degli usi specifici del titolare del trattamento di TGSpeedy.

Elemento di una DPIA Informazioni rilevanti su TGSpeedy
Scopi dell’elaborazione

Gli scopi dell’elaborazione dei dati utilizzando TGSpeedy sono determinati dal titolare del trattamento dei dati che lo implementa, configura e utilizza.

SIRIO Informatica sas, in qualità di responsabile del trattamento dei dati, elabora i dati dei clienti per fornire al cliente i servizi online in base alle istruzioni documentate del cliente stesso.

SIRIO Informatica sas usa anche i dati personali per supportare un set limitato di operazioni aziendali.

SIRIO Informatica sas è responsabile del trattamento dei dati personali per supportare queste specifiche operazioni aziendali. In genere, SIRIO Informatica sas aggrega i dati personali prima di usarli per le operazioni aziendali, rimuovendo la capacità di SIRIO Informatica sas stessa di identificare individui specifici e usando i dati personali nel formato meno identificabile che supporterà l’elaborazione necessaria per le operazioni aziendali.

SIRIO Informatica sas non userà i dati dei clienti o le informazioni derivate da esso per profilatura o per scopi pubblicitari o commerciali simili.

Nota: TGSpeedy è una piattaforma cloud online per l’elaborazione costituita da diversi Servizi online discreti, ognuno dei quali ha scopi distinti di elaborazione. Le descrizioni di ogni offerta di servizio di TGSpeedy sono disponibili sul nostro sito WEB in base alla versione e la personalizzazione desiderata del prodotto.

TGSpeedy elabora i dati personali solo per fornire ai clienti i propri Servizi online inclusi scopi compatibili con la fornitura di tali servizi, ad esempio personalizzazione, sicurezza, prevenzione di frodi e malware, risoluzione dei problemi e miglioramento.

Categorie di dati personali trattati

Dati del cliente: tutti i dati, inclusi tutti i file di testo, audio, video o immagine e il software, forniti a SIRIO Informatica sas da o per conto di un cliente tramite l’uso del servizio TGSpeedy. I dati dei clienti includono sia informazioni identificabili degli utenti finali (ad esempio, nomi utente e informazioni di contatto) che contenuto del cliente caricato o creato da un cliente in TGSpeedy.

Dati generati dal servizio: si tratta dei dati generati o derivati da SIRIO Informatica sas tramite il funzionamento del servizio TGSpeedy, ad esempio dati sull’uso o sulle prestazioni. La maggior parte di questi dati contiene identificatori pseudonimi generati da SIRIO Informatica sas.

Dati di supporto: si tratta di dati forniti a SIRIO Informatica sas da o per conto del cliente (o che il cliente autorizza SIRIO Informatica sas a richiedere a un servizio online) attraverso un’interazione con SIRIO Informatica sas per ottenere supporto tecnico per i servizi online.

Conservazione dei dati SIRIO Informatica sas conserva ed elabora i dati dei clienti durante il diritto del cliente di utilizzare il servizio TGSpeedy e fino a quando tutti i dati del cliente non vengono recuperati dal cliente o eliminati in conformità con le condizioni del Contratto di attivazione e l’informativa GDPR. Durante il periodo di sottoscrizione del cliente, il cliente ha la possibilità di accedere ed estrarre i dati archiviati in TGSpeedy. SIRIO Informatica sas conserverà i dati dei clienti archiviati nel servizio online in un account secondo le condizioni sottoscritte in fase di attivazione. Il cliente può eliminare i dati personali in qualsiasi momento durante il periodo di validità della sottoscrizione TGSpeedy o inoltrare richiesta di cancellazione completa e quindi interruzione del servizio a SIRIO Informatica sas.
Ubicazione e trasferimento dei dati personali Il cloud di SIRIO Informatica sas risiede in Italia ed è sotto il pieno controllo della medesima.
Oltre agli impegni di SIRIO Informatica sas in base alle clausole contrattuali Standard per i responsabili del trattamento e al contratto di attivazione di TGSpeedy, SIRIO Informatica sas rispetta le condizioni del GDPR.
Condivisione dei dati con terze parti responsabili del trattamento SIRIO Informatica sas può condividere i dati con terze parti che fungono da subprocessori (come definito nel GDPR) per supportare funzioni come il supporto tecnico e del cliente, la manutenzione dei servizi e altre operazioni. Tutti i subprocessori a cui SIRIO Informatica sas trasferisce i dati dei clienti, i dati del supporto tecnico o i dati personali avranno stipulato contratti scritti con SIRIO Informatica sas che prevedono le stesse garanzie previste dalle linee guida del GDPR
Diritti del soggetto interessato

Quando opera come responsabile del trattamento, SIRIO Informatica sas mette a disposizione del cliente (noto anche come titolare del trattamento dei dati) i dati personali dei suoi interessati e la capacità di soddisfare le richieste degli interessati quando questi esercitano i propri diritti ai sensi del GDPR. SIRIO Informatica sas lo fa in modo coerente con la funzionalità del prodotto e con il suo ruolo di responsabile del trattamento dei dati.  Se SIRIO Informatica sas riceve una richiesta da parte degli interessati del cliente di esercitare uno o più dei propri diritti ai sensi del GDPR, la richiesta viene reindirizzata al titolare del trattamento dei dati.

Le richieste da parte di un interessato di esercitare diritti ai sensi del GDPR per i dati personali elaborati per supportare i processi aziendali legittimi devono essere indirizzate a SIRIO Informatica sas, come chiarito nell’Informativa sulla privacy della medesima.

SIRIO Informatica sas aggrega in genere i dati personali prima di usarli per le operazioni aziendali e non è in grado di identificare i dati personali per un individuo specifico nell’aggregazione. Questa azione riduce il rischio per la privacy per l’individuo. Se SIRIO Informatica sas non è in grado di identificare la persona, non può supportare i diritti dell’interessato per l’accesso, la cancellazione, la portabilità o la restrizione o l’obiezione all’elaborazione.

Una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione agli scopi

Tale valutazione dipende dalle esigenze e dagli scopi del trattamento del titolare del trattamento.

SIRIO Informatica sas adotta misure quali l’aggregazione dei dati personali usati da SIRIO Informatica sas per supportare le operazioni aziendali per supportare la fornitura dei servizi, riducendo al minimo il rischio di tale trattamento per gli interessati che utilizzano il servizio.

Per quanto riguarda il trattamento effettuato da SIRIO Informatica sas, tale trattamento è necessario e proporzionale per fornire i servizi al titolare del trattamento dei dati.

Una valutazione dei rischi per i diritti e le libertà del soggetto dei dati

I rischi principali per i diritti e le libertà degli interessati derivanti dall’uso di TGSpeedy dipenderanno da come e in quale contesto il titolare del trattamento dei dati implementa, configura e usa TGSpeedy.

SIRIO Informatica sas adotta misure quali l’aggregazione dei dati personali usati da SIRIO Informatica sas stessa per supportare le operazioni aziendali per supportare la fornitura dei servizi, riducendo al minimo il rischio di tale trattamento per gli interessati che utilizzano il servizio.

Tuttavia, come per gli altri servizi, i dati personali trattenuti nel servizio potrebbero essere a rischio di accesso non autorizzato o divulgazione involontaria. Le misure adottate da SIRIO Informatica sas per affrontare tali rischi sono illustrate nella dichiarazione di conformità al GDPR e nel contratto di attivazione del prodotto.

Le misure previste per affrontare i rischi, comprese le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e per dimostrare la conformità al GDPR, tenendo conto dei diritti e degli interessi legittimi dell’interessato e di altre persone

SIRIO Informatica sas si impegna a proteggere la sicurezza dei dati dei clienti.

SIRIO Informatica sas rispetta rigorosi standard di sicurezza e una metodologia di protezione dei dati all’avanguardia. SIRIO Informatica sas sta migliorando continuamente i suoi sistemi per far fronte a nuove minacce.

SIRIO Informatica sas adotta misure tecniche e organizzative adeguate e ragionevoli per tutelare i dati personali che elabora. Queste misure includono, a titolo esemplificative, le politiche e le procedure interne sulla privacy, gli impegni contrattuali e le certificazioni standard internazionali e regionali.

SIRIO Informatica sas fornisce materiale significativo e trasparente per la sicurezza e la privacy per i clienti per spiegare l’uso e l’elaborazione dei dati personali da parte di SIRIO Informatica sas. I clienti sono invitati a contattare SIRIO Informatica sas per eventuali domande.

Inoltre, quando SIRIO Informatica sas agisce come responsabile del trattamento dei dati, è conforme alle disposizioni del GDPR applicabili ai responsabili del trattamento dei dati.

Quando SIRIO Informatica sas elabora i dati personali per le proprie operazioni aziendali, è conforme agli obblighi GDPR che si applicano ai titolari del trattamento dei dati.