Guida Completa ActaPrivacy
ACTAPRIVACY
SOFTWARE MULTIUTENTE
GESTIONE SISTEMA PRIVACY UE GDPR 2016/679
GUIDA COMPLETA
Qualificato AGID e ACN Marketplace, Certificato Level 1: Self-Assessment
NOVITÁ 2025 IN EVIDENZA
Registro dei trattamenti: selezionabile il "Presupposto giuridico" del trattamento ex art. 9 del GDPR
Sulle schede del Registro dei trattamenti, nella sezione “Dati Art. 9 e 10 GDPR” riservata ai dati sensibili e giudiziari, è stato aggiunto, oltre al “DETTAGLIO DATI PARTICOLARI”, anche il “PRESUPPOSTO GIURIDICO DI LEGITTIMITÀ EX ART. 9”
Stampe parziali Registri del trattamento per U.O.R.
Questo aggiornamento nasce dall’esigenza di stampare o visualizzare le schede dei trattamenti eventualmente raggruppate sulla base delle UOR, ove valorizzate, che compongono l’organizzazione.
Quando viene creata una scheda per il trattamento dati, è possibile indicare la U.O.R., l’Unità Operativa Responsabile (Es. Personale, Contabilità, ecc. sulla base delle aree operative che costituiscono l’organizzazione).
Come novità, è ora stata inserita la possibilità di stampare il Registro delle attività di trattamento del Titolare e/o del Responsabile, filtrato per U.O.R.
Nella Dashboard del titolare del trattamento, cliccare sul menù in alto sull’icona di stampa.
Qui, selezionare il Registro di proprio interesse da stampare, (del Titolare, del Responsabile o entrambi) e si aprirà nella parte sottostante una finestra con la possibilità di selezionare eventualmente in un menù a tendina la UOR di interesse, qualora si voglia appunto stampare solo le schede del Registro che fanno riferimento alla UOR selezionata.
Altra opzione che si può usare in modalità complementare o alternativa è quella che permette di stampare tutte le schede filtrate e/o solo quelle che riportano soggetti autorizzati assegnati.
Stampa e visualizzazione Schede Registri trattamento per U.O.R. e soggetti autorizzati
C’è la possibilità di filtrare le Schede per U.O.R.
Cliccando nel menù di sinistra su “Registro Trattamenti Titolare”, poi su Schede nella schermata centrale principale, è ora possibile filtrare le schede presenti per U.O.R. in un menù a tendina, e/o mostrare in un altro menù a tendina tutte le schede o solo quelle dove sono indicati dei soggetti autorizzati.
Adempimenti e Verifiche Globale - Filtri
Nel menù a tendina evidenziato dallo screenshot è possibile filtrare e scegliere se visualizzare gli adempimenti inviati a tutti gli utenti, compresi i disattivati, o solo gli attivi.
1. NUOVO REGOLAMENTO PRIVACY UE GDPR 2016/679
Dal 25 maggio 2018 è operativo il GDPR (General Data Protection Regulation) o RGPD per l’abbreviazione italianizzata del Regolamento UE n. 2016/679 per la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Per chi contravviene alle nuove disposizioni sono previste sanzioni fino a 20 milioni di euro o al 4% delle entrate annuali, se superiore.
Per dimostrare l’attuazione delle misure richieste dal nuovo Regolamento UE, compliance, Actainfo ha realizzato il software web based ACTAPRIVACY per la gestione degli adempimenti in materia di protezione dei dati personali previsti dal GDPR n. 2016/679.
1.1 CARATTERISTICHE OPERATIVE
L’applicativo web service in cloud di gestione della Privacy, conforme alle disposizioni del nuovo Regolamento UE, costituisce un sistema di gestione volto a documentare la attività relative agli obblighi di sicurezza dei dati personali dell’organizzazione.
Il software ha le seguenti caratteristiche operative:
1) Applicativo web service mono e multiaziendale, multiutente con accesso concorrente, per la gestione degli adempimenti privacy a carico dell’ente, azienda, professionista, accessibile al Titolare del trattamento, ai suoi designati, ai soggetti autorizzati e, se nominato, al Responsabile della protezione dei dati (RPD-DPO) anche da tablet e smartphone in ambiente mobile friendly.
Eseguito l’accesso al software, le diverse sezioni che lo compongono sono riportate sul Menu di sinistra da selezionare sulla base dell’operazione da svolgere.
Ogni singola sezione è a sua volta suddivisa in sottosezioni, accessibili da pulsanti centrali. Selezionando il pulsante di sinistra si accede all’area descrittiva della normativa e delle operazioni da svolgere. Selezionando il pulsante di destra, si accede alla parte operativa.
2) Rilevamento e gestione degli adempimenti necessari a comprovare le misure tecniche e organizzative adottate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali è effettuato conformemente al nuovo Regolamento UE, c.d. principio dell’”Accountability” in capo al Titolare/Responsabile del trattamento dei dati. Dette misure sono riesaminate e aggiornate, come previsto dal GDPR, senza prevedere intervalli prestabiliti di aggiornamento.
3) Gestione dei soggetti che si occupano del Trattamento dei dati personali Titolare, Contitolare, Referente, Responsabile, Autorizzato, DPO/RPD, relative Nomine, Organigramma con inserimento automatico dei soggetti nelle schede del Registro delle attività di trattamento. Gestione dei soggetti non più operativi presso l’Organizzazione.
4) Gestione del Registro delle attività di Trattamento del Titolare con creazione illimitata e indicizzazione delle schede relative alla singola tipologia di raccolta e trattamento dei dati personali, condivisione e aggiornamento multiutente.
5) Gestione del Registro delle attività di Trattamento del Responsabile con creazione illimitata e indicizzazione delle schede relative alla singola tipologia di raccolta e trattamento dei dati personali per conto del Titolare, condivisione e aggiornamento multiutente.
6) Predisposizione, gestione e registrazione di informative, consensi, moduli e atti (ad es. Nomine Responsabili del trattamento) conformi alle nuove disposizioni stabilite dagli articoli 7 e seguenti del Nuovo Regolamento UE – GDPR.
7) Gestione di un piano di sicurezza con le procedure organizzative interne da adottare nella gestione di eventuali violazioni dei dati – Data breach. Notifiche e comunicazioni al Garante della privacy, a altre autorità nazionali e ai soggetti del trattamento. Compilazione del Registro dei data breach.
8) Sviluppo dell’analisi dei rischi derivanti dal trattamento dei dati personali DPIA – Data Protection Impact Assessment.
9) Elaborazione di Piani per il Disaster Recovery e la Continuità operativa con disponibilità di modelli precompilati.
10) Gestione di check list per gli audit iniziali e ricorrenti con modelli di riferimento.
11) Registrazione dati sulla Videosorveglianza.
12) Registrazione dati sulla Formazione del personale in materia di protezione dei dati personali.
13) La sezione Pseudonimizzazione costituisce una misura tecnica e organizzativa adeguata (conosciuta come privacy by design), stabilita dagli artt. 25 e 32 del GDPR, volta ad attuare in modo efficace i principi di protezione dei dati personali. La funzionalità, a uso dei soggetti autorizzati all’accesso alla piattaforma, permette di ottenere lo pseudonimo della persona fisica soggetto di un trattamento che contiene dati sensibili o giudiziari.
14) Gestione di messaggi e-mail, inclusa la posta elettronica certificata, che consente la Conservazione sostitutiva automatica del Registro delle attività di trattamento e di tutta la documentazione prodotta, assegnando una data certa agli adempimenti eseguiti.
15) Sono integrate nella piattaforma la normativa, i tools di utilità, con le funzioni di archiviazione e stampa dei file in formato pdf periodicamente generati.
16) Gestione della messaggistica istantanea attraverso lo scambio di note personali, uso memo, e condivise tra i soggetti con diritto di accesso alla piattaforma.
17) Creazione e gestione di Liste per categorie di Titolari del trattamento che svolgono la stessa attività (Es. Commercialisti, Medici, Comuni) con creazione, gestione e clonazione di template – modelli – di schede per i diversi trattamenti dei dati personali che compongono il Registro delle attività di trattamento a norma del regolamento UE GDPR n. 2016/679.
Disponibili oltre 150 template di schede precompilate per Aziende, Enti, Università, Collegi, Comuni da utilizzare per redigere il Registro delle attività di trattamento a norma del regolamento UE GDPR n. 2016/679.
18) Aggiornamento della piattaforma sulla base delle disposizioni emanate in materia di protezione dei dati personali dalla UE e dalle Autorità nazionali.
19) Registrazione dei LOG per il monitoraggio degli accessi e delle attività svolte dai soggetti autorizzati all’inserimento dei dati nell’applicativo Actaprivacy, in conformità del GDPR.
20) Inserimento numero illimitato di trattamenti dei dati personali.
21) Spazio riservato per l’archiviazione dei dati.
1.2 CARATTERISTICHE TECNICHE
Il servizio annuale prevede:
- L’utilizzo della piattaforma web in cloud con connessione sicura https, protetta con certificato SSL con crittografia a 256 bit.
- Server dedicato al servizio con spazio riservato al singolo Ente.
- Utenti utilizzatori autorizzati con accesso concorrente.
- Piattaforma accessibile da Login, con l’attribuzione di credenziali personali.
- Backup remoto giornaliero automatico su server dedicato al servizio.
- Assistenza trouble ticketing 24h.
- Start up attivazione, configurazione e management della piattaforma.
- Cron notturno e controllo messaggi di posta alle ore 5.00 e alle ore 14.00.
2. ACCESSO ACTAPRIVACY
Il servizio web è accessibile ad un link personalizzato creato per ogni ente, azienda, consulente.
L’URL da digitare sul browser (Chrome, Firefox, Edge, Safari, ecc.) per l’accesso è: https://privacyue.cloud/
Per accedere all’applicativo inserire le credenziali fornite dal servizio di supporto Actainfo e cliccare sul tasto
azzurro Log in.
NB: È possibile attivare l’autenticazione a due fattori. L’autenticazione a 2 fattori costituisce un ulteriore livello di sicurezza per assicurare che solo il soggetto accreditato possa accedere al suo account.
Il servizio è disponibile sia per il produttore amministratore, sia per l’utente operatore/visualizzatore ed è opzionale con possibilità di successiva attivazione/disattivazione.
3. CRUSCOTTO PRODUTTORE
Una volta effettuato l’accesso si entra nel Cruscotto Produttore, proprietario della piattaforma, dove saranno inseriti i Titolari del trattamento creati dal DPO/Consulente/Organizzazione attraverso la funzione “Nuovo Titolare del trattamento”.
La piattaforma Multi Aziendale, mette a disposizione le seguenti funzioni che saranno illustrate nei riquadri successivi facendo riferimento al numero che le contraddistinguono.
Funzione 1 – Il tasto Nuovo Titolare del trattamento apre un pop-up (vedi immagine a destra) dove inserire il nome del nuovo Titolare del trattamento, attivare la sezione allo stesso dedicata, ed eventualmente Aggiunge il Titolare a un gruppo attivato per le comunicazioni massive (Cfr.1. Invio Adempimenti e Verifiche a Gruppi di Titolari)
Funzione 2 – Il tasto Nuovo Utente permette di registrare altri utenti cui si intende dare i diritti di visualizzatore o operatore per conto di un determinato Titolare del trattamento.
Si apre un pop-up (vedi immagine sotto) che permette di aggiungere e gestire gli utenti che possono visualizzare o operare nella piattaforma. Nei campi devono essere inseriti il nome dell’utente, l’e-mail, la password di accesso, scegliere se sarà operatore (quindi potrà inserire dati e lavorare su tutte le funzioni) oppure visualizzatore (potrà visualizzare, stampare e utilizzare la funzione di pseudonimizzazione). Infine, si deve selezionare il Titolare del trattamento cui si intende assegnare l’utente attivato.
Funzione 3 – Nella barra superiore vengono indicati i dati della piattaforma: quante sezioni titolari del trattamento sono state attivate in base al proprio piano acquistato (ad es. in questo caso sono state attivate 5 sezioni titolari del trattamento su un massimo di 10 sezioni attivabili); quanti utenti sono stati registrati (ad es. in questo caso 2 utenti su 10 attivabili); la scadenza della licenza della piattaforma.
Funzione 4 – I riquadri individuano i vari Titolari del trattamento attivati dal Produttore permettendo l’accesso alle relative sezioni evidenziandone il nome, il numero di utenti attivati, lo spazio in Kb utilizzato per archiviare i dati sulla piattaforma Actaprivacy e un contatto telefonico del Titolare del trattamento.
Funzione 5 – Per accedere alla singola sezione del Titolare del trattamento cliccare sul tasto verde Accedi.
Funzione 6 – Il tasto giallo Gestisci apre un pop-up (vedi immagine sotto) che permette di modificare il nome della sezione intestata al Titolare del trattamento, disattivare/sospendere la piattaforma o eliminarla definitivamente.
Funzione 7 – Nella barra superiore del Cruscotto produttore, cliccando sull’icona contraddistinta con il numero 7, si accede al pannello di gestione utenti (vedi immagine in basso) dove è possibile:
- Visualizzare tutti gli utenti registrati, il loro contatto e-mail, il ruolo attivo e per quale piattaforma di Titolare del trattamento è stato attivato
- Modificare i dati dell’utente o le funzionalità attivate
- Modificare la password utente
- Eliminare l’utente
Funzione 8 – Nella barra superiore del Cruscotto produttore, cliccando sull’icona contraddistinta con il numero 8, si accede alla sezione Gestione Template. In questa sezione si possono aggiungere template – modelli di schede – che poi saranno disponibili sulle piattaforme dei singoli titolari del trattamento. Il Template si costruisce dalla finestra pop-up inserendo tutti i dati che dovranno apparire precompilati, salvo successiva modifica da apportare nella scheda del Registro dei trattamenti delle attività.
Si potranno anche realizzare “Liste personalizzate per categoria” contenenti i template personali creati per titolari del trattamento che esercitano lo stesso tipo di attività.
Es.: se è stato realizzato un Registro dei trattamenti per il Titolare del trattamento Studio commerciale Rossi Armando, le relative schede che lo costituiscono possono essere inserite in una “Lista personalizzata per categoria di titolari del trattamento” che sarà denominata “Studio commerciale” e conterrà tutti i template che, successivamente saranno utilizzati per la creazione del Registro dei trattamenti dello Studio commerciale Bianchi, Verdi, ecc. con tutte le schede già predisposte per il settore Studi commerciali.
Nella lista personalizzata potranno essere inseriti anche altri template già esistenti nell’applicativo, creati per altre liste di categorie.
Ogni template – modello di scheda – creato, confluirà nella sezione Gestione Template e potrà essere copiato (duplicato), modificato o eliminato.
I template – modelli di scheda – sono suddivisi per categoria di titolari del trattamento o, se non viene creata una lista di categoria specifica, confluiranno nella sezione generica Senza Categoria.
Funzione 8 a) – Per creare una Nuova Categoria riservata a una lista per titolari del trattamento che esercitano lo stesso tipo di attività, selezionare il tasto verde Nuova Categoria.
Funzione 8 b) – Per modificare il nome di una categoria o eliminarla, cliccare sul tasto azzurro Gestisci categorie
Funzione 8 c) – Per creare un nuovo template – modello di scheda da utilizzare nel Registro delle attività di trattamento – selezionare il tasto verde Nuovo Template.
Nella finestra pop-up si potranno inserire tutti i dati della scheda, partendo dalla Categoria, l’oggetto, la descrizione, la necessità del consenso. Al termine della compilazione di tutti i campi, cliccare su Aggiungi per creare la scheda ed inserirla nella categoria di appartenenza.
Cliccando sulla nuova scheda creata (Es. Gestione clienti), si potranno inserire gli ulteriori dati della scheda template che si riferiscono ai campi utili ad identificare il trattamento e le caratteristiche della raccolta.
Funzione 9 – Nella barra superiore del Cruscotto produttore, cliccando sull’icona contraddistinta con il numero 9, si accede alla funzione Gestione Template Informative, Consensi e Moduli. Questa funzione permette di creare dei template personalizzati di Informative, Consensi e moduli disponibili per tutti i Titolari del trattamento, creare a gestire le categorie (ad es. Azienda, Comune, Ente, ASL, Avvocato, Medico, ecc…oppure Nomine, Atti e moduli).
Cliccando sull’icona (9) si accederà all’interfaccia di gestione della funzione.
Funzione 9a. Per creare un nuovo template Informative, Consensi e moduli che sarà disponibile per tutti i Titolari del Trattamento cliccare su Nuovo Template
- Selezionare una categoria
- Inserire il titolo dell’informativa, consenso, modulo
- Inserire il testo
- Cliccare sul tasto Aggiungi per creare un nuovo template utilizzabile da tutti i Titolari del trattamento (oppure cliccare sul tasto chiudi per annullare)
Funzione 9b. Tutte le informative, consensi e moduli possono essere raggruppati per tipologia di Titolare, ad es: Avvocato, Azienda, Comune, Ente pubblico, ecc… Per creare una nuova Categoria, cliccare su Nuova Categoria ed assegnare un nome (in questo caso Categoria TEST 2)
Una volta cliccato su Aggiungi, si formerà una nuova categoria che potrà essere rinominata o cancellata e dove si potranno gestire tutti i relativi template
Funzione 9c. Ogni categoria può essere gestita cliccando si Gestisci Categorie. Ogni Categoria di template potrà essere rinominata o eliminata
Funzione 9d. Ogni template di informativa, modulo, consenso sarà poi gestibile all’interno dell’elenco.
Ad esempio: cliccando su informativa test 2.1, il pop up permetterà di modificare la Categoria di appartenenza, il titolo o la Descrizione.
Funzione 9e. È presente anche un tasto “cerca” per effettuare una ricerca di tipologia e titolo di informativa, modulo, consenso.
Nb. In questa sezione template è possibile inserire ogni tipologia di Modulo o Atto con Categoria generica: ad es: Nomine Responsabile del Trattamento dati
Funzione 10 – Nella barra superiore del Cruscotto produttore, cliccando sull’icona contraddistinta con il numero 10, si accede al pannello globale di visualizzazione delle comunicazioni Adempimenti e Verifiche spedite con messaggi a mezzo e-mail e PEC – Posta Elettronica Certificata.
In questa sezione si possono visualizzare tutte le comunicazioni inviate o annotate nella sezione Adempimenti e Verifiche di tutti i Titolari del trattamento.
Funzione 10a – Invia un nuovo adempimento a due o più Titolati del trattamento con un singolo invio grazie alla funzione di invio massivo a gruppi. Per inviare una comunicazione a più Titolari del Trattamento, occorre creare un nuovo messaggio.
- Campi Email: riempire i campi email. Nel campo “A”, selezionare un gruppo comunicazioni precedentemente creato.
- Utilizzare Intestazione Predefinita: spuntare la casella se si vuole utilizzare l’intestazione personalizzata per ogni Titolare inserito nel gruppo. (L’intestazione si riferisce al campo “Referenti”, impostabile all’interno di ogni piattaforma -> Adempimenti e verifiche -> Imposta Dati).
- Corpo messaggio
- Allegati
- Metodo di invio: è possibile selezionare uno oppure entrambi i metodi di invio: Email Ordinaria e/o PEC.
- Invia messaggio
NB: Ogni comunicazione inviata attraverso la funzione di Invio Adempimenti e Verifiche massivo andrà a confluire nalla sezione Adempimenti e Verifiche dedicata a ogni singolo Titolare del trattamento.
Funzione 10b Crea un gruppo comunicazioni– Per inviare una comunicazione a più Titolari del Trattamento, occorre creare un gruppo di invio massivo ed eventualmente modificare un gruppo precedentemente creato.
Una volta creati gruppi, è possibile effettuare invii massivi per tipologia di gruppi creati.
Funzione 10c Modifica un gruppo comunicazioni– Per modificare un gruppo precedentemente creato.
Infine, nella sezione si può selezionare la visualizzazione per tipologia di adempimento o per Titolare del trattamento nei box Cerca Adempimento o Seleziona Ente. Si possono stampare tutte le comunicazioni attraverso il pulsante Stampa o esportare il file in formato .csv completo di tutte le comunicazioni di adempimenti e verifiche inviate cliccando sul pulsante Esporta Csv, così da avere un database gestibile in locale sul proprio PC esternamente alla piattaforma anche su foglio excel con i filtri di ricerca.
Funzione 11 – Nella barra superiore del Cruscotto produttore, cliccando sull’icona busta contraddistinta con il numero 11, si accede alla sezione dedicata alle comunicazioni ricevute o inviate sulla piattaforma. Per effettuare l’azione ricevi e scaricare le comunicazioni ricevute delle email configurate, occorre cliccare sul tasto viola Controlla Messaggi Ricevuti *** Funzione disponibile e visibile solo se attivata (per attivazione e gestione vedi Cap. 19 COMUNICAZIONI)
Funzione 11a – Nel menu superiore si accede alla sezione Posta Inviata/Ricevuta Globale cliccando sull’icona busta. Da questa sezione è possibile cercare, visualizzare e filtrare le email inviate e ricevute tramite posta ordinaria e PEC su tutti i Titolari del trattamento. Cliccando su Posta Inviata, si dovrà poi selezionare che tipo di invio (se comunicazione inviata tramite email o tramite PEC). In questa sezione si troveranno anche gli invii effettuati da Adempimenti e Verifiche.
Per controllare le comunicazioni ricevute sulla piattaforma, cliccare su Posta Ricevuta, in questa sezione si troveranno tutte le Comunicazioni ricevute sulla piattaforma. Per cercare una comunicazione per testo o per cliente, utilizzare i filtri di ricerca. Cercando, ad esempio, per testo del messaggio “test”, si otterranno tutte le comunicazioni filtrate per testo.
Funzione 12 – Nella barra superiore del Cruscotto produttore, cliccando sull’icona (?) contraddistinta con il numero 11, si accede alla guida online. La guida è consultabile da qualsiasi sezione della piattaforma ed è accessibile anche dal fondo del menu di sinistra.
La guida è consultabile da qualsiasi sezione della piattaforma ed è accessibile anche dal fondo del menu di sinistra.
Selezionando l’icona tachimetro, penultima sulla parte destra della barra superiore, si torna al cruscotto (dashboard) con la possibilità di selezionare un altro Titolare del Trattamento sul quale operare per gli adempimenti privacy.
Funzione 13 – Nella barra superiore del Cruscotto produttore, cliccando sull’icona contraddistinta con il numero 13, si esce dalla piattaforma.
4. ATTIVAZIONE TITOLARE DEL TRATTAMENTO
1- Dopo aver attivato un nuovo Titolare del trattamento (cfr. cap 3, funzione 2), accedere alla sezione Titolare del trattamento vuota e selezionare Inizia.
2- Inserire i dati del Titolare del trattamento azienda/ente/professionista e selezionare Avanti
3- Inserire i dati del Titolare del Trattamento e selezionare Avanti
4- Ove nominato, inserire i dati del DPO/RPD (Responsabile della Protezione dei Dati) e selezionare Avanti
5- Compare la pagina riassuntiva dei dati inseriti
4.1 Duplicare un Titolare con stesso registro dei trattamenti
Si comincia dal Cruscotto:
- Creare categoria template su Gestione Template Schede (da Cruscotto)
- Nuova categoria -> dare un nome -> aggiungi
- Andare su Titolare che si intende clonare
- Andare su Registro trattamenti Titolare
- Andare su Schede
- Cliccare su Salva come template
- Selezionare la categoria creata precedentemente
- Selezionare le schede desiderate
- Cliccare su Salva
- Tornare su Cruscotto
- Cliccare su Nuovo Titolare del trattamento -> dare un nome -> aggiungi
- Accedere al titolare appena creato
- Eseguire la procedura di configurazione della piattaforma riservata al nuovo titolare (nome titolare, nome dpo, ecc)
- Andare su Registro trattamenti Titolare
- Andare su Schede
- Cliccare su Template Scheda
- Selezionare la categoria creata precedentemente
- Selezionare le schede da aggiungere (tutte oppure alcune)
- Cliccare su Aggiungi
- Attendere la creazione delle schede sul Registro del nuovo Titolare
La stessa procedura funziona anche per il Registro Trattamenti Responsabile (quando l’organizzazione è stata anche nominata da altri titolari Responsabile del trattamento ex art. 28 GDPR).
Inoltre, è possibile creare dei template per le Informative da Cruscotto -> Gestione Template Informative, Consensi e Moduli. In questo modo si avranno a disposizione per tutti i nuovi Titolari del trattamento.
5. ADEMPIMENTI GDPR TITOLARE DEL TRATTAMENTO
Effettuato il Login si entrerà nella piattaforma Actaprivacy del singolo Titolare del trattamento. Si potranno effettuare inserimenti e avere a disposizione tutte le funzioni necessarie per la gestione della Privacy a norma del GDPR UE n. 2016/679.
Da questa pagina il soggetto accreditato ha una visione completa delle operazioni che si possono svolgere nelle seguenti cinque aree:
Area 1 – Menu laterale di sinistra con tutte le funzioni dell’applicativo:
- L’Organigramma Privacy con tutti i soggetti interessati e gli asset
- Il Registro delle attività di trattamento del Titolare
- Il Registro delle attività di trattamento del Responsabile
- Le informative e i consensi con i relativi moduli, le nomine, gli atti e i moduli, il Registro delle informative e dei
consensi - La sezione Data Breach
- La sezione dedicata alle analisi dei rischi DPIA
- La sezione dedicata alla continuità operativa e disaster recovery
- La raccolta degli Audit – Auditing
- La sezione dedicata alla videosorveglianza
- La sezione dedicata ai dati sulla formazione del personale in ambito privacy
- La normativa privacy di riferimento
- L’area comunicazioni e verifiche
- Le certificazioni utili per la compliance al GDPR
- La sezione per la data certa e l’accesso alla conservazione degli adempimenti ai sensi del DPCM 3/12/2013
- La funzione di pseudonimizzazione dei dati personali
- Il collegamento diretto alla Guida Actaprivacy online
Area 2 – L’area superiore – un menù rapido sempre visibile (cfr. Cap. 22. MENU SUPERIORE e successivi), con collegamenti alle funzioni di:
- Home/cruscotto
- Archivio
- Stampa
- block-notes
- Videoconferenza dedicata
- log con registrazione delle attività di accesso e operazioni compiute
- Impostazioni dei dati di base del Titolare del trattamento
- Guida Actaprivacy online
Area 3 Sul menu superiore l’icona tachimetro, seconda da destra, permette di tornare al Cruscotto Produttore
Si ritorna alla visualizzazione del cruscotto che riporta la situazione generale con:
– il numero dei titolari del trattamento attivati
– il numero degli utenti complessivamente attivati
– la scadenza della piattaforma
– la denominazione delle organizzazioni titolari del trattamento attivate con relativi accessi e gestione (cfr. Cap.3. CRUSCOTTO PRODUTTORE e LOGOUT)
Area 4 La freccia, è l’icona di log-out per uscire dalla piattaforma.
Area 5 Nella sezione centrale in alto si trovano tutti i dati del Titolare del Trattamento, inseriti in fase di creazione.
Area 6 Mette in evidenza con icone e testi descrittivi le stesse funzioni all’Area 2, cui si rimanda.
Area 7 Dal menu centrale di Accesso Rapido, si accede alle 4 ultime funzioni del software utilizzate.
Area 8 Rappresentazione grafica dei dati sulle schede utilizzate nel Registro delle attività di trattamento e dei soggetti componenti l’Organigramma della privacy
Area 9 Evidenzia il livello di sicurezza dell’account su Actaprivacy attraverso notizie sull’aggiornamento della password e sull’attivazione dell’autenticazione a 2 fattori, con le azioni da intraprendere per rendere più sicuro l’account.
Area 10 Dà accesso veloce alla guida on line e alla richiesta di supporto, inoltre riporta l’elenco delle ultime attività svolte registrate nella funzione di Log.
6. ORGANIGRAMMA PRIVACY GDPR E ASSET
La gestione dell’organigramma permette di ottenere una visione generale di tutti i soggetti che partecipano attivamente al trattamento dei dati personali dell’organizzazione Titolare del trattamento.
6/a Importante: caratteristica generale valida per tutte le funzioni della piattaforma
Ogni sezione è suddivisa in 2 parti alle quali si accede selezionando i due pulsanti orizzontali, uno a sinistra e uno a destra.
La parte sinistra permette di accedere alle descrizioni, per riportare i riferimenti normativi e le immagini.
La parte destra permette di accedere alle parti operative per il caricamento e la gestione dei dati.
A sinistra, selezionando il tasto “Organigramma Privacy”, si accede alla parte descrittiva.
Selezionando il tasto “+Aggiungi” si apre una finestra che permette di inserire:
– Titolo
– Immagine
– Descrizione
– Indirizzo link
– Testo visualizzato Link
6.1 VISUALIZZA SOGGETTI DEL TRATTAMENTO
1 – In questa sezione sono elencati tutti i soggetti del trattamento suddivisi per tipologia:
- Titolare del trattamento e DPO
- Organizzazione
- Contitolare
- Amministratore di Sistema
- DPO/RPD Responsabile della protezione dati
- Autorizzati/Istruiti al trattamento
- Designati, Referenti
- Responsabili del trattamento esterni (art. 28 GDPR)
- DPO/RPD Responsabile della protezione dati del Titolare esterno del trattamento
- DPO/RPD Responsabili della protezione dati del Responsabile del trattamento
- Rappresentante responsabile extra UE
- Sub responsabile del trattamento
2 – Selezionando i soggetti si possono visionare in pop-up tutti i dati relativi e, eventualmente, anche eventuali file caricati con i dati di nomina, curriculum, ecc.
3 – Cliccando sul nome del soggetto (link), si apre una finestra in pop-up dove è possibile reperire tutte le informazioni e i file caricati in merito al soggetto.
4 – Tramite il tasto verde Carica file è possibile caricare file relativi al soggetto direttamente dal proprio computer, oppure per collegare un file precedentemente caricato nell’archivio Actaprivacy, cliccare sul tasto Allega da Archivio. Tutti i file collegati al soggetto saranno elencati come link.
5A – Per modificare i dati registrati, cliccare sul tasto blu Modifica. Per proseguire e ritornare sulla finestra principale, cliccare sul tasto grigio Chiudi.
5B – Per duplicare il soggetto e tutti i suoi dati relativi così da poter gestire eventuali archiviazioni senza perdere l’associazione delle schede per il ruolo ricoperto (ad es: se Bianchi che tratta i dati per le schede 1,2 3 e 4 viene sostituito da Rossi che ha il suo stesso incarico, basterà duplicare Bianchi, e modificare il nome Bianchi con Rossi, mentre l’altro soggetto Bianchi potrà essere archiviato). Questa funzione permette di intestare gli stessi Asset e Schede al soggetto subentrante e di archiviare quello non più in servizio con gli Asset e schede che utilizzava
5C – Se il soggetto non è più operativo presso l’ente è sconsigliabile eliminarlo. In questo caso, si consiglia di annotare in rosso nella descrizione l’attuale posizione nell’organizzazione (pensionato, trasferito, ecc.) e utilizzare il tasto grigio Archivia che inserirà il soggetto nella sezione Archivio soggetti non più operativi (vedi paragrafo Gestisci soggetti autorizzati non più operativi). Il soggetto non sarà più visibile tra i soggetti autorizzati ma sarà rintracciabile in un elenco predisposto nell’Archivio oppure nella ricerca tramite filtro.
6 – Selezionando il menu a tendina Schede del Titolare, si possono vedere tutte le schede in cui il soggetto è stato associato e, quindi, tutte le tipologie di trattamento cui partecipa il soggetto nelle schede del Titolare. Cliccando sul nome della scheda si accede direttamente alla scheda.
7 – Se viene attivato anche il Registro dei Trattamenti del Responsabile, le schede assegnate saranno visibili (e linkate) nella sezione del menu a tendina Schede del Responsabile.
8 – Con la funzione Stampa Schede Soggetto verranno stampate solo le schede relative al soggetto presenti sul Registro dei Trattamenti. Il file stampato sarà disponibile in Archivio.
6.2 INSERISCI SOGGETTI DEL TRATTAMENTO
Per inserire, modificare o gestire i dati nella sezione Organigramma e Asset sono disponibili le seguenti Funzioni:
Funzione 1 – Per aggiungere un soggetto del trattamento cliccare sul tasto Aggiungi.
Si aprirà una finestra pop-up dove inserire tutti i dati del soggetto, la sua funzione principale (Designato, Autorizzato, Responsabile, ecc…), la Descrizione (utile ad es. per specificare ruoli, attività, scadenze o nomine) e gli Hardware e software utilizzati dal soggetto.
Cliccare sul tasto verde Aggiungi e il soggetto verrà inserito nella sezione
Funzione 2 – Una volta creato il soggetto, il nominativo verrà elencato nella sezione soggetti. Cliccando sul nome del soggetto in azzurro (link) è possibile visualizzare tutte le informazioni del soggetto.
Inoltre, è possibile:
2a- caricare file relativi al soggetto caricandoli da computer o, se già presenti sulla piattaforma, dall’archivio. I file caricati saranno visualizzati in azzurro (link) e si potranno eliminare cliccando sulla x.
2b- Archiviare un soggetto non più nell’organico dell’organizzazione (vedi paragrafo 6.3)
2c- Duplica soggetto: per duplicare il soggetto e tutti i suoi dati relativi così da poter gestire eventuali archiviazioni senza perdere l’associazione delle schede per il ruolo ricoperto (ad es: se Bianchi che tratta i dati per le schede 1,2 3 e 4 viene sostituito da Rossi che ha il suo stesso incarico, basterà duplicare Bianchi, e modificare il nome Bianchi con Rossi, mentre l’altro soggetto Bianchi potrà essere archiviato). Questa funzione permette di intestare gli stessi Asset e Schede al soggetto subentrante e di archiviare quello non più in servizio con gli Asset e schede che utilizzava.
2e-per modificare i dati del soggetto.
Funzione 3 – Per stampare la sezione organigramma e asset con l’elenco di tutti i soggetti del trattamento.
Funzione 4– Il tasto Schede del Titolare è una funzione per tenere sotto controllo tutte le schede del Registro delle attività di Trattamento del Titolare in cui sono inseriti i vari soggetti.
Cliccando sul pulsante si avrà a disposizione l’elenco delle schede in cui è presente il soggetto.
I link blu sono le schede cui è attribuito il soggetto del trattamento. Cliccando sull’icona matita, si potranno attribuire o cancellare dal soggetto le varie schede attivate nel registro dei trattamenti del Titolare.
Funzione 5 – Il tasto Schede del Responsabile ha lo stesso funzionamento del precedente ma è valido per il Registro dei Trattamenti del Responsabile del trattamento.
Funzione 6 – Il tasto azzurro Stampa Schede Soggetto permette di fare una stampa in formato pdf delle schede relative al soggetto e di tutti i dati ad esso riferiti.
Funzione 7 – Il tasto grigio Archivia permette consultare l’archivio dei Soggetti non più attivi nell’Organizzazione. (vedi funzione successiva)
Funzione 8 – I filtri Cerca Nome, Cerca Ruolo e Cerca Schede, permettono di ricercare in base alle proprie esigenze i Soggetti registrati sulla piattaforma, sia se operativi sia se non più operativi (quindi archiviati) ma precedentemente registrati.
Funzione 9 – È possibile inserire anche un soggetto già utilizzato per altri titolari del trattamento presenti nella piattaforma ActaPrivacy: se per altro titolare si è già registrato stesso soggetto, può essere richiamato da questa funzione senza doverlo creare ex-novo.
6.3 GESTISCI SOGGETTI AUTORIZZATI NON PIU’ OPERATIVI (archivio)
Per gestire i seggetti autorizzati che non fanno più parte dell’Organizzazione (pensionamento, trasferimento, licenziamento) e tenere traccia del trattamento dati effettuato, nella sezione Organigramma e Asset vi è l’area Archivio Soggetti non operativi.
Una volta cliccato sul tasto Grigio (Vedi Funzione 7) Archivio, si accede all’archio dei soggetti autorizzati non più in ruolo presso il Titolare
Si consiglia di inserire in rosso tutte le informazioni per avere riscontro immediato dei dati relativi al soggetto.
Si ricorda che sono attive tutte le funzioni di:
- Filtro per nome, ruolo o relativa scheda
- Stampa tutti i soggetti archiviati (per avere l’elenco di tutti i soggetti che non operano più nell’organizzazione e tutti i dati registrati)
- Schede del titolare assegnate quando erano operativi presso l’organizzazione
- Schede del responsabile assegnate quando erano operativi presso l’organizzazione
- Stampa schede soggetto
NB: Per ritornare alla sezione dei soggetti autorizzati, cliccare sul tasto Organigramma.
7. REGISTRO ATTIVITÀ DI TRATTAMENTO TITOLARE
Nella sezione Introduzione sono inserite spiegazioni e riferimenti normativi sul Registro delle attività di trattamento del Titolare. Nella sezione Schede sono inserite tutte le schede attive nel registro e ogni titolo blu è un link di accesso alla singola scheda.
7.1 VISUALIZZAZIONE REGISTRO ATTIVITÀ DI TRATTAMENTO TITOLARE
Nella sezione Schede sono elencate tutte le schede attivate nel Registro con la data di ultimo aggiornamento di ogni singola scheda.
Selezionare la singola scheda da visionare, ad esempio la prima:
Personale – Gestione del rapporto di lavoro del personale impiegato a vario titolo.
Funzione 1 – Nella sezione iniziale della scheda sono raccolti tutti i dati della stessa con la descrizione del trattamento, la data di creazione e di ultimo aggiornamento della scheda.
Funzione 2 – Il menu laterale a destra permette di navigare all’interno della scheda ed è visualizzabile sempre.
Funzione 3 – Per ritornare alla sezione principale con l’indice delle schede, cliccare il pulsante in alto blu “Schede”.
Funzione 4 – Nella sezione Soggetti sono riportati tutti i soggetti del trattamento suddivisi per Titolare, DPO, ConTitolare, Designati, Autorizzati, Responsabili, Sub Responsabili, Rappresentanti dei Responsabili Extra UE, DPO dei Responsabili.
Funzione 5 – Nella sezione finalità sono raccolte rilevanti finalità di interesse pubblico perseguite dal trattamento e fonti normative di riferimento GDPR n. 2016/679: Articolo 5 principi applicabili al trattamento di dati personali e Articolo 6 Liceità del trattamento.
Funzione 6 – Sezione della scheda dedicata alle misure tecniche e organizzative adottate per il trattamento.
Funzione 7 – In questa sezione della scheda vengono elencate le categorie di dati personali interessati al trattamento:
– dati personali comuni (vita personale, informazioni economiche e finanziarie, dati di connessione, dati sulla posizione)
– dati particolari, precedentemente definiti sensibili e giudiziari (dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona GDPR n. 2016/679: Articolo 9 trattamento di categorie particolari di dati personali; Articolo 10 trattamento dei dati personali relativi a condanne penali e reati.
Nelle note si possono indicare i termini di cancellazione.
Funzione 8 – In questa sezione vengono indicate le categorie di persone fisiche interessate al trattamento (Es.: Dipendenti, cittadini, ecc.).
Funzione 9 – In questa sezione vengono indicate le operazioni eseguite sui dati riportati nella scheda che possono essere su supporto di tipo cartaceo o elettronico e sono: la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento, la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione dei dati.
Funzione 10 – Richiesta del consenso al trattamento dei propri dati personali ai sensi degli Articoli 7 e 8 – Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione.
Funzione 11 – Sezione in cui è inserita l’informativa relativa al trattamento in base agli Articoli 13, Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato, e 14, Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato, del GDPR n. 2016/679.
Funzione 12 – Nella sezione della scheda dedicata alla conservazione sono indicate le modalità di conservazione dei dati: Limite di tempo previsto per la conservazione a norma GDPR n. 2016/679 Art. 5 lett. e) I dati personali devono essere “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»)”.
Funzione 13 – Nella sezione Destinatari sono elencati tutti i destinatari del trattamento cioè la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali.
Funzione 14 – Questa sezione viene compilata in caso di trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del GDPR, la documentazione delle garanzie adeguate.
Funzione 15 – Nella sezione finale della scheda è riportata l’Analisi dei rischi. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Nell’ultima sezione DPIA – Data Protection Impact Assessment – vi è il link alle analisi del rischio eseguite. Le DPIA costituiscono una approfondita valutazione di impatto sui rischi per i trattamenti di dati particolari (ex sensibili) e giudiziari.
La DPIA a norma del GDPR viene proposta, come raccomandato dal Garante privacy, utilizzando il software gratuito del CNIL, presente su ActaPrivacy alla voce STRUMENTI.
In questa sezione si possono archiviare i DPIA e le analisi dei rischi a norma ISO 27001, eseguite per il trattamento dei dati personali riportato nella scheda, utilizzando il tool online realizzato da ENISA, Agenzia europea per la sicurezza delle reti e dell’informazione.
Tra i link è riportato quello dal quale accedere al software di ENISA. Ulteriori link, ritenuti utili possono essere aggiunti.
7.2. Crea o elimina una NUOVA SCHEDA nel REGISTRO ATTIVITÀ DI TRATTAMENTO TITOLARE
Per inserire una nuova scheda esistono 2 modalità:
MODALITÀ A – Creare tutti i campi ritenuti necessari e definirne i contenuti;
MODALITÀ B – Utilizzare template già strutturati e parzialmente precompilati (per la compilazione vedi funzione 7 del cap. 7.3 per la creazione di un nuovo template vedi cap 3 funzione 7).
MODALITÀ C – Creare un template con una scheda preesistente, utilizzarla come da modalità B;
MODALITÀ A – Creare tutti i campi ritenuti necessari e definirne i contenuti;
Per creare nuove schede, cliccare sul tasto Aggiungi nuova scheda. Si aprirà una finestra pop-up dove inserire tutti i dati principali della nuova scheda.
Nella finestra aperta (pop-up) inserire l’Oggetto cioè il titolo della scheda, la Descrizione del trattamento, la Data di creazione della scheda come da normativa, l’UOR (Unità Operativa Responsabile) per la pubblica Amministrazione o ufficio responsabile per i soggetti privati, selezionare se il consenso è richiesto e, al termine, cliccare su Aggiungi per memorizzare.
MODALITÀ B – Utilizzare un template già strutturato e parzialmente precompilato (per la compilazione vedi funzione 7 del cap. 7.3 per la creazione di un nuovo template vedi cap 3 funzione 7).
Grazie alla presenza di numerosi template suddivisi per categoria (ad es. medici, comuni, aziende, avvocati, enti, ecc.) è possibile caricare delle schede parzialmente precompilate e velocizzare il completamento del Registro dei Trattamenti. È possibile caricare sia una singola scheda template o tutte le schede template presenti nel database, per poi eliminare eventuali schede non necessarie.
Per conoscere il contenuto dei template cliccare sul tasto anteprima.
Per scaricare il template:
- Selezionare una categoria ad es. “Azienda” (o altra ritenuta più adatta alle proprie necessità)
- Selezionare l’importazione di tutte le schede del Template della categoria “Azienda” o altra prescelta
- Eliminare eventuali schede della lista Template importata che non si utilizzano. È possibile anche lasciare tutte le schede del Template in previsione di future raccolte di dati.
MODALITÀ C – Utilizzare una scheda già creata e presente sulla piattaforma, clonandola con la funzione Salva come Template. Poi seguire la procedura della MODALITÀ B.
7.3. Inserisci o modifica dati nel REGISTRO ATTIVITÀ DI TRATTAMENTO TITOLARE
Nella sezione Registro della Attività di Trattamento del Titolare sono presenti le schede sui trattamenti dei dati effettuati dal Titolare.
Nella sezione Schede, pulsante a destra, si trova l’indice con l’elenco di tutte le schede attive nel Registro delle Attività di Trattamento del Titolare.
Funzione 1 –Accedi alla scheda – Il Titolo della scheda è il link di accesso alla scheda stessa. Cliccando sul titolo della scheda la stessa si apre. Ogni voce della scheda è modificabile e integrabile (vedi paragrafo precedente)
Funzione 2 – Stampa singola scheda – Per stampare ogni scheda singolarmente, cliccare sull’icona stampa
Funzione 3 – Duplica scheda – Se si ritiene che una scheda, cambiando l’intestazione ed eventualmente pochi ulteriori dati, possa essere utilizzata anche per un altro trattamento dei dati personali sullo stesso registro dei trattamenti sul quale si sta operando, è possibile duplicare la scheda.
Funzione 4 – Modifica dati scheda – I dati principali della scheda possono essere modificati cliccando sulla relativa icona.
Si apre una finestra pop-up in cui si possono inserire/modificare l’oggetto (il titolo) della scheda, la data di creazione, la descrizione, l’ufficio di riferimento e se il consenso è richiesto o meno. Per salvare i dati, cliccare su modifica.
Funzione 5 – Elimina scheda – Per eliminare la scheda cliccare sull’icona cestino.
Funzione 6 – Crea nuova scheda -(Vedi paragrafo precedente 7.2 modalità A) Per creare una nuova scheda occorre cliccare sul pulsante Crea Nuova Scheda. Si aprirà così una finestra pop-up in cui inserire i dati principali della scheda
Funzione 7– Crea nuova scheda da template – (Vedi paragrafo precedente 7.2 modalità B) Per una compilazione più veloce del Registro, è possibile utilizzare delle schede template, con i campi già definiti e parzialmente precompilate, disponibili sulla piattaforma.
Funzione 7A– Salva scheda come template – Selezionando le schede, si possono creare dei template
Una volta creata una nuova scheda, la scheda presenterà tutte le sezioni da compilare (nel menu di navigazione della scheda a destra, in rosso, una volta che saranno compilati diventeranno verdi).
La scheda creata avrà una sezione superiore con tutti i dati principali inseriti in fase di attivazione scheda.
Funzione 8– Nella sezione dei Soggetti del trattamento il Titolare e il DPO del Titolare verranno aggiunti di default poiché sono voci fisse fino alla durata della carica (sono stati inseriti all’attivazione della piattaforma e possono essere modificati vedi CAP. 4 e CAP.24.7. Per inserire i soggetti con il relativo ruolo cliccando su aggiungi.
Funzione 8.1 – I soggetti autorizzati possono essere inseriti sulla scheda attraverso la funzione Seleziona Esistente, per inserire soggetti già registrati. Per aggiungere soggetti nuovi, utilizzare la funzione Aggiungi Nuovo. Il soggetto inserito sarà presente anche nella sezione Organigramma.
Funzione 9– Ogni sezione della scheda ha la funzione “Aggiungi” che permette di aprire finestre pop-up preimpostate per l’inserimento dei dati relativi al corrispondente campo.
Funzione 9a– Inserire i dati e cliccare su Aggiungi
Molti pop-up hanno testi predefiniti a norma GDPR. Utilizzare la funzione “Descrizione” per dettagliare ulteriormente il testo predefinito.
Funzione 9b– Per aggiungere le finalità, selezionare ed eventualmente aggiungere una descrizione. Per salvare, cliccare sul tasto Modifica.
Funzione 9c– Per aggiungere le Misure tecniche, selezionare ed eventualmente aggiungere una descrizione. Cliccare sul tasto Modifica per salvare.
Funzione 9d– Per aggiungere Misure di sicurezza organizzative aggiungere una descrizione. Cliccare sul tasto Aggiungi.
Funzione 9f– Per aggiungere e specificare le categorie di dati personali trattate, selezionare ed eventualmente aggiungere una descrizione. Cliccare sul tasto Aggiungi.
Funzione 9g– Per inserire i dati particolari selezionare Dati Particolari ed eventualmente selezionare quali dati particolari vengono trattati. È possibile specificare informazioni sul trattamento e il termine di cancellazione nelle sezioni predisposte.
Funzione 9h– Selezionare ogni singola categoria di persone interessate e cliccare sul tasto aggiungi. Inserire eventuali note e cliccare su Modifica per salvare.
Funzione 9i– Selezionare le tipologie di operazioni eseguite sui dati, specificando anche se si tratta di un’operazione di tipo elettronica o cartacea, e cliccare sul tasto aggiungi.
Nelle note è possibile inserire l’elenco degli hardware, delle attrezzature, dei software e dei mobili utilizzati per il trattamento.
Il Registro dei trattamenti deve riportare tutte le informazioni sui trattamenti che si stratificano nel tempo e nelle relative stampe periodiche e relativa conservazione a norma di legge. Pertanto, i censimenti di hardware, attrezzature, software, mobili, ecc. vengono riportati sul Registro dei trattamenti nella singola scheda del trattamento.
Funzione 9l– Per aggiungere l’informativa relativa al trattamento della scheda, inserire il titolo dell’informativa, inserire il testo (al quale vengono aggiunti automaticamente, in calce, i dati di Titolare e DPO ove nominato). Aggiungere eventuali riferimenti con un link.
Funzione 9m– Inserire i riferimenti relativi alla conservazione dei dati.
Funzione 9n– Inserire la tipologia di destinatario del trattamento dei dati
Funzione 9p– Inserire la tipologia di destinatario del trattamento dei dati se il trattamento viene effettuato all’estero.
Funzione 10– Una volta inseriti tutti i dati nelle varie sezioni, effettuare la Valutazione dei Rischi e caricare l’eventuale DPIA. Tutti i documenti prodotti/caricati in questa sezione, saranno riportati nell’area DPIA – Analisi dei Rischi della piattaforma. (cfr. cap. 12)
– DPIA/Analisi Rischio ISO 27001 eseguiti dove caricare i documenti DPIA e di Analisi del Rischio a norma ISO 27001 effettuati e salvati in formato pdf.
Si consiglia di accedere al Tool di Enisa utilizzando Google Chrome traduzione italiana ed eseguendo la stampa del Report finale in pdf da salvare.
– Link dove è stato preinserito il Tool Analisi del Rischio ISO 27001 messo a disposizione dall’ENISA***.
Si possono inserire ulteriori o diversi link ritenuti utili all’analisi dei rischi/DPIA.
***Il nuovo Tool on line di Enisa – Agenzia della Unione Europea per la cybersicurezza – per l’Analisi del Rischio ISO 27001 utilizzabile per le singole schede del Registro dei trattamenti del Titolare
8. REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO DEL RESPONSABILE
In questa sezione si trovano le schede attivate dal Titolare del trattamento in qualità di Responsabile del trattamento esterno di dati personali trattati per conto di un diverso Titolare.
Vengono riportati i trattamenti eseguiti dal soggetto in qualità di responsabile esterno dei trattamenti affidatigli da altro Titolare ai sensi dell’art. 28 del GDPR n. 2016/679.
La modalità di consultazione, inserimento schede e modifica è la stessa della sezione precedente (cfr. cap 7 REGISTRO ATTIVITÀ DI TRATTAMENTO TITOLARE).
9. REGISTRO INFORMATIVE CONSENSO E MODULI
Nella sezione informative e consensi troviamo tre sezioni differenti:
- Descrizione, con la definizione delle modalità di creazione delle informative a norma GDPR 679/2016 e la relativa normativa
- Informative, Moduli e Consensi, con la registrazione dei moduli informativa, eventuali consensi da utilizzare, nomine e atti personalizzabili da creare
- Registro Informative e Consensi, per registrare tutte le informative adottate e registrare tutti i consensi ottenuti
I tre tasti blu permettono di navigare e accedere nelle diverse sottosezioni di una voce del menu laterale.
Nella sottosezione “Descrizione” possono essere inseriti i vari tipi di informative e consensi visualizzabili cliccando sul menu a tendina azzurro. Si possono aggiungere i testi (anche da template precostituiti), modificare i testi presenti, stampare o eliminare le descrizioni.
Nella sottosezione “Moduli Informative e Consensi” vengono inserite tutte le informative, i moduli, i consensi, le nomine e gli atti visualizzabili completamente selezionando la voce nel menu a tendina azzurro. Per aggiungere un’informativa o un atto cliccare sul tasto “Aggiungi”, alcuni modelli di informativa, nomina o consenso sono presenti tra i Template e si possono aggiungere cliccando su “Aggiungi da Template”.
È possibile cercare una determinata informativa o un modulo caricato sulla piattaforma attraverso la funzione cerca.
Tutte le informative, i consensi o i moduli caricati possono essere stampati, modificati o eliminati attraverso i rispettivi tasti di funzione.
Con la funzione “Aggiungi da Template” i DPO possono inserire tutte le informative e i moduli di un nuovo titolare contemporaneamente considerando una categoria specifica di Titolare del trattamento, oppure possono inserire da Template Moduli.
Utilizzando la funzione “Aggiungi da Template” è possibile quindi aggiungere tutte le informative da template contemporaneamente oppure selezionare la singola informativa che si intende utilizzare in base alla categoria cui appartiene il Titolare del trattamento..
NB: tutte le informative e i template informative e moduli possono essere gestiti dalla funzione menu sul cruscotto produttore (Vedi Cap. 3 Funzione 9 del menu principale).
Una volta selezionata la Categoria di modulo da inserire (ad es: Comune, Azienda, Modico, Ente per le informative o Nomine, Atti o Moduli) selezionare quali moduli inserire, se singolarmente o tutti, e selezionare se inserire la personalizzazione automatica con i dati del Titolare del trattamento e del DPO con i relativi dati registrati all’attivazione della piattaforma.
9.1 REGISTRO DEI CONSENSI
Per far fronte alle esigenze di tenere nota dei consensi ottenuti per l’adempimento di obblighi di richiesta di consenso, per trattamenti non obbligatori per legge e per essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali (art. 7 del GDPR), è stata prevista, nella sezione “Informative e consensi”, la possibilità di elaborare il “Registro delle Informative e consensi”. Lo stesso potrà essere stampato e automaticamente archiviato.
- Nell’area Registro Informative e Consensi sono registrate e raccolte tutte le informative e i consensi ottenuti.
Ogni singola registrazione può essere modificata o pseudonimizzata (vedi Cap. PSEUDONIMIZZAZIONE) o cancellata dal registro. - Con la funzione Cerca si possono ricercare tutti i consensi raccolti in base al giorno di inizio, fino e tipologia di atto.
- Con la funzione Aggiungi (pulsante verde) si aggiungono dati sul Registro.
La compilazione di questo registro permetterà di tracciare la pratica contenente l’informativa e il consenso.
Nel registro possono essere inseriti i seguenti dati:
a) la data dell’atto,
b) il tipo di atto,
c) il numero dell’atto,
d) la presenza del consenso (potrebbe esserci la sola informativa rilasciata),
e) nome e cognome del soggetto interessato, pseudonimizzabili direttamente nella sezione all’atto della compilazione del Registro per la desensibilizzazione del dato. (vedi Cap. PSEUDONIMIZZAZIONE).
10. DIRITTI DEGLI INTERESSATI
La sezione “Diritti degli interessati” è suddivisa in due sottosezioni: Procedura di gestione e Registro delle Richieste.
Nel Registro delle Richieste vengono annotate le richieste dei soggetti interessati al trattamento dei propri dati personali raccolti dal Titolare del trattamento.
Nel registro vengono riportati i dati e la richiesta email dell’interessato con possibilità di rispondere alla email per comunicare l’esito della richiesta ricevuta.
Viene gestito lo scadenzario, le note per l’esito, la modifica, la cancellazione, l’inserimento di file.
11. DATA BREACH
La sezione Data Breach è suddivisa in due sottosezioni: Notifica Data Breach e Registro Data Breach.
Nella sezione Notifica Data Breach si possono caricare i riferimenti alla normativa con la spiegazione della procedura di gestione, il modello di notifica al Garante e il modello di comunicazione Data Breach al soggetto interessato.
Cliccando sul tasto verde Notifica Data Breach Il tasto verde Notifica al Garante permette di inviare una notifica diretta, come da procedura GDPR, alla pagina https://servizi.gpdp.it/databreach/s/
Nella sezione di destra Registro Data Breach si possono registrate tutti i data breach. In questa sezione si troveranno tutti gli eventi registrati (link blu) che potranno essere stampati, modificati o eliminati.
Il tasto verde Registra Data breach serve a registrare l’evento. Cliccando si aprirà un pop up dove inserire tutti i dati della registrazione.
12. DPIA ANALISI DEI RISCHI
Nella sezione DPIA – Analisi dei rischi, si trovano due sezioni con denominazione riportata sui rispettivi tasti blu:
- la sezione descrittiva (Descrizione)
- la sezione con l’elenco delle Valutazioni del rischio
In queste sezioni è possibile:
- Conoscere per quali trattamenti/schede è stata effettuata la valutazione
- Controllare in quali schede non è presente l’analisi dei rischi
- Visualizzare i Report con tutte le Valutazioni del rischio caricate nelle singole schede del Registro dei Trattamenti
Nella sezione Descrizione e Software sono presenti i riferimenti normativi, la descrizione del DPIA – Data Protection Impact Assessment e il link al sito dove poter scaricare il software per procedere all’analisi dei rischi derivanti dal trattamento dei dati personali.
Nella sezione Valutazioni del rischio sono elencate tutte le schede del Registro dei trattamenti con l’indicazione della presenza di Valutazione del rischio eseguita per il trattamento riportato nella scheda, la possibilità di visualizzarla e di scaricarla.
Le “Valutazioni del rischio” permettono, per ogni singola scheda del registro dei trattamenti del Titolare e del Responsabile, la visualizzazione di Analisi dei Rischi, di file relativi a DPIA/Analisi Rischio ISO 27001, di link relativi a tool o pubblicazioni utili alla valutazione dei rischi.
13. REGOLAMENTI E DISCIPLINARI
Nella sezione Regolamenti e disciplinari possiamo inserire e trovare tutti i file relativi ai Regolamenti in cui si fa riferimento alla protezione dei dati personali e ai Disciplinari con riferimenti legislativi alla protezione dei dati personali. Si possono inserire i Regolamenti attraverso la funzione testuale (Aggiungi testo), oppure i documenti attraverso la funzione Carica file.
I singoli documenti caricati nella sezione dei Regolamenti e disciplinari, sono disponibili anche nella sezione Archivio della piattaforma.
14. DISASTER RECOVERY E CONTINUITÀ OPERATIVA
In questa sezione si possono registrare e visualizzare tutti gli atti predisposti per il Disaster Recovery e la Continuità Operativa.
15. AUDITING
In questa sezione vengono registrati tutti i documenti relativi agli auditing effettuati e i relativi esiti.
16. VIDEOSORVEGLIANZA
In questa sezione si raccolgono tutti i documenti relativi alla Videosorveglianza attivata presso la sede e all’esterno, inclusi i regolamenti, i disciplinari, i permessi acquisiti.
17. FORMAZIONE
Anche questa sezione è suddivisa in una parte descrittiva e una con la funzione di registro. Cliccando sul tasto blu Interventi formativi si accede ad una sezione in cui si possono inserire tutti i corsi effettuati in materia di dati personali.
18. ADEMPIMENTI E VERIFICHE
In questa sezione vengono registrati tutti i messaggi spediti dal produttore – Consulente o DPO – al Titolare del trattamento tramite posta elettronica ordinaria e certificata visualizzando tutti gli adempimenti richiesti, con possibilità di selezionare quelli eseguiti.
Tutte le comunicazioni, le e-mail e le PEC inviate, vengono archiviate in quest’area. L’attivazione e la personalizzazione sono facoltative.
18.1 GESTIRE LE COMUNICAZIONI DEGLI ADEMPIMENTI
Dal software ACTAPRIVACY è possibile gestire le comunicazioni degli adempimenti e verifiche da ottemperare previsti dal GDPR 2016/679 al Titolare del trattamento: si può gestire, infatti, tutta la messaggistica tra DPO/Consulente e Titolare/Responsabile del trattamento.
Per attivare la messaggistica su una piattaforma multiutente Actaprivacy è necessario eseguire le seguenti operazioni preliminari.
a) Configurare la e-mail del DPO/Consulente riservata a ogni singolo Titolare/Responsabile del trattamento
Esempio:
- attribuire al Titolare 1 la e-mail Titolare1@dpomionome.it
- attribuire al Titolare 2 la e-mail Titolare2@dpomionome.it
- attribuire al Titolare 3 la e-mail Titolare3@dpomionome.it
- in base al numero dei Titolari/Responsabili del trattamento gestiti sulla piattaforma.
a.1) ACCEDERE AL CRUSCOTTO PRODUTTORE E SELEZIONARE IL TITOLARE DEL TRATTAMENTO CUI ASSEGNARE LA E-MAIL.
a.2) SELEZIONARE “ADEMPIMENTI E VERIFICHE”
a.3) SELEZIONARE “CONFIGURAZIONE SMTP E-MAIL”
a.4) INSERIRE I DATI PER CONFIGURARE LA E-MAIL PER L’INVIO DEI MESSAGGI (SMTP) E SALVARE LA MODIFICA.
Da questo momento sarà possibile inviare, dalla piattaforma Actaprivacy, i messaggi indirizzati a Titolare1.
a.5) INSERIRE I DATI PER CONFIGURARE LA E-MAIL ALLA RICEZIONE DEI MESSAGGI (IMAP) E SALVARE LA CONFIGURAZIONE/MODIFICA
a.5.1 -> SELEZIONARE “COMUNICAZIONI”
a.5.2 -> SELEZIONARE “COMUNICAZIONI RICEVUTE”
a.5.3 -> SELEZIONARE “CONFIGURAZIONE IMAP E-MAIL” e inserire i dati del provider per la gestione IMAP della casella predisposta per ogni Titolare del trattamento Titolare1@dpomionome.it
ORA IL SISTEMA È PRONTO PER INVIARE E RICEVERE LE COMUNICAZIONI VERSO E DAL TITOLARE DEL TRATTAMENTO
Si potrà, così, gestire dalla piattaforma ACTAPRIVACY le seguenti fasi:
- Creazione della comunicazione da inviare (con eventuali allegati)
- Invio tramite e-mail o Pec
- Ricezione della risposta direttamente sulla piattaforma e relativa archiviazione
- Controllo degli adempimenti effettuati o da effettuare.
b) Inviare la comunicazione di un adempimento al Titolare del trattamento
b.1) SELEZIONARE “ADEMPIMENTI E VERIFICHE”
b.2) SELEZIONARE “NUOVO ADEMPIMENTO”
b.3) INSERIRE L’OGGETTO DELL’ADEMPIMENTO DA INVIARE
Ad. es. per spedire la comunicazione di un nuovo adempimento: Nomina responsabile del trattamento – art. 28 GDPR:
b.3.1 -> Selezionare “ADEMPIMENTI E VERIFICHE”;
b.3.2 -> Selezionare “NUOVO ADEMPIMENTO”
b.3.3 -> Inserire l’Oggetto, selezionare “AGGIUNGI” e spedire al Titolare del trattamento scegliendo l’icona della e-mail ordinaria o PEC (lo stesso messaggio spedito con ordinaria, può essere successivamente riaperto e inoltrato per PEC).
b.3.4 -> inserire la e-mail del Titolare del trattamento, redigere il testo del messaggio, caricare l’eventuale allegato dall’archivio di Actaprivacy o dal proprio PC, e selezionare “INVIA”.
c) Inoltrare Pec, email, modificare il titolo dell’adempimento, inserire note e segnalare la data dell’assolvimento o cancellare l’adempimento
d) Invio Adempimenti e Verifiche a Gruppi di Titolari
Per inviare a più titolari del trattamento la stessa comunicazione vai su “Adempimenti e verifiche globale”
- Nuovo Adempimento: Crea un nuovo messaggio da inviare ad un gruppo
- Crea Gruppo: Crea un gruppo comunicazioni
- Gestisci Gruppi: Gestione dei gruppi comunicazioni esistenti
- Aggiungere Nuovo Titolare ad un gruppo in fase di creazione piattaforma
Per l’invio della mail segui le istruzioni sottostanti:
Crea un nuovo messaggio da inviare ad un gruppo
- Campi Email: riempire i campi email. Nel campo “A”, selezionare un gruppo comunicazioni precedentemente creato.
- Utilizzare Intestazione Predefinita: spuntare la casella se si vuole utilizzare l’intestazione personalizzata per ogni Titolare inserito nel gruppo. (L’intestazione si riferisce al campo “Referenti”, impostabile all’interno di ogni piattaforma -> Adempimenti e verifiche -> Imposta Dati).
- Corpo messaggio
- Allegati
- Metodo di invio: è possibile selezionare uno oppure entrambi i metodi di invio: Email Ordinaria e/o PEC.
- Invia messaggio
Crea un gruppo comunicazioni
Inserire il “Nome Gruppo” e selezionare i Titolari del Trattamento da aggiungere al gruppo comunicazioni. L’Email e la PEC indicati nella tabella si riferiscono agli indirizzi impostati all’interno di ogni piattaforma -> Adempimenti e Verifiche -> Imposta Dati.
Gestione dei gruppi comunicazioni esistenti
È possibile rinominare, aggiungere e rimuovere i Titolari del Trattamento dal gruppo comunicazioni o eliminare il gruppo. Cliccando su “+ Mostra Gruppo” è possibile consultare velocemente i Titolari del Trattamento del gruppo.
Aggiungere Nuovo Titolare ad un gruppo in fase di creazione piattaforma
È possibile aggiungere un nuovo Titolare del Trattamento ad un gruppo comunicazioni adempimenti direttamente in fase di creazione piattaforma spuntando la relativa casella “Aggiungi a Gruppo Adempimenti” e selezionando il gruppo.
19. COMUNICAZIONI
Lo scambio della messaggistica spedita e ricevuta all’interno del sistema multiutente è possibile assegnando una email a ogni titolare del trattamento.
Esempio: Titolare1@nomedominioDPO.it, Titolare2@nomedominioDPO.it, Titolare3@nomedominioDPO.it, ecc.
L’attivazione OPZIONALE delle caselle differenziate per ogni Titolare presente sulla piattaforma multiutente, renderà possibile:
a) Archiviare gli adempimenti inviati al Titolare del trattamento
- nella sezione “COMUNICAZIONI” saranno presenti tutte le e-mail inviate e ricevute dal DPO/Consulente nel rapporto in essere con il singolo Titolare/Responsabile del trattamento.
Es.: Adempimenti da eseguire; Solleciti di adempimenti, Rilevamenti di errori negli adempimenti; Risposte e allegati pervenuti dal Titolare; Quesiti pervenuti dal Titolare, Risposte a dubbi e quesiti, Ecc.
b) Controllo delle e-mail ricevute da ogni Titolare del trattamento e risposta ai messaggi
Chi ha attivato la messaggistica sulla piattaforma multiutente Actaprivacy attribuendo una e-mail riservata a ogni singolo Titolare/Responsabile del trattamento, può controllare da chi ha ricevuto eventuali messaggi selezionando “CONTROLLA MESSAGGI RICEVUTI” dal Cruscotto Produttore.
In corrispondenza del Titolare mittente del messaggio, apparirà una icona di alert, rappresentata da una busta, selezionando l’icona si entrerà nella sezione comunicazioni riservata al Titolare mittente per leggere il messaggio e inviare, eventualmente, la propria risposta o inoltrando il messaggio a referenti, collaboratori, ecc..
c) Inoltro dei messaggi ricevuti dal Titolare del trattamento alla e-mail assegnata
Una prassi molto utile è quella di centralizzare sul software Actaprivacy i messaggi ricevuti da uno stesso Titolare del trattamento, ORDINARI e PEC, attraverso l’inoltro di tutti i messaggi, pervenuti da altri indirizzi, alla e-mail assegnata al singolo Titolare del trattamento. Si ottiene in questo modo:
c.1) un quadro completo ed immediato della corrispondenza scambiata con uno stesso Titolare del trattamento nella sezione “Comunicazioni” di Actaprivacy;
c.2) la possibilità di non salvare manualmente nell’archivio di Actaprivacy i messaggi ricevuti in formato .msg o .eml e di non doverli successivamente aprire attraverso il client di posta in modalità esterna alla piattaforma;
c.3) la possibilità di visualizzare direttamente da Actaprivacy nella sezione “Comunicazioni” tutti i messaggi, spediti e ricevuti, scambiati con uno stesso Titolare del trattamento.
d) Salvataggio degli allegati ricevuti dal Titolare del trattamento alla e-mail assegnata
Una volta attivata la casella di posta in uscita e in entrata, tutte le comunicazioni verranno gestite nella piattaforma. Gli allegati alle email ricevuti possono essere archiviati nella piattaforma cliccando il tasto Archivia
e) Ordina e stampa tutte le comunicazioni inviate e ricevute
Per agevolare l’organizzazione e la ricerca delle comunicazioni ricevute o inviate, nella relativa sezione si possono cercare e organizzare le comunicazioni per data o per oggetto e, attraverso la funzione Excel o PDF è possibile stampare nel relativo formato il risultato.
1) Accedere alla sezione Comunicazioni Inviate o Comunicazioni Ricevute
2) Indicare la data di inizio ricerca e di fine per avere un range temporale nella ricerca
3) Cliccare su Excel o su PDF per ottenere la stampa delle comunicazioni selezionate
Oppure
2) Indicare nel campo Cerca le chiavi di ricerca delle comunicazioni
3) Cliccare su Excel o su PDF per ottenere la stampa delle comunicazioni selezionate
f) Aggiungi contenuto nelle comunicazioni ricevute
Nella sezione “Comunicazioni ricevute” è stata attivata la nuova funzionalità “Aggiungi contenuto” con cui è possibile aggiungere file relativi a messaggi, ricevuti sul proprio client di posta elettronica, stampati in formato MEMO. Ripetendo l’operazione “Aggiungi contenuto” si potranno inserire anche i file relativi agli eventuali allegati.
Clicca su “Aggiungi contenuto”
Nella sezione “Comunicazioni ricevute” con “Aggiungi contenuto” si può ora aggiungere testi, link e/o file in modo da conservarli insieme a tutta la documentazione ricevuta via e-mail da qualsiasi indirizzo e client di posta elettronica.
Con questa nuova funzionalità la sezione “Comunicazioni ricevute” potrà essere gestita, per scelta organizzativa o per ragioni di sicurezza, anche senza la ricezione di email sulla piattaforma Actaprivacy. Si otterrà il risultato di archiviare i messaggi ricevuti nel software, integrando la funzione di workflow che caratterizza la piattaforma
Per concludere clicca su “Aggiungi” nella barra verde centrale.
20. SCADENZE OBBLIGHI
Tra le misure di accountability che un’organizzazione deve considerare, lo scadenziario è parte integrante del MOP.
Si accede alla sezione per la gestione delle scadenze e i promemoria per gli adempimenti Privacy.
È stata creata una sezione in cui riportare le scadenze degli obblighi di riferimento da inserire manualmente.
In ordine di visualizzazione nella schermata, è possibile visionare:
- le scadenze della settimana in corso o delle precedenti e successive;
- la prossima scadenza più ravvicinata;
- le scadenze divise mensilmente;
- l’elenco generale delle scadenze.
Un alert, 7 giorni prima della scadenza, segnalerà l’imminente obbligo tramite mail all’indirizzo di posta elettronica del DPO/RPD. Una volta ricevuto l’alert sarà possibile posticiparlo o sospenderlo.
È possibile anche cambiare la data di notifica accedendo nella sezione modifica della scadenza creata.
Premendo il pulsante “Aggiungi scadenza”, si potrà inserire il testo relativo all’obbligo in scadenza e la data, appunto, di tale scadenza.
Le scadenze, poi, possono essere modificate sia nel testo che nella data ed eventualmente eliminate.
21. CERTIFICAZIONI
Nella sezione Certificazioni si possono inserire tutte le certificazioni acquisite dal Titolare del trattamento per dimostrare l’accountability al GDPR dei trattamenti effettuati dal Titolare o responsabile del trattamento.
Funzione 1– Per caricare una certificazione si aprirà una finestra pop-up dove si potranno aggiungere tutti i relativi dati e i link. L’inserimento è modificabile cliccando sull’icona matita.
Funzione 2– Per caricare file relativi alla certificazione, cliccare sull’icona indicata. Tutti i file caricati saranno disponibili nell’archivio.
22. CONSERVAZIONE DOCFLY
Questa sezione permette, agli utilizzatori che inviano messaggi ai titolari del trattamento utilizzando una casella PEC assoggettata a servizio di Conservazione digitale ai sensi del DPCM 3 dicembre 2013, altamente consigliato, di accedere agli archivi direttamente attraverso il software di conservazione.
23. PSEUDONIMIZZAZIONE
L’art. 4 del GDPR 2016/679 definisce la «pseudonimizzazione»: il trattamento dei dati personali eseguiti in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive.
Tali informazioni aggiuntive sono, pertanto, conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.
La pseudonimizzazione costituisce un sistema di desensibilizzazione dei dati personali.
Nella sezione Descrizione si possono inserire testi, modificabili o cancellabili, e i relativi file.
Funzione 1– Per pseudonimizzare entrare nella sezione dedicata
Funzione 2– Inserire i dati del soggetto e cliccare sul pulsante Pseudonimizza
Funzione 3– Nella fascia grigia è presente una funzione di ricerca con filtri
Funzione 4– In fase di pseudonimizzazione si può facoltativamente optare per inserire i dati dell’atto nel quale viene eseguita la cifratura. In questo caso nella parte inferiore vengono elencati tutti i dati pseudonimizzati organizzati per data, tipologia e numero di atto cui si riferiscono, Utente che ha inserito i dati pseudonimizzati.
Esempio:
Vogliamo pseudonimizzare i dati di Mario Rossi nato il 01/01/2001
Funzione 1– Una volta inseriti i dati e iniziata la pseudonimizzazione, il sistema genera un codice univoco per identificare il dato pseudonimizzato.
Funzione 2– Il codice univoco può essere copiato con la funzione copia.
Funzione 3– È facoltativo, per la tracciabilità, registrare i dati dell’atto contenente lo pseudonimo e salvarli.
- I dati registrati saranno elencati nella sezione Tipo Atto e possono essere decifrati cliccando sul lucchetto blu.
La decifratura del dato pseudoniminizzato può essere eseguita solo da chi ha proceduto alla pseudonimizzazione con Decifra Pseudonimo:
Nella sezione Decifra Pseudonimo basta inserire il codice univoco del soggetto inserito con la relativa pratica e cliccare su Decifra.
E apparirà una finestra pop-up con i dati del soggetto pseudonimizzati, ora decifrati.
24. NORMATIVA
Questa è una sezione descrittiva dove inserire, per una rapida consultazione, i riferimenti normativi con i relativi link in materia di protezione dei dati personali.
25. MENU SUPERIORE
Nella sezione superiore dello schermo è presente un top menu con icone sempre presenti che permettono di gestire rapidamente le funzioni aggiuntive, utili alla gestione del servizio Privacy.
Le icone di accesso rapido ai servizi aggiuntivi sono riportate sotto i dati identificativi del Titolare del trattamento, con le relative funzioni descrittive e sono nell’ordine:
- Archivio file
- Stampa
- Area note
- Videoconferenza con stanza dedicata
- Registro attività – LOG
- Impostazioni generali dell’area assegnata al Titolare del trattamento su cui si sta operando
- Guida on-line
25.1 CRUSCOTTO
Per ritornare al cruscotto del Titolare del trattamento su cui si sta operando da qualsiasi sezione del programma, cliccare sull’icona home nel menu in alto.
Per la descrizione della videata si rimanda al Cap.: 5. ACCESSO ALLA PIATTAFORMA E FUNZIONI
25.2 ARCHIVIO FILE
Nella sezione Archivio File sono presenti tutti i file caricati sulla piattaforma del Titolare del trattamento su cui si sta operando.
NB: L’art. 13, c. 2, lett. a) del GDPR stabilisce che il Titolare del trattamento fornisce all’interessato il periodo di conservazione dei dati personali o i criteri utilizzati per determinare tale periodo.
Essendo l’archivio di Actaprivacy composto prevalentemente da corrispondenza elettronica e documenti allegati, viene stabilito un periodo di default di conservazione di 10 (dieci) anni ai sensi dell’art. 2220 del Codice Civile.
In caso vengano archiviati documenti assoggettati a diverso limite temporale di conservazione, l’operatore potrà modificare la data di scadenza o preimpostare un diverso limite temporale.
Funzione 1– Nell’archivio è possibile caricare un singolo file (Carica File) o diversi file contemporaneamente (Carica Multifile).
Funzione 2– La funzione Stampa Archivio permette di stampare un file pdf con l’elenco dei file archiviati sulla piattaforma.
Funzione 3– Ogni file archiviato sulla piattaforma è presente in questo elenco. Cliccando sul link è possibile consultarlo o scaricarlo.
Funzione 4– Ogni file caricato ha una data di caricamento e una data di scadenza file al termine della quale il file viene cancellato dalla piattaforma. In caso vengano archiviati documenti assoggettati a diverso limite temporale di conservazione, si potrà modificare la data di scadenza o preimpostare un diverso limite temporale di default.
È infatti stabilita una data di scadenza per gli Archivi dei dati conservati in Actaprivacy in applicazione del sistema di data retention:
Essendo l’archivio di Actaprivacy composto prevalentemente da corrispondenza elettronica e documenti allegati, viene stabilito un periodo di default di conservazione di 10 (dieci) anni ai sensi dell’art. 2220 del Codice Civile.
Funzione 5– Per modificare il nome del file archiviato o i dati dello stesso, cliccare sull’icona modifica.
Funzione 6 – Per eliminare i file archiviati, selezionare quelli da eliminare e cliccare sul tasto rosso Elimina.
Nota Bene: per visualizzare le e-mail in formato .eml o .msg archiviate sulla piattaforma, si consiglia di salvarle prima sul pc e poi aprirle con il client di posta elettronica (es: outlook, thunderbird, ecc.)
25.3 STAMPA
In questa sezione è possibile creare un file stampa in formato .pdf di ogni sezione della piattaforma a scelta.
Funzione 1– Per stampare una o più sezioni della piattaforma, cliccare sulla relativa voce. Il tasto selezionato, da grigio diventerà blu
Funzione 2– Per selezionare tutte le voci e stamparle, cliccare su Seleziona tutto
Funzione 3– Per avviare la stampa in formato .pdf scaricabile, cliccare sul pulsante Stampa. NB: per la produzione del file .pdf ci vorrà del tempo commisurato alla grandezza del file. Non chiudere il browser durante la creazione del file.
Una volta terminato il processo di creazione del file, si aprirà una finestra pop-up che indicherà tutte le possibili scelte: salva file, stampa file, visualizza il file nell’archivio oppure chiudi.
25.4 AREA NOTE
In quest’area si possono visualizzare e inserire le note da utilizzare come pro-memoria personale o da condividere con altri utenti attivati per il Titolare del trattamento sul quale si sta operando.
Funzione 1– Nel menu superiore è presente l’icona delle note che, se rossa, indica che c’è una nota condivisa da visualizzare
Funzione 2 – Si possono visualizzare (e inserire) le note personali, quindi visibili solo dall’utente che le ha caricate, e le note condivise, visibili a tutti gli utenti registrati sulla piattaforma del Titolare del trattamento sul quale si sta operando
Funzione 3– Per inserire una nota cliccare su Aggiungi. Per inserire una nota visibile a tutti gli utenti che hanno accesso con password alla piattaforma del Titolare del trattamento sul quale si sta operando, cliccare su Aggiungi nell’area Note Condivise; per inserire una nota personale e quindi visibile solo al soggetto che l’ha inserita, cliccare su Aggiungi nell’area Nota personale
Funzione 4– L’icona di stato indica se la nota è ancora da completare o no. Se l’icona di stato è rossa, è da completare, se in verde è già stata completata. Per aggiornare l’icona di stato, cliccare sull’icona stessa. Questo sistema vale sia per le Note Condivise, che per le Note Personali.
Funzione 5– Tutte le note prodotte possono essere modificate o cancellate dal soggetto stesso che le ha inserite attraverso le icone di modifica o elimina presenti nei rispettivi campi con descrizione che appare al passaggio del mouse.
25.5 LOG
In questa sezione vengono visualizzate le attività svolte sulla piattaforma, da chi, in quale data e da quale indirizzo IP.
È possibile fare una ricerca per utente o per data per verificare cosa sia stato modificato sulla piattaforma e da chi. Inoltre, è presente un pulsante Esporta Log che permette di produrre un file .csv (excel) con tutte le attività svolte sulla piattaforma.
25.6 IMPOSTAZIONI GENERALI PIATTAFORMA
Nella sezione Impostazioni è possibile aggiungere o modificare i dati inseriti in fase di attivazione della piattaforma intestata al Titolare del trattamento sul quale si sta operando (cfr. Cap. 3. CRUSCOTTO PRODUTTORE)
Funzione 1– Nella sezione Organizzazione vengono raccolti i dati dell’azienda/ente Titolare del trattamento. Si può inserire il logo che, insieme ai dati dell’organizzazione, verrà riprodotto nell’intestazione di tutte le pagine della stampa del Registro dei Trattamenti (RDAT). (Il numero di telefono inserito verrà visualizzato come contatto nel pulsante Titolare del trattamento presente nel Cruscotto Produttore cfr. Cap 23. Funzione di CRUSCOTTO PRODUTTORE e LOGOUT)
Per inserire il logo istituzionale, selezionare Scegli file e caricare da proprio PC l’immagine. Successivamente cliccare su Salva Logo. L’immagine caricata diventerà l’intestazione dei file .pdf prodotti dal software attraverso la funzione Stampa. Per una migliore visualizzazione si consiglia di caricare immagini dalle dimensioni di 100px x 120px.
Funzione 2– Inserire o modificare da questa sezione i dati del Titolare del Trattamento che verranno inseriti e aggiornati automaticamente in tutte le aree della piattaforma.
Per aggiornare le informative con i nuovi dati, cliccare sul tasto a destra Aggiorna Informative.
Funzione 3– In quest’area si possono inserire, modificare o cancellare i dati del Responsabile della Protezione dei Dati (DPO/RPD).
26. CRUSCOTTO PRODUTTORE e LOGOUT
26.1 Visualizzazione Cruscotto di default
Funzione 1– Questa icona permette di tornare al Cruscotto Produttore (DPO/Consulente) dove sono raccolti tutti i pulsanti di accesso delle varie piattaforme attivate per ogni singolo Titolare del trattamento.
Funzione 2– Questa funzione permette di cambiare la visualizzazione della pagina che può essere visualizzata nel suddetto modo, a box, oppure ad elenco (vedi paragrafo successivo)
Funzione 3– Nome dell’organizzazione Titolare del trattamento inserito in fase di attivazione (cfr. Cap. 4. ATTIVAZIONE TITOLARE DEL TRATTAMENTO)
Funzione 4– Numero di utenti registrati in possesso di accesso con password alla piattaforma del Titolare del trattamento interessato
Funzione 5– Spazio occupato dalla piattaforma dedicata al singolo Titolare del trattamento attivato dal Produttore (DPO/Consulente)
Funzione 6– Contatto telefonico del Titolare del trattamento, inserito in fase di attivazione del singolo Titolare del trattamento (cfr. Cap 22.6-3 IMPOSTAZIONI GENERALI PIATTAFORMA) e Data attivazione della piattaforma.
Funzione 7– Se la Piattaforma del singolo Titolare del trattamento è attiva sarà contrassegnata da una luce verde, se la piattaforma è disattivata la luce sarà rossa
Funzione 8– Cliccare per accedere alla piattaforma del singolo Titolare del trattamento.
Funzione 9 – Per gestire le funzioni principali della singola piattaforma del Titolare del trattamento cliccare su “Gestisci”. Si apre una finestra pop-up dove inserire/modificare il nome della piattaforma Titolare del trattamento, disattivare, anche provvisoriamente, la piattaforma del Titolare del trattamento oppure eliminarla definitivamente, esportare i dati, esportare l’archivio.
Funzione 10 – Per scaricare le comunicazioni ricevute nella casella di posta (se attiva)
26.2 Visualizzazione Cruscotto ad elenco
Cliccando sull’icona Visualizzazione ad elenco, si visualizzerà la pagina con l’elenco delle piattaforme. Tutti gli elenchi possono essere visualizzati in ordine alfabetico o numerico, in base alla scelta effettuata cliccando sulle relative frecce.
27. ATTIVAZIONE VERIFICA ACCOUNT A 2 FATTORI (Google Authenticator opzionale)
L’autenticazione a due fattori costituisce un ulteriore livello di sicurezza per assicurare che solo il soggetto accreditato possa accedere al suo account.
Il servizio è disponibile sia per il produttore amministratore, sia per l’utente operatore/visualizzatore e l’attivazione della procedura è opzionale.
Dalla “Gestione utenti” si potrà attivare/disattivare l’autenticazione a due fattori e modificare altri dati dell’utente.
27.1 Procedura produttore amministratore
Per attivare il servizio di autenticazione a 2 fattori, dopo aver eseguito il login per l’accesso alla piattaforma Actaprivacy, il produttore amministratore del servizio deve selezionare “Gestione utenti” (Figura 1).
Si accede alla gestione utenti del produttore amministratore.
Selezionare l’icona per attivare la verifica in due passaggi come riportato in successiva Figura 2
Figura 2
Figura 3
Seguire la procedura illustrata, in figura 3, che prevede il download dell’applicativo “Google Authenticator”:
– dallo store di “Google play” se si è in possesso di uno smartphone o tablet con sistema Android;
oppure
– dallo store di Apple – App Store – se si è in possesso di uno smartphone o tablet con sistema iOS;
27.2 Procedura Utente operatore o visualizzatore
Per attivare il doppio fattore di riconoscimento, dopo aver eseguito il login per l’accesso alla piattaforma Actaprivacy, l’utente operatore o visualizzatore deve selezionare “Profilo” (Figura 4).
L’utente accede alla gestione del suo profilo.
Selezionare l’icona per attivare la verifica dell’identità in due passaggi (Figura 5)
Figura 6
Seguire la procedura illustrata, in figura 6, che prevede il download dell’applicativo “Google Authenticator”:
– dallo store di “Google play” se si è in possesso di uno smartphone o tablet con sistema Android;
oppure
– dallo store di Apple – App Store – se si è in possesso di uno smartphone o tablet con sistema iOS;
– inquadrare il QR code con l’applicazione Google Authenticator oppure inserire il codice alfanumerico per registrare il dispositivo utilizzato (smartphone o tablet);
– successivamente al primo accesso, per l’autenticazione dell’account, utilizzare il codice visualizzato nell’applicativo Google Authenticator.
Disattivazione doppio fattore
Per disattivare il doppio fattore di riconoscimento, selezionare l’icona per la verifica dell’identità in due passaggi (Figura 5 pagina precedente) e cliccare su Disattiva.