Il presente questionario consente di effettuare un’auto-valutazione preliminare e iniziale dello stato di conformità in compliance al GDPR. La carenza di esaustività non consente di fornire una panoramica accurata al 100% sulla conformità.
Se la risposta a tutte le domande che seguono è “Sì”, l’azienda potrebbe essere già conforme alle disposizioni del GPDR. Tutti i punti contrassegnati con risposta positiva, “Sì”, dovranno essere documentati in modo completo per dimostrare la responsabilità e la conformità. Tutte le domande a cui viene data come risposta “No” potranno essere oggetto di eventuale successivo approfondimento per individuare una soluzione specifica di adeguamento alla normativa vigente in materia di protezione dei dati personali.
*Si invita il Cliente a fornire dati corretti ed esaustivi nella compilazione del questionario, con l’avvertenza che il Cliente medesimo risponde in via esclusiva della veridicità delle informazioni riportate e di ogni altra condotta attiva o omissiva eventualmente posta in essere, esonerando integralmente il Prestatore da ogni ipotesi di responsabilità diretta e indiretta connessa alle attività svolte nell’ambito del servizio prestato.
Quanti sono i dipendenti dell’azienda?
5
Di cosa si occupa l’azienda?
Produzione e rivendita liquidi per sigarette elettroniche.
L’azienda tratta dati personali?
Ildato personale è definito come «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità̀ fisica, fisiologica, genetica, psichica, economica, culturale o sociale». – Articolo 4 (1) Reg. UE 2016/679.
SI
L’azienda tratta dati “particolari”
Sono considerati “dati particolari” quelli che «rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona» – Articolo 9 (1) Reg. UE 2016/679.
SI
I dati trattati vengono conservati in archivi cartacei o elettronici?
SI
Sono effettuati trattamenti di dati persona su larga scala (tipologie e portata geografica dati) che presentano un rischio per i diritti e le libertà dell’interessato?
SI
In relazione ai dati trattati sono state definite le finalità del trattamento?
A mero titolo esemplificativo, costituiscono finalità di trattamento:
gestione curriculum e documentazione a scopo di assunzione; gestione contabile-amministrazione dei rapporti di lavoro; attività di formazione interna (se si tratta di dati dei dipendenti);
gestione contabile-amministrativa fatture; promozione materiale pubblicitario (se si tratta di dati dei fornitori);
gestione documentazione contrattuale; promozione materiale pubblicitario; risoluzione delle controversie (se si tratta di dati degli utenti).
SI
È stato definito il tempo di conservazione dei dati trattati?
SI
La base giuridica di ogni attività di trattamento dei dati è individuata?
L’organizzazione deve individuare la base giuridica di ogni trattamento di dati personali. L’attività di trattamento ha una base legale valida solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: «(a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; (b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; (c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; (d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; (e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; (f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore». – Articolo 6 (1) Reg. UE 2016/679.
SI
Viene documentato lo scopo di ogni attività di trattamento?
Ogni attività di trattamento deve essere documentata.Il Trattamento è definito come «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione». – Articolo 4 (2) Reg. UE 2016/679.
SI
Il Titolare del trattamento è correttamente e chiaramente identificato?
SI
I Responsabili e gli Incaricati del trattamento sono stati designati per iscritto?
SI
Esiste un elenco di dipendenti e collaboratori designati come Responsabili e incaricati del trattamento?
SI
Sono stati organizzati corsi di formazione per il personale interno?
NO
L’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità?
SI
I dati personali sono trattati per finalità diverse da quelle previste al momento della raccolta?
NO
Le tecniche di raccolta del consenso sono varie, quali ad esempio la selezione di un’apposita casella su un sito web o una dichiarazione affermativa da parte dell’interessato?
Perché il consenso sia validamente manifestato, l’interessato dovrebbe manifestare un’intenzione libera, specifica, informata e inequivoca. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Qualora il trattamento abbia più finalità il consenso dovrebbe essere prestato per tutte queste. «La richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro». Art. 7 (2) Reg. UE 2016/679.
SI
Esistono modalità e procedure per rispondere alle richieste di accesso da parte dell’interessato?
SI
Esistono modalità e procedure per la rettifica /cancellazione dei dati a seguito della richiesta da parte dell’interessato?
SI
Esistono modalità e procedure per comunicare l’aggiornamento di dati personali a terzi che hanno ricevuti tali dati?
SI
Esistono modalità e procedure per consentire all’interessato di revocare il consenso al trattamento per una particolare finalità in qualsiasi momento?
Secondo l’Articolo 7 (3) del GDPR dell’UE, il consenso deve essere revocato con la stessa facilità con cui è accordato.
SI
L’interessato può opporsi in qualsiasi momento, ai sensi dell’art. 21 GDPR, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano?
SI
L’interessato può ricevere, ai sensi dell’art. 20 GDPR, in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano senza impedimenti da parte del titolare del trattamento cui li ha forniti?
SI
Ove il consenso al trattamento per una particolare finalità sia stato revocato, esistono modalità per garantire che il trattamento, anche da parte di terzi, sia interrotto?
SI
Esistono modalità e procedure per interrompere il trattamento per fini di marketing in caso si riceva un’obiezione?
SI
Se non si ottempera alla richiesta dell’interessato, il titolare del trattamento è in grado di informare l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo?
SI
Ove ci sia un processo decisionale automatizzato, compresa la profilazione, esiste una procedura che consenta all’interessato di richiedere una revisione manuale della decisione o dell’attività di profilazione?
La “Profilazione” è definita come«qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica». – Articolo 4 (4) Reg. UE 2016/679.
SI
I dispositivi elettronici e gli armadi di conservazione sono protetti?
SI
É stato designato un rappresentante nell’Unione Europea?
Il “rappresentante” è definito come «la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente Regolamento». – Articolo 4 (17) Reg. UE 2016/679.
NON APPLICABILE
Gli accordi o contratti con terzi fornitori includono adeguate garanzie in materia di sicurezza e di riservatezza delle informazioni?
SI
Tutti i trasferimenti di dati sono documentati, compresi quelli transfrontalieri (ove si trattamenti di dati personali effettuati fuori UE)?
SI
Viene fornita all’interessato l’Informativa sulla Privacy nel momento in cui i dati personali sono raccolti?
SI
Se i dati personali devono essere trattati ulteriormente per una finalità diversa da quella per cui essi sono stati raccolti, sono fornite all’interessato informazioni in merito a tale diversa finalità prima del trattamento?
SI
L’Informativa sulla Privacy specifica chiaramente in che modo gli interessati possono esercitare i propri diritti in conformità al GDPR?
SI
L’Informativa dei dipendenti, dei collaboratori e dei fornitori è stata predisposta?
SI
L’Informativa del sito, inclusa la Cookie Policy, è stata predisposta?
SI
Il modulo per il consenso, incluso quello per il sito web, è stato predisposto?
SI
In caso di violazione dei dati, esiste la procedura per informare l’Autorità di controllo entro 72 ore dal momento in cui se ne è avuta conoscenza?
SI
Gli accordi/contratti con terzi specificano che tali terzi sono tenuti ad informare il titolare del trattamento senza ingiustificato ritardo di essere venuti a conoscenza di una violazione o di una potenziale violazione dei dati?
SI
L’organizzazione ha attivato politiche di protezione dei dati e il loro periodico riesame, per le seguenti tipologie di dati: dipendenti, dati dei clienti (policy privacy, consenso, cookies, on line tracking, ecc), dati di terze parti (fornitori, partner)?
NO
Esistono procedure per la gestione dei diritti dell’interessato?
SI
Esistono politiche interne che definiscono cosa debba intendersi per violazione dei dati e se e quando sia necessario informare gli interessati o l’autorità di controllo?
Le politiche interne dovrebbero esplicitare cosa costituisce violazione dei dati ai sensi del GDPR e quali misure adottare per scongiurare un eventuale “rischio per i diritti e le libertà” dell’individuo, e qualora esso si verifichi le modalità per informare le autorità competenti e l’interessato.
SI
È prevista una periodica verifica di aggiornamento delle procedure organizzative e delle misure di sicurezza?
SI
NO
La struttura è dotata di sistemi di videosorveglianza?
SI
È tenuto un registro di tutte le violazioni dei dati avvenute, comprese le relative conseguenze e i provvedimenti adottati per porvi rimedio?
NO
Sono effettuate dal personale competente valutazioni delle attività di trattamento per determinare le misure di protezione dei dati da adottare, proporzionate ai rischi connessi all’attività di trattamento?
NO
La privacy è tutelata nelle fasi iniziali di sviluppo di qualsiasi attività di trattamento, tenuto conto della valutazione dei potenziali rischi esistenti?
SI
Sono poste in atto misure quali la minimizzazione o la pseudonimizzazione dei dati in tutte le unità dell’organizzazione?
«Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati». – Articolo 25 (1) Reg. UE 2016/679.
SI
Le Valutazioni d’Impatto sulla Protezione dei dati sono prese in considerazione per quelle attività di trattamento che coinvolgono categorie particolari di dati personali, trattamento automatizzato, o profilazione?
SI
Le Valutazioni d’Impatto sulla Protezione dei dati sono prese in considerazione prima di implementare nuove tecnologie, processi o progetti?
SI
NO
Esiste un meccanismo finalizzato al trasferimento dei dati verso paesi terzi o organizzazioni internazionali, ove ciò si verifichi?
