Iubenda logo
Inizia la generazione

Documentazione

Indice dei contenuti

Guida per l’utilizzo del Registro delle attività di trattamento dei dati

Il GDPR (Regolamento Generale sulla Protezione dei Dati), ovvero il Regolamento Europeo 2016/679, in estrema sintesi chiarisce come i dati personali debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione. L’obiettivo del GDPR è dunque quello di rafforzare la protezione dei dati per tutte le persone le cui informazioni personali rientrano nel suo campo di applicazione, dando loro il pieno controllo dei propri dati.

Tutto questo può tuttavia diventare molto difficile da implementare in termini tecnici, soprattutto per quanto riguarda la gestione della privacy interna. Gli utenti devono essere in grado di descrivere quali dati raccolgono, per quali finalità, le parti coinvolte e altri dettagli relativi all’intera organizzazione, compresi i dati dei dipendenti.

Per ulteriori informazioni sul GDPR, dai un’occhiata alla nostra guida dedicata.

Questa guida ha l’obiettivo di illustrarti passo dopo passo la nostra soluzione per la gestione della privacy interna (Registro delle attività di trattamento dei dati).

Avvertenza: anche se l’adeguamento al GDPR è il motivo principale per impegnarsi nella gestione della privacy interna, il nostro strumento può essere utilizzato anche per la gestione della privacy interna in organizzazioni che non operano nel territorio UE o che non si rivolgono ad utenti europei.

 

Continua a leggere o guarda il tutorial completo.

Secondo il GDPR, devo avere dei registri delle attività di trattamento?

Il GDPR obbliga sia i titolari che i responsabili del trattamento a tenere un registro attività di trattamento dati. Questi registri devono essere tenuti per iscritto, anche in formato elettronico. Il Registro delle attività di trattamento dei dati è stato pensato proprio per aiutare i responsabili e i titolari del trattamento a soddisfare questo requisito.

Il registro delle attività di trattamento deve essere presentato all’autorità di controllo, se richiesto.

Quando si è esenti da questo requisito?

Le aziende o le organizzazioni che hanno meno di 250 dipendenti sono esenti da questo requisito.

👉 Tuttavia, anche se si hanno meno di 250 dipendenti ma si rientra in uno dei requisiti qui sotto, allora bisogna tenere un registro del trattamento:

  • il trattamento può comportare un rischio per i diritti e le libertà degli interessati;
  • il trattamento non è occasionale, OPPURE
  • il trattamento include “categorie speciali di dati”, come definite nell’Articolo 9(1) del GDPR, o dati personali relativi a condanne penali e reati, a cui fa riferimento l’Articolo 10.

Cosa si intende con il concetto di area?

Per area si intende una qualsiasi sottocategoria del tuo trattamento dati in cui le attività di trattamento sono tra loro omogenee. Esempi di area possono essere il tuo sito web, l’app mobile, il negozio “fisico”, i dipendenti, le risorse umane, lo stabilimento di produzione, ecc.

Per ogni area, puoi fornire una descrizione di come i dati vengono elaborati, proprio come probabilmente stai già facendo con il nostro Generatore di Privacy e Cookie Policy o con il Generatore di Termini e Condizioni per il tuo sito.

In breve, le aree sono repliche dell’entità “sito”, collegate tra loro e che puoi creare a tuo piacimento.

Cosa si intende per membri e ruoli?

A livello di account, puoi creare i membri, che possono in seguito essere associati ad uno specifico ruolo (come “titolare”, “responsabile” etc.) oppure ad una specifica area.

Puoi scegliere il ruolo da associare ai membri scegliendo tra le seguenti opzioni:

  • Titolare: una qualsiasi persona fisica o giuridica coinvolta nella determinazione delle finalità e delle modalità del trattamento dei dati personali degli utenti
  • Membro dell’organizzazione del titolare: vedi sotto
  • Responsabile: una qualsiasi persona fisica o giuridica coinvolta nel trattamento dei dati personali per conto del titolare
  • Interessato (o “utente”): la persona i cui dati personali sono oggetto di trattamento da parte del titolare o del responsabile

Ad esempio, un’organizzazione può raccogliere informazioni sugli utenti tramite il proprio sito web e memorizzarle utilizzando un servizio in cloud di terza parte. In questo scenario, la società è il titolare del trattamento dei dati, mentre l’organizzazione che eroga il servizio in cloud è il responsabile del trattamento dei dati.

Importante: i valori di default che inserisci nella sezione membri vengono applicati automaticamente anche ad ogni servizio.

Di default sono disponibili i seguenti membri:

  • Dipendenti
  • Utenti
  • Utenti UE
  • Dipartimento Marketing
  • Dipartimento Risorse Umane
  • Dipartimento Finanza
  • Dipartimento Assistenza Clienti
  • Dipartimento Vendite
  • Dipartimento Ricerca e Sviluppo
  • Dipartimento Sviluppo
  • Dipartimento Prodotto
  • Dipartimento Legale
  • Dipartimento PR
  • Dipartimento Intelligence

Come posso configurare i servizi con i nuovi campi?

La tua privacy policy deve riflettere le politiche di trattamento dei dati del tuo sito/app. Lo puoi fare aggiungendo un servizio.

I servizi generalmente si suddividono in due categorie:

  • servizi relativi alle proprie attività di raccolta dei dati (ad esempio attraverso un modulo di contatto);
  • servizi relativi alla raccolta dati effettuata da terze parti (ad esempio Google Analytics).

Quando devi scegliere un servizio da aggiungere alla tua policy, può essere d’aiuto porsi le seguenti domande:

  • Quali dati degli utenti raccolgo autonomamente e come li raccolgo? Ad esempio attraverso newsletter, modulo di contatto, sistema di commento.
  • Quali servizi di terza parte utilizzo sul mio sito/app? La maggior parte di questi servizi trattano i dati degli utenti in vari modi e dunque devono essere inclusi nella tua policy.

A seguire esamineremo i nuovi campi che abbiamo introdotto per facilitare la gestione della privacy interna (puoi trovare questi campi nella finestra di personalizzazione che compare quando aggiungi un servizio). Vediamo come funziona passo dopo passo per aiutarti a scegliere l’opzione giusta per le tue specifiche esigenze.

Etichetta e descrizione

Questi due campi servono semplicemente a descrivere facilmente il sevizio. Un esempio per una etichetta potrebbe essere “Data center”, mentre la descrizione corrispondente potrebbe essere “Data center di Francoforte”.

Regione

Questo campo si applica solo ai servizi per i quali è possibile specificare se si stanno conservando dati nell’area UE. Un esempio è “Amazon Web Services” (spesso abbreviato in “AWS”).

Dati personali

Questo campo è disponibile solo per alcuni servizi e ti permette di specificare quali dati stai raccogliendo attraverso tali servizi.

Basi giuridiche del trattamento

Ai sensi del GDPR, i dati possono essere trattati solo se sussiste almeno una base giuridica del trattamento.

Segue un elenco delle possibili basi giuridiche del trattamento.

  • L’utente ha prestato il proprio consenso per una o più specifiche finalità
  • Il trattamento dei dati è necessario per l’esecuzione di un contratto al quale l’utente ha aderito, o per intraprendere azioni (su richiesta dell’utente) preliminari alla stipula del contratto
  • Il trattamento è necessario per l’adempimento ad un obbligo di legge al quale il titolare del trattamento è soggetto
  • Il trattamento è necessario per la tutela di interessi vitali dell’utente o di terzi
  • Il trattamento è necessario per l’esecuzione di un’attività di interesse pubblico, o che rientra nell’ambito dei poteri pubblici conferiti al titolare del trattamento
  • Il trattamento è necessario per interesse legittimo del titolare del trattamento o di terzi, a meno che non prevalgano gli interessi, i diritti e le libertà dell’utente, in particolare se l’utente è un minore

Il nostro software ti permette di scegliere tra le seguenti opzioni:

  • Consenso: significa offrire agli utenti una scelta e un controllo reali. Un consenso autentico dovrebbe mettere le persone a capo dei propri dati, ispirare fiducia e coinvolgimento, e migliorare la tua reputazione. Si riferisce anche a tutti gli strumenti di tracciamento che utilizzano cookie, per i quali il consenso viene raccolto tramite un cookie banner.
  • Contratto: tutto ciò che devi fare per erogare il servizio (hosting etc.). Puoi fare riferimento a questa base giuridica se hai bisogno di elaborare i dati personali dei tuoi utenti:
    • per adempiere ai tuoi obblighi contrattuali nei loro confronti; o
    • perché ti hanno chiesto qualcosa prima di stipulare un contratto (ad esempio fornire un preventivo).
  • Obbligo di legge: puoi riferirti a questa base giuridica se necessiti di elaborare dati personali per adempiere a un obbligo di legge (ad esempio la fatturazione).
  • Interesse vitale: è possibile far riferimento ai cosiddetti interessi vitali come base giuridica se hai bisogno di elaborare dei dati personali per preservare la vita di qualcuno. Il trattamento deve essere quindi necessario. Se si possono ragionevolmente proteggere gli interessi vitali della persona in un modo meno invadente, questa base non si applica al proprio caso.
  • Interesse pubblico: ciò vale soprattutto per le autorità pubbliche, ma può valere anche per qualsiasi organizzazione che eserciti pubblici poteri o svolga compiti di interesse pubblico generale.
  • Legittimo interesse: il legittimo interesse è certamente la base giuridica più flessibile per il trattamento, ma non si può presumere che sia sempre la più appropriata. È probabile che sia la soluzione più appropriata quando l’utente utilizza i dati degli interessati in modi che ragionevolmente si possono aspettare e che hanno un impatto minimo sulla privacy, o quando vi è una motivazione convincente alla base del trattamento.
  • Speciali categorie di dati: sono dati personali che, secondo il GDPR, sono più sensibili e necessitano pertanto di maggiore tutela. Ciò include, ad esempio, informazioni relative ai caratteri razziali, la religione o la salute di un individuo.
  • Dati giudiziari: per trattare dati personali relativi a condanne o reati penali è necessario disporre sia di una base giuridica ai sensi dell’articolo 6 che di un’autorità legale o di un’autorità pubblica per il trattamento ai sensi dell’articolo 10.

Basi giuridiche per il trasferimento dei dati al di fuori dell’Unione Europea

Si applica solo quando si trasferiscono dati al di fuori dell’UE. Puoi scegliere tra le seguenti opzioni:

  • Nessun trasferimento di dati: auto-esplicativo.
  • Decisioni di adeguatezza: si tratta di una decisione adottata dalla Commissione Europea sulla base della Direttiva 95/46/CE, che stabilisce che un Paese terzo garantisce un livello adeguato di protezione dei dati personali in virtù della sua legislazione nazionale o degli impegni internazionali assunti.
  • Accordi vincolanti d’impresa: gli accordi vincolanti d’impresa (BCR) sono concepiti per consentire alle imprese multinazionali di trasferire dati personali dallo Spazio Economico Europeo (SEE) alle loro affiliate situate al di fuori dello SEE conformemente all’ottavo principio in materia di protezione dei dati e all’articolo 25 della Direttiva 95/46/CE. La procedura è stata concepita per evitare di doversi rivolgere separatamente a ogni singola autorità privacy. Ulteriori informazioni sono disponibili all’articolo 47
  • Salvaguardie appropriate: in assenza di una decisione ai sensi dell’articolo 45, paragrafo 3, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un Paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti applicabili e di mezzi di impugnazione efficaci. Ulteriori informazioni sono disponibili all’articolo 46
  • Consenso: significa offrire agli utenti una scelta e un controllo reali. Un consenso autentico dovrebbe mettere le persone a capo dei propri dati, ispirare fiducia e coinvolgimento, e migliorare la tua reputazione. Si riferisce anche a tutti gli strumenti di tracciamento che utilizzano cookie, per i quali il consenso viene raccolto tramite un cookie banner
  • Clausole contrattuali standard adottate dalla Commissione Europea: la Commissione Europea può decidere che le clausole contrattuali standard offrano garanzie sufficienti in materia di protezione dei dati tali da consentire un trasferimento internazionale. Finora ha pubblicato due serie di clausole contrattuali standard per i trasferimenti di dati dai titolari del trattamento nell’UE ai titolari del trattamento stabiliti al di fuori dell’UE o dello Spazio Economico Europeo (SEE). Si tratta della decisione 2001/497/CE e della decisione 2004/915/CE
  • Interesse pubblico: ciò vale soprattutto per le autorità pubbliche, ma può valere anche per qualsiasi organizzazione che eserciti pubblici poteri o svolga compiti di interesse pubblico generale
  • Accertamento, esercizio o difesa di un diritto in sede giudiziaria
  • Interesse vitale: è possibile far riferimento ai cosiddetti interessi vitali come base giuridica se hai bisogno di elaborare dei dati personali per preservare la vita di qualcuno. Il trattamento deve essere quindi necessario. Se si possono ragionevolmente proteggere gli interessi vitali della persona in un modo meno invadente, questa base non si applica al proprio caso

Soggetti che trattano i dati personali

Titolare

Qualsiasi persona fisica o giuridica coinvolta nella determinazione delle finalità e delle modalità del trattamento dei dati personali.

Responsabile

Qualsiasi persona fisica o giuridica coinvolta nel trattamento dei dati personali per conto del titolare del trattamento.

Membri dell’organizzazione del titolare

Un esempio comune sono i dipendenti di una determinata azienda/organizzazione.

Interessati

Possono essere ad esempio gli utenti del sito o app, i visitatori di un negozio fisico o i clienti.

Diritti disponibili

Normalmente quando la base giuridica del trattamento è il “consenso”, gli utenti devono beneficiare di tutti i diritti elencati. La nostra soluzione vi offre le seguenti opzioni:

  • Informazione: gli interessati hanno il diritto di essere informati in merito alla raccolta e all’utilizzo dei loro dati personali. Si tratta di un requisito fondamentale di trasparenza ai sensi del GDPR.
  • Accesso: gli interessati hanno il diritto di accedere ai propri dati personali e alle informazioni supplementari. Il diritto di accesso consente alle persone di essere a conoscenza del trattamento e di verificarne la liceità.
  • Rettifica: il GDPR include il diritto per gli interessati di far rettificare o completare dati personali inesatti o incompleti. La richiesta di rettifica può essere presentata verbalmente o per iscritto.
  • Cancellazione: il GDPR introduce il diritto alla cancellazione dei dati personali (detto anche “diritto all’oblio”). Gli interessati possono richiedere la cancellazione verbalmente o per iscritto.
  • Restrizione: gli interessati hanno il diritto di chiedere la limitazione o la soppressione dei loro dati personali. Non si tratta tuttavia di un diritto assoluto e si applica solo in determinate circostanze. Maggiori informazioni sono disponibili qui.
  • Portabilità del dato: il diritto alla portabilità del dato consente agli interessati di ottenere e riutilizzare i propri dati personali per le proprie finalità su diversi servizi. Consente loro di spostare, copiare o trasferire facilmente i dati personali da un ambiente IT a un altro in modo sicuro, e senza comprometterne l’usabilità.
  • Opposizione: gli interessati hanno il diritto di opporsi:
    • ai trattamenti basati su un interesse legittimo o sull’esecuzione di un’attività di interesse pubblico/esercizio di pubblici poteri (compresa la profilazione);
    • marketing diretto (compresa la profilazione); e
    • il trattamento a fini di ricerca storico-scientifica e statistica.

Politiche di conservazione

Questo campo si riferisce al tempo di conservazione dei dati. L’opzione predefinita è “conservazione dei dati per il tempo necessario al raggiungimento dello scopo” ed è applicabile nella maggior parte dei casi. In caso contrario, è possibile scegliere tra un periodo da 1 a 5 anni.

Misure di sicurezza

Esempi comuni sono la crittografia o i test di valutazione/penetrazione delle vulnerabilità, in base ai quali i sistemi tecnici devono essere testati periodicamente per valutarne la sicurezza e la resilienza.

Un’altra misura importante è il cosiddetto “backup e stoccaggio dei supporti di backup”, che significa che è consigliabile mantenere i supporti di backup in un luogo dedicato accessibile solo al personale addetto. La sicurezza del luogo dovrebbe essere verificata almeno una volta all’anno.

Ti raccomandiamo inoltre di installare e mantenere un firewall. Ti consigliamo di rivedere le attuali configurazioni, gestire le autorizzazioni per gli utenti del sistema, verificare che il sistema sia aggiornato e infine procedere con l’installazione anche sui dispositivi mobili. Tuttavia, l’esistenza di un firewall non è ovviamente una novità rispetto al GDPR, e deve essere considerata come una misura minima di sicurezza già prevista dalle norme vigenti.

Dal nostro generatore è possibile scegliere tra le seguenti opzioni:

  • Crittografia: la crittografia è un processo ampiamente utilizzato in cui i dati vengono trasformati in una versione codificata e incomprensibile, utilizzando algoritmi di crittografia e una chiave di crittografia, e in cui una chiave di decodifica o un codice consentono ad altri di decodificarla nuovamente.
  • Anonimizzazione: il considerando 26 del GDPR definisce i dati anonimizzati come “dati resi anonimi in modo tale che l’interessato non sia identificabile o non lo sia più”.
  • Pseudonomizzazione: la pseudonimizzazione è la separazione dei dati dagli identificatori diretti, in modo che il collegamento a un’identità non sia possibile senza informazioni aggiuntive tenute separatamente. Può pertanto ridurre i rischi associati al trattamento dei dati, pur mantenendo l’utilità dei dati stessi.
  • Auditing: audit periodici dei dati, revisioni ed esercizi di gestione dei dati sono requisiti costanti per mantenere la conformità con il GDPR.
  • Limitazione degli accessi: si tratta di prevedere un accesso limitato a qualsiasi dato di identificazione personale raccolto o memorizzato da qualsiasi soggetto UE.

A cosa serve il pulsante “Aggiungi variante”?

Per descrivere in modo esauriente il trattamento come richiesto dal GDPR, è necessario essere molto granulari nell’illustrare le politiche di trattamento dei dati. Uno scenario comune è quello di un sito web con moduli di contatto multipli, in cui ciascun modulo è rivolto a persone diverse o in cui i dati sono condivisi con soggetti diversi. Un altro esempio è quello in cui ci sono due newsletter diverse per gruppi di utenti o clienti differenti. Il nostro strumento interno di gestione della privacy consente quindi di aggiungere diverse versioni dello stesso servizio.

Esempi pratici

Passiamo ora ad una serie di esempi pratici per rendere più chiari i concetti di cui sopra, comprese le nostre “varianti”:

Società di Esempio SRL aggiunge un’area “Sito Web” e configura la privacy policy, la cookie policy, Privacy Controls and Cookie Solution e i termini e condizioni.

Lato privacy policy bisogna specificare quanto segue:

membri: specifichiamo i membri globali per ogni ruolo, valido per l’intera area. I membri possono anche essere specificati per singolo servizio
titolare: Società di Esempio SRL (il proprietario)
membri dell’organizzazione del titolare: dipendenti
responsabili:
interessati: utenti del sito

nome: Società di Esempio SRL

alternate_default

etichetta: Data Center DE
descrizione: Data Center di Francoforte
regione: UE
basi giuridiche del trattamento: contratto
soggetti che trattano i dati personali: il titolare, i dipendenti (coloro che sono stati individuati a livello di sito)
interessati: utenti del sito web
base giuridica per l’eventuale trasferimento di dati al di fuori dell’UE: nessun trasferimento di dati
diritti disponibili: nessuno (poiché non sarebbe possibile fornire il servizio se si opponessero all’elaborazione da parte di Società di Esempio SRL)
politica di conservazione: conservazione dei dati per il tempo necessario al raggiungimento dello scopo (opzione predefinita)
misure di sicurezza:

alternate_1

etichetta: Data Center NL
descrizione: Data Center di Amsterdam
regione: UE
basi giuridiche del trattamento: contratto
soggetti che trattano i dati personali: il titolare, i dipendenti (coloro che sono stati individuati a livello di sito)
interessati: utenti del sito web
base giuridica per l’eventuale trasferimento di dati al di fuori dell’UE: nessun trasferimento di dati
diritti disponibili: nessuno (poiché non sarebbe possibile fornire il servizio se si opponessero all’elaborazione da parte di Società di Esempio SRL)
politica di conservazione: conservazione dei dati per il tempo necessario al raggiungimento dello scopo (opzione predefinita)
misure di sicurezza:

Se non utilizzi Google Analytics sul tuo sito web o sulla tua app, puoi semplicemente specificare un altro strumento di analisi.

nome: Google Analytics
etichetta: Google Analytics
descrizione: strumento di monitoraggio Google Analytics
basi giuridiche per il trattamento: consenso
soggetti che trattano i dati personali: titolare, dipendenti (della società)
interessati: utenti del sito web
base giuridica per l’eventuale trasferimento di dati al di fuori dell’UE: consenso
diritti disponibili: informazione, accesso, rettifica, cancellazione, limitazione del trattamento, portabilità del dato, opposizione
politica di conservazione: conservazione dei dati per il tempo necessario al raggiungimento dello scopo (opzione predefinita)

nome: invio e newsletter

alternate_default

etichetta: newsletter principale (ricorda che puoi avere più di una newsletter o mailing list)
descrizione: mailing list principale
dati personali: e-mail
basi giuridiche del trattamento: consenso
soggetti che trattano i dati personali: titolare, dipendenti (della società)
interessati: utenti del sito web
base giuridica per l’eventuale trasferimento di dati al di fuori dell’UE: nessun trasferimento di dati
diritti disponibili: informazione, accesso, rettifica, cancellazione, limitazione del trattamento, portabilità del dato, opposizione
politica di conservazione: conservazione dei dati per il tempo necessario al raggiungimento dello scopo (opzione predefinita)

alternate_1

etichetta: campagne drip principali (con riferimento alle campagne drip e non alla newsletter standard)
descrizione: campagne drip
dati personali personalizzati: e-mail
basi giuridiche del trattamento: consenso
soggetti che trattano i dati personali: titolare, dipendenti
soggetti: utenti del sito web
base giuridica per l’eventuale trasferimento di dati al di fuori dell’UE: nessun trasferimento di dati
diritti disponibili: informazione, accesso, rettifica, cancellazione, limitazione del trattamento, portabilità del dato, opposizione
politica di conservazione: conservazione dei dati per il tempo necessario al raggiungimento dello scopo (opzione predefinita)
misure di sicurezza:

alternate_2

etichetta: newsletter secondaria di prodotto
descrizione: “”
dati personali personalizzati: e-mail
basi giuridiche per il trattamento: consenso
soggetti che trattano i dati personali: titolare, dipendenti
interessati: utenti del sito web
base giuridica per l’eventuale trasferimento di dati al di fuori dell’UE: nessun trasferimento di dati
diritti disponibili: informazione, accesso, rettifica, cancellazione, limitazione del trattamento, portabilità del dato, opposizione
politica di conservazione: conservazione dei dati per il tempo necessario al raggiungimento dello scopo (opzione predefinita)
misure di sicurezza:

alternate_3

etichetta: campagne drip secondarie
descrizione: “”
dati personali personalizzati: e-mail
basi giuridiche del trattamento: consenso
soggetti che trattano i dati personali: titolare, dipendenti
interessati: utenti del sito web
base giuridica per l’eventuale trasferimento di dati al di fuori dell’UE: nessun trasferimento di dati
diritti disponibili: informazione, accesso, rettifica, cancellazione, limitazione del trattamento, portabilità del dato, opposizione
politica di conservazione: conservazione dei dati per il tempo necessario al raggiungimento dello scopo (opzione predefinita)
misure di sicurezza:

alternate_4

etichetta: newsletter affiliati
descrizione: newsletter per gli affiliati
dati personali personalizzati: e-mail
basi giuridiche per il trattamento: consenso
soggetti che trattano i dati personali: titolare, dipendenti, agenzia web (che gestisce le campagne di affiliazione)
interessati: utenti del sito web
base giuridica per l’eventuale trasferimento di dati al di fuori dell’UE: nessun trasferimento dei dati
diritti disponibili: informazione, accesso, rettifica, cancellazione, limitazione del trattamento, portabilità del dato, opposizione
politica di conservazione: conservazione dei dati per il tempo necessario al raggiungimento dello scopo (opzione predefinita)
misure di sicurezza:

nome: Referral Candy

alternate_default

etichetta: account principale di Referral Candy
descrizione: “”
basi giuridiche per il trattamento: consenso
soggetti che trattano i dati personali: titolare, dipendenti, agenzia web (che gestisce le campagne di affiliazione)
soggetti: utenti del sito web
base giuridica per l’eventuale trasferimento di dati al di fuori dell’UE: consenso
diritti disponibili: informazione, accesso, rettifica, cancellazione, limitazione del trattamento, portabilità del dato, opposizione
politica di conservazione: conservazione dei dati per il tempo necessario al raggiungimento dello scopo (opzione predefinita)
misure di sicurezza:

alternate_1

etichetta: account Referral Candy per il prodotto secondario
descrizione: “”
basi giuridiche per il trattamento: consenso
soggetti che trattano i dati personali: titolare, dipendenti, agenzia web (che gestisce le campagne di affiliazione)
soggetti: utenti del sito web
base giuridica per l’eventuale trasferimento di dati al di fuori dell’UE: consenso
diritti disponibili: informazione, accesso, rettifica, cancellazione, limitazione del trattamento, portabilità del dato, opposizione
politica di conservazione: conservazione dei dati per il tempo necessario al raggiungimento dello scopo (opzione predefinita)
misure di sicurezza:

L’utente aggiunge un’area personalizzata e la chiama “dipendenti”, per descrivere i dati personali che tratta dei dipendenti e le finalità.

membri:
titolare: Società di Esempio SRL (il proprietario)
membri dell’organizzazione del titolare: dipartimento risorse umane
responsabili: X, Y
interessati: dipendenti, consulenti

denominazione: elaborazione delle buste paga

alternate_default

basi giuridiche per il trattamento: obbligo di legge
soggetti che trattano i dati personali: titolare, dipendenti, risorse umane, sig. X, sig. Y
interessati: dipendenti, consulenti
base giuridica per l’eventuale trasferimento di dati al di fuori dell’UE: nessun trasferimento di dati
diritti disponibili: nessuno
politica di conservazione: conservazione dei dati per il tempo necessario al raggiungimento dello scopo (opzione predefinita)
misure di sicurezza:

nome: Timely (software per il monitoraggio del tempo di lavoro dei dipendenti)

alternate_default

basi giuridiche per il trattamento: contratto
soggetti che trattano i dati personali: titolare, dipendenti, risorse umane, sig. X, sig. Y
interessati: dipendenti, consulenti
base giuridica per l’eventuale trasferimento di dati al di fuori dell’UE: consenso
diritti disponibili: nessuno
politica di conservazione: conservazione dei dati per il tempo necessario al raggiungimento dello scopo (opzione predefinita)
misure di sicurezza:

L’utente aggiunge un’area personalizzata e la chiama “colloquio di lavoro”, per descrivere i dati personali dei candidati che utilizza e le finalità.

membri:
titolare: Società di Esempio SRL (il proprietario)
membri dell’organizzazione del titolare: dipendenti, risorse umane
responsabili:
interessati: candidati a un posto di lavoro

nome: valutazione del candidato

alternate_default

basi giuridiche per il trattamento: consenso
soggetti che trattano i dati personali: titolare, dipendenti, risorse umane
interessati: candidati
base giuridica per l’eventuale trasferimento di dati al di fuori dell’UE: nessun trasferimento di dati
diritti disponibili: nessuno
politica di conservazione: conservazione dei dati per il tempo necessario al raggiungimento dello scopo (opzione predefinita)
misure di sicurezza: tbd