Checklist adempimenti

Rischio basso - checklist

Esempio: piccola azienda o professionista che tratta i dati personali dei dipendenti, dei clienti e dei fornitori. Di norma il trattamento dei dati dei clienti comprende lo stretto necessario per inviare o consegnare i documenti contabili. L’azienda utilizza i dati di contatto (telefono – email) dei clienti per inviare messaggi pubblicitari (newsletter). L’azienda ha un sito internet esclusivamente utilizzato per presentare l’attività, privo di interazione con i visitatori o di attività di profilazione.

  1. Primo incontro per valutazione e mappatura dei trattamenti
  2. Registro dei trattamenti (art. 30 del GDPR)
  3. Valutazione dei rischi per ogni trattamento
  4. Decisione sulle misure tecniche e organizzative di sicurezza da adottare
  5. Privacy policy generale (art. 24 del GDPR)
  6. Informative per candidati a posizioni lavorative (art. 13 e 14 del GDPR);
  7. Informative per dipendenti e collaboratori (art. 13 del GDPR);
  8. Designazioni di autorizzato al trattamento di dati personali (per i dipendenti / collaboratori) (art. 29 e art. 32 del GDPR)
  9. Designazione del fornitore del servizio email quale Responsabile del Trattamento (art. 28 del GDPR);
  10. Designazione del Consulente del Lavoro quale Responsabile del Trattamento (art. 28 del GDPR);
  11. Designazione del Commercialista quale Responsabile del Trattamento (art. 28 del GDPR);
  12. Designazione del RSPP quale Responsabile del Trattamento (art. 28 del GDPR);
  13. Scrittura privacy tra il Titolare del Trattamento e il medico competente (autonomo titolare);
  14. Informativa clienti (art. 13 – 14 GDPR);
    • Modulo di rilevazione del consenso al trattamento dei dati per finalità di marketing a distanza (art. 7 del GDPR);
  15. Informativa potenziali clienti (es. da inserire nel sito o inviare via email) (art. 13 e 14 GDPR);
    • Modulo di rilevazione del consenso al trattamento dei dati per finalità di marketing dei potenziali clienti (art. 7 del GDPR);
  16. Privacy Policy sito internet (art. 13 e 14 del GDPR);
  17. Registro dei consensi (art. 7 GDPR);
  18. Informativa fornitori (art. 13 e 14 del GDPR);
  19. Attività di formazione (art. 29, art. 32 GDPR);
  20. Verifica periodica delle misure tecniche e organizzative di sicurezza (art. 32 GDPR)

Rischio alto - checklist

Esempio: palestra o un centro benessere che tratta i dati dei dipendenti, dei clienti e dei fornitori. I dati personali dei clienti sono anche quelli relativi alla loro salute e altri dati sensibili. L’azienda tratta i dati di contatto dei clienti per inviare messaggi pubblicitari via email (newsletter) L’azienda ha un sito internet che raccoglie dati dei visitatori per attività di profilazione con finalità di marketing diretto e raccoglie dati lasciati volontariamente dagli utenti per chiedere informazioni e/o iscriversi a corsi o eventi. Il sito ha una sezione e-commerce per la vendita di prodotti collegati al benessere della persona o cosmetici, anche dedicati a persone con particolari patologie. L’azienda utilizza un impianto di videosorveglianza negli ambienti di lavoro (anche in quelli aperti al pubblico) e ha due veicoli aziendali a disposizione di alcuni dipendenti muniti di impianto di geolocalizzazione.

  1. Primo incontro per valutazione e mappatura dei trattamenti
  2. Registro dei trattamenti (art. 30 del GDPR)
  3. Valutazione dei rischi per ogni trattamento
  4. Valutazioni di impatto per i trattamenti ad alto rischio (art. 35 del GDPR);
  5. Decisione sulle misure tecniche e organizzative di sicurezza da adottare
  6. Privacy policy generale
    • Policy per l’uso degli strumenti e dei servizi informatici
    • Policy per la gestione dei diritti degli interessati
    • Policy per la gestione delle violazioni dei dati personaliInformative per candidati a posizioni lavorative (art. 13 e 14 del GDPR);
  7. Informative per dipendenti e collaboratori (art. 13 del GDPR);
  8. Informative clienti
    • Eventuale modulo di rilevazione del consenso per il trattamento di categorie particolari di dati personali
    • Modulo di consenso per il trattamento dei dati con finalità di marketing diretto
  9. Informativa fornitori (art. 13 e 14 del GDPR);
  10. Registro dei consensi (art. 7 GDPR);
  11. Designazioni di autorizzato al trattamento di dati personali (per i dipendenti / collaboratori) (art. 29 e art. 32 del GDPR)
  12. Designazione del fornitore del software gestionale quale Responsabile del Trattamento (art. 28 del GDPR);
  13. Designazione del webmaster (sviluppatore del sito) quale Responsabile del Trattamento (art. 28 del GDPR);
  14. Designazione del fornitore di hosting del sito quale Responsabile del Trattamento (art. 28 del GDPR);
  15. Designazione del Consulente del Lavoro quale Responsabile del Trattamento (art. 28 del GDPR);
  16. Designazione del Commercialista quale Responsabile del Trattamento (art. 28 del GDPR);
  17. Designazione del RSPP quale Responsabile del Trattamento (art. 28 del GDPR);
  18. Scrittura privacy tra il Titolare del Trattamento e il medico competente (autonomo titolare);
  19. Focus su impianto di videosorveglianza
    • Comunicazioni all’ispettorato territoriale del lavoro per l’autorizzazione all’installazione dell’impianto di videosorveglianza (art. 114 del Codice Privacy e L. 300 del 1980, art. 4);
    • Predisposizione dell’informazione di primo livello relativa al trattamento dei dati tramite impianto di videosorveglianza da mostrare (es. appendere) prima dell’ingresso nell’area di azione delle videocamere (Linee Guida EDPB 03/2019);
    • Predisposizione dell’informativa completa relativa all’impianto di videosorveglianza (art. 14 GDPR, Linee Guida EDPB 03/2019);
  20. Focus sul sito di e-commerce e marketing diretto tramite sito
    • Informativa clienti (art. 13 – 14 GDPR);
      • Eventuale modulo di rilevazione del consenso al trattamento di categorie particolari di dati personali (art. 7 GDPR);
      • Modulo di rilevazione del consenso al trattamento dei dati per finalità di marketing a distanza (art. 7 del GDPR);
    • Informativa potenziali clienti (es. da inserire nel sito o inviare via email) (art. 13 e 14 GDPR);
      • Modulo di rilevazione del consenso al trattamento dei dati per finalità di marketing dei potenziali clienti (art. 7 del GDPR);
  21. Privacy Policy sito internet (art. 13 e 14 del GDPR);
  22. Cookie Policy sito internet (Provv. Garante del 10 giugno 2021);
    • Analisi dei cookie
    • Impostazione del sistema di raccolta e gestione dei consensi ai cookie utilizzati con finalità di marketing diretto (anche profilazione)
  23. Focus sulla geolocalizzazione dei veicoli aziendali
    • Informativa dipendenti sul trattamento dei dati di localizzazione del veicolo aziendale;
    • Comunicazione all’ispettorato territoriale del lavoro per l’autorizzazione all’installazione dell’impianto di geolocalizzazione del veicolo aziendale (art. 114 del Codice Privacy e L. 300 del 1980, art. 4);
  24. Attività di formazione (art. 29, art. 32 GDPR);
  25. Verifica periodica delle misure tecniche e organizzative di