X-GDPR Documentation

Per la stampa del manuale in formato PDF, clicca su visualizza tutto il manuale ed eseguire la stampa dal pulsante: ""

DESCRIZIONE DEL SERVIZIO

Il servizio "X-GDPR" consente al cliente di gestire gli adempimenti previsti dal Regolamento UE 679/2016, attraverso il censimento delle informazioni necessarie alla governance di un sistema di gestione per la protezione dei dati personali dell'organizzazione: mediante la piattaforma, è possibile redigere i registri delle attività di trattamento previsti dall'art. 30 del Regolamento UE, 679/2016, ed eseguire, per ogni trattamento, la valutazione del rischio di cui all'art. 35 del citato regolamento; è poi possibile accedere a delle sessioni formative, personalizzate a seconda dei ruoli assunti nell'organizzazione, corredate ad un questionario comprovante l'avvenuta formazione; e inoltre possibile la gestione, mediante template o stampe automatizzate, della modulistica necessaria all'organizzazione per l'adeguamento normativo della modulistica. Al fine dell'obbligo, imposto al titolare del trattamento. Il sistema di gestione per la sicurezza delle informazioni dell'organizzazione BOXXAPPS relativa al servizio è conforme alle specifiche dettate dalla norma ISO/IEC 27001:2014, ISO 27018:2014, ISO 27017:2015 e ISO 9001:2015.

FONDAMENTI NORMATIVI

In seguito, vengono riportati gli estremi normativi su cui il servizio è costruito.

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonch� alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

"Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008
(G.U. n. 300 del 24 dicembre 2008)
(così modificato in base al provvedimento del 25 giugno 2009)

DECRETO LEGISLATIVO 30 giugno 2003, n.196 recante il "Codice in materia di protezione dei dati personali"
(integrato con le modifiche introdotte dal DECRETO LEGISLATIVO 10 agosto 2018, n. 101, recante Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679)

Circolare Agid 2/18.04.2017: Misure minime sicurezza ICT PA

INTRODUZIONE

La documentazione tecnica per la corretta fruizione del sistema, oltre ad essere contenuta nel presente manuale, è anche integrata nel servizio stesso con opportune informazioni a corredo delle varie funzioni della piattaforma. In aggiunta ogni modifica relativa alle funzionalità del servizio è accessibile dall'apposita funzione "CHANGELOG" contenuta nella piattaforma. È anche disponibile online, una documentazione che descrive l'architettura del servizio e le macro-funzionalità messe a disposizione dalla piattaforma.

ARCHITETTURA

Il servizio "X-GDPR" è costituito da una piattaforma web GDPR. La piattaforma è basata su piattaforma LAMP stack (Apache, Mysql o MariaDb, Php), completamente sviluppata su motori open source, ed è fruibile mediante i più diffusi browser web aggiornati sia da pc che da dispositivo mobile.
La piattaforma GDPR usufruisce in modalità automatica ai dati del censimento dei locali e dei dispositivi dell'organizzazione che sono censiti all'interno della piattaforma X-INFRASTRUTTURA.

I dati sono compartimentati per organizzazione.

SCHEMA LOGICO DI FUNZIONAMENTO DEL SERVIZIO

SCHEMA LOGICO DI FUNZIONAMENTO DEL SERVIZIO

CHANGELOG

La funzione "CHANGELOG", posizionata in basso a destra della videata è sempre consultabile dall'utente e permette di mantenere lo storico completo di tutte le modifiche effettuate alla piattaforma che vengono notificate all'utente finale.

INSTALLAZIONE DEL SERVIZIO

SERVIZIO AUDIT ICT

Premessa il servizio per rispondere al meglio ai nostri requisiti dovrebbe:

Essere installato su server, il S.O. non dovrà essere inferiore a Windows 2008 R2 o Windows 7 se fosse un PC
Essere creato un utente ad HOC tipo (audit.boxxapps) con requisiti di Domain Admins
Nel caso di assenza dominio va abilitato l'utente di Administrator con stessa password su tutti i PC
Il servizio si occupa di scansionare tutta la rete del comune e inviare il risultato zippato al portale dell'X-infrastruttura
Dal portale distro.accatre.it aggiungiamo un nuovo server se non dovesse essere già presente l'ente, questo ci permette di iniziare tutte le attività

INSTALLAZIONE PIATTAFORMA

Passaggi per l'installazione:

Verificare che il cliente abbia installato X-DESK
NO: Verificare che esista l'attività di installazione dell'X-DESK
SI: attivita di installazione X-DESK a tecnico TIX
NO: comunicazione a commerciale per installazione X-DESK (mail a RC)
Generazione dell'attività di installazione Audit ICT presso cliente
Generazione dell'attività di installazione della piattaforma X-GDPR
Creazione degli utenti in X-DESK
Collegare gli utenti creati alla piattaforma X-GDPR

FUNZIONALIT� DELLA PIATTAFORMA

INTRODUZIONE

Le macro-funzionalità della piattaforma GDPR permettono la raccolta dei dati di una organizzazione al fine di redigere il Registro dei Trattamenti secondo regolamento europeo GDPR 2016/679, la possibilità di seguire dei videocorsi di formazione, dalla distribuzione di documenti relativi alla privacy, dalla possibilità di eseguire una Data Protection Impact Assessment (DPIA) dei trattamenti analizzati, e da una completa gestione di eventi inerenti a violazioni privacy (eventi, incidenti e data breach). È disponibile una dashboard di controllo del livello di completamento dei dati caricati e della formazione degli operatori dell'organizzazione.
Il workflow della piattaforma segue le indicazioni fornite dalla configurazione di un organigramma dell'organizzazione.

ACCESSO

L'accesso alla piattaforma è assicurato da una pagina web di dettaglio che ne garantisce la guidabilità all'utenza rendendo semplice e fruibile il servizio. Nella stessa pagina web si individua il canale di comunicazione con l'organizzazione che ne garantisce l'assistenza diretta nel rispetto delle SLA del servizio. Alla pagina web si accede digitando le credenziali fornite all'attivazione del servizio. Nella medesima pagina c'è la possibilità di recuperare le credenziali non ricordate cliccando su "PASSWORD DIMENTICATA?" ACCESSO

Nella pagina web iniziale si individua facilmente l'icona del servizio X-GDPR. Cliccando su X-LOG si visualizza la l'home-page del servizio. Nella stessa pagina web si individua inoltre il canale di comunicazione con l'organizzazione che ne garantisce l'assistenza diretta nel rispetto delle SLA del servizio. Le istruzioni a questa sessione sono indicate nelle pagine successive, nella sezione ASSISTENZA.

PROFILI

La piattaforma X-GDPR consente la diversificazione dei privilegi di accesso a seconda della necessità del singolo utente; i profili di accesso sono personalizzabili; al momento della configurazione della piattaforma, i profili di accesso sono suddivisibili in tre tipologie di abilitazione.

In Dettaglio:

Il profilo "ALTO" consente l'accesso, sia in visione che in modifica, di tutte le funzioni della piattaforma
Il profilo "INTERMEDIO" consente un'abilitazione parziale a diverse funzionalità della piattaforma
Il profilo "BASSO", pensato per la maggioranza dei membri dell'organizzazione, consente l'accesso alle sole sezioni di interesse per il singolo utente

MENU DI NAVIGAZIONE

A seconda dalla tipologia di abilitazione dell'utente, la prima pagina che compare dopo l'accesso alla piattaforma è diversa: a titolo esemplificativo, si riportano le immagini relative ai profili più diffusi:

PROFILO BASE

Con l'abilitazione "base" la schermata iniziale rappresenta il grado di avanzamento del percorso formativo personale del singolo autorizzato al trattamento dei dati personali.

PROFILO INTERMEDIO

Con l'abilitazione intermedia, l'utente ha accesso ad una rappresentazione grafica dello stato dell'organizzazione relativamente ad alcuni aspetti cruciali dell'adeguamento normativo, quali: la percentuale dei soggetti formalmente incaricati al trattamento dei dati personali; il grado complessivo di completamento della formazione nell'organizzazione; l'adozione dei modelli organizzativi; lo stato di implementazione delle misure minime ICT.

PROFILO ALTO

Anche con l'abilitazione più elevata, l'utente ha accesso ad una rappresentazione grafica dello stato dell'organizzazione relativamente ad alcuni aspetti cruciali dell'adeguamento normativo, quali: la percentuale dei soggetti formalmente incaricati al trattamento dei dati personali; il grado complessivo di completamento della formazione nell'organizzazione; l'adozione dei modelli organizzativi; lo stato di implementazione delle misure minime ICT.

ELEMENTI DI NAVIGAZIONE

Nella prima pagina della piattaforma, sono presenti anche gli elementi di navigazione che saranno tipici di ogni funzione del portale.

Identificazione dell'organizzazione a cui si riferisce il portale, nonch� dell'operatore riconosciuto.
Barra del Menù
Changelog: Accesso allo storico completo di tutte le modifiche effettuate alla piattaforma che vengono di volta in volta notificate all'utente.
CHANGELOG
Funzione di uscita dalla piattaforma.
ESCI
Identificazione della funzione in cui si trova l'operatore
Homepage

FUNZIONI DI NAVIGAZIONE

1. FUNZIONE CONFIGURAZIONE STRUTTURALE

La funzione permette la gestione della configurazione della piattaforma

1.1. SOTTO FUNZIONE CONFIGURAZIONE P.TE 1

La sotto funzione permette la configurazione della piattaforma. Sotto funzione Configurazione P.te 1

Nel dettaglio:

Versione � la versione della piattaforma
Nome Ente � il nome dell'organizzazione di riferimento
Nome portale � il nome della piattaforma
Sfondo homepage � la possibilità di inserire un'immagine di sfondo ella home page
Logo sx � la possibilità di inserire l'immagine di un logo che comparirà sulla sinistra della finestra principale di navigazione
Testo logo sx � la possibilità di inserire un testo che comparirà sotto il logo presente nella sinistra della finestra principale di navigazione
Logo del comune � la possibilità di inserire il logo dell'organizzazione che comparirà al centro della finestra principale di navigazione
Nella sezione dei dati indirizzo vengono riportati i dati di riferimento dell'organizzazione
La funzione permetta il salvataggio delle informazioni inserite

1.2. SOTTO FUNZIONE PROFILI

La sotto funzione permette la gestione dei profili di accesso alla piattaforma. Sotto funzione Profili

Nel dettaglio:

Descrizione � Descrizione del profilo
La funzione permette la cancellazione della riga relativa ai profili
La funzione permette la modifica della configurazione dei profili e di accedere alla stessa finestra che viene abilitata dalla funzione

Dove nel dettaglio:

Descrizione � Descrizione del profilo
La funzione permette il salvataggio di quanto inserito

1.3. SOTTO FUNZIONE FUNZIONI-PROFILI

La sotto funzione permette la gestione delle funzioni associate ai profili. Sotto funzione Funzione-Profili

Nel dettaglio nella finestra compaiono come intestazione di colonna i vari profili e come righe le varie funzioni è pertanto possibile mappare le varie funzioni all'interno dei profili di riferimento.

2. FUNZIONE CONFIGURAZIONE OPERATIVA

La funzione permette la configurazione operativa della piattaforma

2.1. SOTTO FUNZIONE OPERATORI

La sotto funzione permette la gestione degli utenti della piattaforma che sono distinti tra gli operatori del servizio di assistenza di secondo livello di Boxxapps e gli operatori dell'organizzazione di riferimento della piattaforma. Sotto funzione Operatori

Nel dettaglio:

Cognome � identificazione del cognome dell'operatore
Nome � identificazione del nome dell'operatore
Nome utente � identificazione del nome utente
Utente X-desk � identificazione e gestione dell'associazione tra l'utente della piattaforma e la piattaforma di identificazione univoca X-desk
La funzione permette la cancellazione della riga relativa agli utenti
La funzione permette la modifica della configurazione degli utenti e di accedere alla stessa finestra che viene abilitata dalla funzione

Nel dettaglio:

Cognome � l'indicazione del cognome dell'operatore
Nome � l'indicazione del nome dell'operatore
Nome Utente � l'identificazione del nome utente
Email � la mail dell'utente
Dati Utente � informazioni riguardanti la scadenza e l'ultimo accesso dell'utente
La funzione permette la riattivazione dell'utente
La funzione permette di reimpostare la password per l'operatore
La funzione permette il salvataggio di quanto inserito

2.2. SOTTO FUNZIONE OPERATORI-PROFILI

La sotto funzione permette la gestione dei profili associati agli operatori. Sotto funzione Operatori-Profili

Nel dettaglio nella finestra compaiono come intestazione di colonna i vari profili e come righe i vari operatori è pertanto possibile mappare i vari profili associandoli agli operatori di riferimento.

3. FUNZIONE TABELLE

3.1. SOTTO FUNZIONE PARAMETRI

Come indicato nel riquadro descrittivo, in questa sezione devono essere indicate le generalità ed i dati di contatto dell'organizzazione titolare del trattamento dei dati (Intestazione, indirizzo, località, telefono, email, pec); deve essere inoltre indicato se è stato o meno nominato un Data Protection Officer.

3.2. SOTTO FUNZIONE NATURA DEI DATI

In questa sezione devono essere indicate le tipologie di dati personali che possono essere oggetto di trattamento; ad ogni tipologia di dati, è assegnato un valore relativo all'"importanza del dato" e alla "qualità dal dato. L'utente ha la possibilità di eliminare la categoria di dati, cliccando l'icona .
L'utente ha la possibilità di modificare la categoria di dati, cliccando l'icona .
L'utente ha la possibilità di aggiungere una nuova categoria di dati, selezionando

Selezionando l'icona è possibile accedere alla schermata di modifica della categoria di dati selezionata Funzione Natura dei dati

In questa sezione è possibile modificare la descrizione della categoria di dati; è inoltre possibile assegnare un valore all'importanza del dato e alla qualità del dato, come di seguito definite:

Importanza del dato: il grado di importanza di ogni singola tipologia di dato coinvolto nei trattamenti. il dato personale può avere un valore � e dunque un'importanza � diverso a seconda della tipologia coinvolta nel trattamento, così ad esempio il dato relativo allo stato di salute sarà sicuramente più importante del dato concernente i dati di contatto (numero di telefono) dell'interessato, e richiede pertanto una maggior tutela
Qualità del dato: grado di accuratezza e frequenza di aggiornamento del dato personale trattato, corrisponde al principio di esattezza di cui all'art. 5 lett. d) Regolamento (UE) 2016/679. Corrisponde a quanto esatto ed aggiornato è il dato personale

Le modifiche apportate devono essere salvate, cliccando il tasto

3.3. SOTTO FUNZIONE NATURA DEL TRATTAMENTO

In questa sezione devono essere indicate le modalità con cui vengono trattati i dati personali che possono essere oggetto di trattamento; ad ogni tipologia di dati, è assegnato un valore relativo all'"importanza del dato" e alla "qualità dal dato. L'utente ha la possibilità di eliminare la modalità, cliccando l'icona .
L'utente ha la possibilità di modificare la modalità, cliccando l'icona .
L'utente ha la possibilità di aggiungere una nuova natura del trattamento, selezionando

Selezionando l'icona è possibile accedere alla schermata di modifica della natura del trattamento selezionata Funzione Natura del Trattamento

Le modifiche apportate devono essere salvate, cliccando il tasto

3.4. SOTTO FUNZIONE CATEGORIA INTERESSATI

In questa sezione devono essere indicate le categorie di interessati a cui appartengono i dati personali; ad ogni categoria di interessati, è assegnato un valore relativo alla "vulnerabilità dell'interessato". L'utente ha la possibilità di eliminare la categoria, cliccando l'icona .
L'utente ha la possibilità di modificare la categoria, cliccando l'icona .
L'utente ha la possibilità di aggiungere una nuova categoria di interessati, selezionando, selezionando

Selezionando l'icona è possibile accedere alla schermata di modifica della categoria di interessati selezionata Funzione Categoria Interessati

In questa sezione è possibile modificare la descrizione della categoria di interessati; è inoltre possibile assegnare un valore alla vulnerabilità dell'interessato, come di seguito definita:

Vulnerabilità dell'interessato: valore riferito alla vulnerabilità del soggetto, per cui alcune categorie di soggetti interessati sono più bisognosi di protezione, considerato che il trattamento dei loro dati personali potrebbe comportare rischi specifici per i loro diritti e le loro libertà (ad esempio, i minori sono sicuramente una categoria di interessato vulnerabile)

Le modifiche apportate devono essere salvate, cliccando il tasto

3.5. SOTTO FUNZIONE FINALIT� DEL TRATTAMENTO

Questa sezione contiene le finalità di trattamento, ovvero i motivi per cui vengono trattati i dati personali: ogni finalità di trattamento è suddivisa in diverse sub-finalità che specificano la "macrofinalità"; per visualizzare le sub-finalità associate alla "macrofinalità", è necessario cliccare sul simbolo .
Ogni finalità è assegnata ad un'area, un settore o un servizio.
L'utente ha la possibilità di eliminare la finalità, cliccando l'icona .
L'utente ha la possibilità di modificare la finalità, cliccando l'icona .
L'utente ha la possibilità di aggiungere una nuova finalità di trattamento

Selezionando l'icona è possibile accedere alla schermata di modifica della finalità selezionata Funzione Finalita Trattamento

In questa sezione è possibile modificare la descrizione della finalità o delle sub-finalità associate; è possibile eliminare una o più sub-finalità, cliccando l'icona , è inoltre possibile provvedere alla duplicazione delle sub-finalit�, cliccando l'icona ed è possibile aggiungere una sub-finalità, selezionando .
È anche possibile assegnare la singola sub-finalità, ad un'area, settore o servizio differente, aprendo la tendina della sub-finalità e selezionando la differente area, settore, o servizio. Funzione Finalita Trattamento

Le modifiche apportate devono essere salvate, cliccando il tasto

3.6. SOTTO FUNZIONE MISURE DI SICUREZZA ICT

In questa sezione sono elencate le misure di sicurezza ICT previste dalla Circolare AgID 2/2017, suddivise nei tre livelli (misure minime, standard ed alte). È possibile aggiungere una misura di sicurezza, selezionando

Selezionando l'icona è possibile accedere alla schermata di modifica della finalità selezionata Funzione Misure di Sicurezza ICT

L'utente ha la possibilità di descrivere la misura di sicurezza ICT, e definire se è ritenuta una misura minima, standard o alta.

Le modifiche apportate devono essere salvate, cliccando il tasto:

3.7. SOTTO FUNZIONE GESTIONE TRATTAMENTI

In questa sezione devono essere indicate le operazioni di trattamento che possono essere svolte sui dati personali.
L'utente ha la possibilità di eliminare il trattamento, cliccando l'icona
L'utente ha la possibilità di modificare il trattamento, cliccando l'icona
L'utente ha la possibilità di aggiungere una nuova operazione di trattamento, selezionando

Selezionando l'icona è possibile accedere alla schermata di modifica dell'operazione di trattamento selezionata Funzione Gestione Trattamenti

Le modifiche apportate devono essere salvate, cliccando il tasto:

3.8. SOTTO FUNZIONE GESTIONE BANCHE DATI

La sotto funzione permette la mappatura delle banche dati di riferimento dei processi che interessano informazioni contenti dati personali Funzione Gestione Banche Dati

3.9. SOTTO FUNZIONE DESTINATARI TERZI

In questa sezione devono essere indicate i destinatari o le categorie di destinatari dei dati (intesi, ai sensi dell'art. 4 paragrafo 1 n. 9 come "la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi").
L'utente ha la possibilità di eliminare il destinatario, cliccando l'icona
L'utente ha la possibilità di modificare il destinatario, cliccando l'icona
L'utente ha la possibilità di aggiungere un nuovo destinatario, selezionando

Selezionando l'icona è possibile accedere alla schermata di modifica del destinatario selezionato. Funzione Destinatari Terzi

Le modifiche apportate devono essere salvate, cliccando il tasto:

3.10. SOTTO FUNZIONE DESTINATARI DI PAESI TERZI

Di seguito devono essere indicati i destinatari di paesi non appartenenti all'Unione Europea.
L'utente ha la possibilità di eliminare il destinatario, cliccando l'icona
L'utente ha la possibilità di modificare il destinatario, cliccando l'icona
L'utente ha la possibilità di aggiungere un nuovo destinatario o una nuova categoria di destinatario, selezionando

Selezionando l'icona è possibile accedere alla schermata di modifica del destinatario selezionato. Funzione Destinatari Paesi Terzi

L'utente deve compilare i dati richiesti, ovvero la denominazione, l'indirizzo, la nazione, il rappresentante (inteso, ai sensi dell'art. 4 paragrafo 1 n.17 come "la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'articolo 27, [che] li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento"), la sede del rappresentante ed il suo recapito.

Le modifiche apportate devono essere salvate, cliccando il tasto:

3.11. SOTTO FUNZIONE TITOLARI PER CUI SI SVOLGE IL TRATTAMENTO

Nel caso in cui l'organizzazione svolga dei trattamenti quale responsabile al trattamento ex art. 28 Reg. Ue 679/2016, in questa sezione devono essere indicati i titolari del trattamento per conto dei quali l'organizzazione tratta dei dati personali.

Come da indicazioni del Garante per la protezione dei dati personali, secondo cui "nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti titolari (es. società di software house), le informazioni di cui all'art. 30, par. 2 del RGPD dovranno essere riportate nel registro con riferimento a ciascuno dei suddetti titolari. In questi casi il responsabile dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce; ove, a causa dell'ingente numero di titolari per cui si operi, l'attività di puntuale indicazione e di continuo aggiornamento dei nominativi degli stessi nonch� di correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile potrebbe riportare il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall'art. 30, par. 2 del RGPD;"

https://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento.

È anche possibile provvedere a tale censimento caricando un distinto file, selezionando la funzione
È possibile aggiungere singolarmente il titolare, selezionando la funzione
L'utente ha la possibilità di eliminare il titolare, cliccando l'icona
L'utente ha la possibilità di modificare il titolare, cliccando l'icona

3.11.1. CARICA CSV

L'utente, previa creazione di un file CSV con il seguente formato senza alcuna intestazione:

Denominazione1;Indirizzo1;Provincia1;Nazione1;cliente@email.it;cliente@pec.it;041999999;Nominativo Dpo1; dpo@email.it;dpo@pec.it;041999999;ReferenteDpo1;

Può provvedere al caricamento del file CSV, selezionando la funzione e successivamente, una volta scelto il file CSV da caricare, selezionando .

Con questa modalità, il sistema importerà nella piattaforma i dati presenti nel file CSV, che appariranno nella schermata "Titolari per cui si svolge il trattamento". Funzione Titolari CSV

3.11.2. AGGIUNGI

Questa funzionalità permette l'aggiunta del titolare per conto del quale l'organizzazione sta trattando dei dati personali con una duplice modalità:

Inserimento manuale
Permette l'inserimento singolo di un titolare per cui si svolge il trattamento: Funzione Titolari Aggiungi

L'utente deve compilare i dati richiesti, sia nella sezione "Titolare per cui si svolge il trattamento" sia nella sezione "Dettagli DPO" (che attengono ai dati del DPO del titolare per cui si svolge il trattamento), ove conosciuti. Funzione Titolari Aggiungi

Le modifiche apportate devono essere salvate, cliccando il tasto:
La compilazione dei campi risulterà nella schermata "titolari per cui si svolge il trattamento": Funzione Titolari Aggiungi

Inserimento da allegato
Funzione Titolari Aggiungi

Permette l'inserimento di un file contenente un elenco già formato, l'utente, una volta descritto, nel campo "DESCRIZIONE" il file da allegare, può, selezionando la funzione , scegliere il file da allegare e provvedere al caricamento nella piattaforma, selezionando .
Con questa modalità, il sistema importerà nella piattaforma il file desiderato, la cui denominazione apparirà nella schermata "Titolari per cui si svolge il trattamento". Funzione Titolari Aggiungi

Selezionando la funzione all'utente si aprirà la sottostante maschera di visualizzazione del file allegato. Funzione Titolari Aggiungi

che sarà possibile visionare selezionando il simbolo

3.12. SOTTO FUNZIONE AREA

Di seguito, devono essere indicate le aree organizzative in cui è suddivisa l'organizzazione; la schermata permette la visualizzazione dei settori collegati direttamente all'area e dei servizi collegati direttamente all'area.

E' possibile visualizzare l'organigramma dell'organizzazione selezionando .
L'utente ha la possibilità di eliminare l'area, cliccando l'icona
L'utente ha la possibilità di modificare l'area, cliccando l'icona
L'utente ha la possibilità di aggiungere un'area, selezionando .

3.13. SOTTO FUNZIONE SETTORE

Di seguito, devono essere indicate i settori in cui è suddivisa l'organizzazione; la schermata permette la visualizzazione delle aree e dei servizi collegati direttamente al settore.

E' possibile visualizzare l'organigramma dell'organizzazione selezionando .
L'utente ha la possibilità di eliminare il settore, cliccando l'icona
L'utente ha la possibilità di modificare il settore, cliccando l'icona
L'utente ha la possibilità di aggiungere un settore, selezionando .

3.14. SOTTO FUNZIONE SERVIZIO

Di seguito, devono essere indicate i servizi svolti dall'organizzazione; la schermata permette la visualizzazione dell'area/del settore a cui appartiene il servizio.

E' possibile visualizzare l'organigramma dell'organizzazione selezionando .
L'utente ha la possibilità di eliminare il servizio, cliccando l'icona
L'utente ha la possibilità di modificare il servizio, cliccando l'icona
L'utente ha la possibilità di aggiungere un servizio, selezionando .

4. FUNZIONE GESTIONE REGISTRO

4.1. SOTTO FUNZIONE LOCALI DOVE SI SVOLGE IL TRATTAMENTO

Di seguito è rappresentata la struttura fisica dell'organizzazione: la compilazione delle sedi, dei piani e degli uffici si opera accedendo alla piattaforma X-INFRASTRUTTURA, cui rimanda per le relative istruzioni; l'accesso alla piattaforma può essere tuttavia eseguito anche da questa pagina, cliccando "QUI": Funzione Locali

4.2. SOTTO FUNZIONE TITOLARE

Di seguito sono indicati i dati relativi all'organizzazione titolare del trattamento (definito dall'art. 4 paragrafo 1, n. 7 come "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali"), rispettivamente: LEGALE RAPPRESENTANTE, CONTATTO EMAIL, DATA INIZIO INCARICO e DATA FINE INCARICO.

L'utente ha la possibilità di eliminare il titolare del trattamento, cliccando
L'utente ha la possibilità di modificare il titolare del trattamento, cliccando
L'utente ha la possibilità di aggiungere il titolare del trattamento, cliccando

La schermata consente di storicizzare i dati censiti per verificare la situazione dell'organizzazione alla data desiderata.

4.2.1. AGGIUNGI TITOLARE

L'utente deve selezionare il titolare e il legale rappresentante dai rispettivi menù a tendina.

Deve inoltre inserire la data di inizio incarico e di fine incarico del legale rappresentante, e ha la possibilità di allegare la documentazione di nomina selezionando .
Le modifiche apportate devono essere salvate, cliccando il tasto .

4.2.2. MODIFICA TITOLARE

Selezionando l'icona è possibile accedere alla schermata di modifica del titolare selezionato: Funzione Titolari

4.3. SOTTO FUNZIONE CONTITOLARE

In questa sezione devono essere indicati i dati relativi all'eventuale contitolare del trattamento (definito dall'art. 26 paragrafo 1, secondo cui "allorch� due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento", rispettivamente: CONTITOLARE DEI DATI; PEC; EMAIL; INDIRIZZO; RECAPITO.

L'utente ha la possibilità di eliminare il contitolare del trattamento, cliccando
L'utente ha la possibilità di modificare il contitolare del trattamento, cliccando
L'utente ha la possibilità di aggiungere il contitolare del trattamento, cliccando
Selezionando la funzione all'utente si aprirà la sottostante maschera di visualizzazione del file allegato che sarà possibile visionare selezionando il simbolo . Funzione Contitolari

4.3.1. AGGIUNGI CONTITOLARE

L'utente deve compilare i campi richiesti, ovvero la denominazione, l'indirizzo, la nazione, email, provincia, pec e recapito.
L'utente ha la possibilità di aggiungere la documentazione, ed in particolare, l'eventuale accordo di contitolarità, selezionando
Le modifiche apportate devono essere salvate, cliccando il tasto

4.3.2. MODIFICA CONTITOLARE

Selezionando l'icona è possibile accedere alla schermata di modifica del contitolare selezionato Funzione Contitolari

Le modifiche apportate devono essere salvate, cliccando il tasto

4.4. SOTTO FUNZIONE PRIVACY MANAGER/DELEGATO

In questa sezione devono essere indicati i dati del privacy manager e degli eventuali delegati al trattamento ai sensi dell'art. 2-quaterdecies del D. Lgs. 196/2003.

Il simbolo implica che al soggetto è attribuita la qualifica di privacy manager, il simbolo che il soggetto non è privacy manager ma delegato al trattamento.

L'utente ha la possibilità di eliminare il privacy manager/delegato al trattamento, cliccando
L'utente ha la possibilità di modificare il privacy manager/delegato al trattamento, cliccando
L'utente ha la possibilità di aggiungere il privacy manager/delegato al trattamento, cliccando

La schermata consente di storicizzare i dati censiti per verificare la situazione dell'organizzazione alla data desiderata.

Selezionando la funzione all'utente si aprirà la sottostante maschera di visualizzazione del file allegato che sarà possibile visionare selezionando il simbolo . Funzione Privacy Manager

4.4.1. AGGIUNGI DELEGATO/PRIVACY MANAGER

È necessario selezionare l'incaricato (privacy manager o delegato) dal menù a tendina. È poi necessario compilare le informazioni richieste, relative alla data di inizio incarico e di fine incarico, e specificare di che tipo di incarico trattasi; se il soggetto incaricato riveste la qualifica di privacy manager, è necessario abilitare l'apposito flag.
L'utente ha la possibilità di aggiungere la documentazione di nomina a delegato al trattamento/a privacy manager, selezionando
Le modifiche apportate devono essere salvate, cliccando il tasto

4.4.2. MODIFICA DELEGATO/PRIVACY MANAGER

Selezionando l'icona è possibile accedere alla schermata di modifica del privacy manager/delegato selezionato. Funzione Privacy Manager

Le modifiche apportate devono essere salvate, cliccando il tasto

4.5. SOTTO FUNZIONE RESPONSABILI DI AREA / SETTORE / SERVIZIO

In questa sezione devono essere indicati i dati del privacy manager e degli eventuali delegati al trattamento ai sensi dell'art. 2-quaterdecies del D. Lgs. 196/2003.

Il simbolo implica che al soggetto è attribuita la qualifica di privacy manager, il simbolo che il soggetto non è privacy manager ma delegato al trattamento.

L'utente ha la possibilità di eliminare il responsabile, cliccando
L'utente ha la possibilità di modificare il responsabile, cliccando
L'utente ha la possibilità di aggiungere il responsabile, cliccando

La schermata consente di storicizzare i dati censiti per verificare la situazione dell'organizzazione alla data desiderata.

4.5.1. AGGIUNGI RESPONSABILE

È necessario selezionare il responsabile dal menù a tendina.

È poi necessario espandere l'area, o il settore, o il servizio di cui il soggetto è responsabile, cliccando l'icona e selezionare l'area, o il settore, o il servizio di cui è responsabile.
È poi necessario definire la data di inizio e fine incarico del responsabile di area/settore/servizio.

Le modifiche apportate devono essere salvate, cliccando il tasto

4.5.2. MODIFICA RESPONSABILE

Selezionando l'icona è possibile accedere alla schermata di modifica del responsabile selezionato. Funzione Resp Area Sett Serv

Per modificare le informazioni relative al responsabile selezionato, è poi necessario espandere l'area, o il settore, o il servizio cliccando l'icona e de-selezionare l'area, o il settore, o il servizio in precedenza selezionato e selezionando la nuova area/settore/servizio di cui è responsabile.

4.6. SOTTO FUNZIONE RESPONSABILI PRIVACY

In questa sezione devono essere indicati i dati dei responsabili dei dati personali, definiti dall'art. 4 paragrafo 1 n. 8, come "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento";

L'utente ha la possibilità di eliminare il responsabile, cliccando
L'utente ha la possibilità di modificare il responsabile, cliccando
L'utente ha la possibilità di aggiungere il responsabile, cliccando

La schermata consente di storicizzare i dati censiti per verificare la situazione dell'organizzazione alla data desiderata.

Selezionando la funzione all'utente si aprirà la sottostante maschera di visualizzazione del file allegato che sarà possibile visionare selezionando il simbolo . Funzione Responsabile Privacy

4.6.1. AGGIUNGI RESPONSABILE PRIVACY

L'utente deve compilare i campi richiesti, ovvero la ragione sociale, l'indirizzo, il paese, stato, contatto e-mail, recapito telefonico, data inizio incarico e data di fine incarico.
Deve poi specificare l'incarico del responsabile al trattamento, nel relativo campo.
L'utente ha la possibilità di aggiungere la documentazione, ed in particolare, la nomina a responsabile al trattamento dei dati personali ex art.28 Regolamento UE 679/2017, selezionando

Le modifiche apportate devono essere salvate, cliccando il tasto

4.6.2. MODIFICA RESPONSABILE PRIVACY

Selezionando l'icona è possibile accedere alla schermata di modifica del responsabile selezionato. Funzione Responsabile Privacy

Le modifiche apportate devono essere salvate, cliccando il tasto

4.7. SOTTO FUNZIONE AMMINISTRATORI DI SISTEMA

In questa sezione devono essere indicati gli amministratori di sistema dell'organizzazione, definiti nel Provvedimento del Garante per la protezione dei dati personali "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008) (così modificato in base al provvedimento del 25 giugno 2009)";

L'utente ha la possibilità di eliminare l'amministratore di sistema, cliccando
L'utente ha la possibilità di modificare l'amministratore di sistema, cliccando
L'utente ha la possibilità di aggiungere l'amministratore di sistema, cliccando

La schermata consente di storicizzare i dati censiti per verificare la situazione dell'organizzazione alla data desiderata.

Selezionando la funzione all'utente si aprirà la sottostante maschera di visualizzazione del file allegato che sarà possibile visionare selezionando il simbolo . Funzione Amministratore di Sistema

4.7.1. AGGIUNGI AMMINISTRATORE DI SISTEMA

È possibile aggiungere sia un amministratore di sistema interno all'organizzazione sia un amministratore di sistema esterno all'organizzazione, fleggando la relativa selezione.

Nel caso l'amministratore di sistema sia interno all'organizzazione, è necessario selezionarlo tra i soggetti censiti.
Nel caso l'amministratore di sistema sia esterno all'organizzazione, l'utente deve compilare i campi richiesti, ovvero la denominazione, contatto e-mail, indirizzo, il paese, recapito telefonico, data inizio incarico e data di fine incarico.

L'utente ha la possibilità di aggiungere la documentazione, ed in particolare, la nomina a responsabile al trattamento dei dati personali ex art.28 Regolamento UE 679/2017, selezionando

Le modifiche apportate devono essere salvate, cliccando il tasto

4.7.2. MODIFICA AMMINISTRATORE DI SISTEMA

Selezionando l'icona è possibile accedere alla schermata di modifica dell'amministratore di sistema selezionato.

Le modifiche apportate devono essere salvate, cliccando il tasto

4.8. SOTTO FUNZIONE AUTORIZZATI AL TRATTAMENTO

In questa sezione devono essere indicati gli autorizzati al trattamento dei dati personali dell'organizzazione.

L'utente ha la possibilità di eliminare l'autorizzato al trattamento, cliccando
L'utente ha la possibilità di modificare l'autorizzato al trattamento, cliccando
L'utente ha la possibilità di aggiungere un autorizzato al trattamento, cliccando

La schermata consente di storicizzare i dati censiti per verificare la situazione dell'organizzazione alla data desiderata.

Selezionando la funzione all'utente si aprirà la sottostante maschera di visualizzazione del file allegato che sarà possibile visionare selezionando il simbolo . Funzione Autorizzati al trattamento

4.8.1. AGGIUNGI AUTORIZZATO AL TRATTAMENTO

È necessario selezionare l'incaricato dal rispettivo menù a tendina.

È poi necessario compilare le informazioni richieste, relative alla data di inizio incarico e di fine incarico, ed è possibile inserire eventuali note nel relativo campo;
L'utente ha la possibilità di aggiungere la documentazione, ed in particolare, la nomina a responsabile al trattamento dei dati personali ex art.28 Regolamento UE 679/2017, selezionando

Le modifiche apportate devono essere salvate, cliccando il tasto

4.8.2. MODIFICA AUTORIZZATO AL TRATTAMENTO

Selezionando l'icona è possibile accedere alla schermata di modifica del soggetto autorizzato al trattamento.

Le modifiche apportate devono essere salvate, cliccando il tasto

4.9. SOTTO FUNZIONE RESPONSABILE PROTEZIONE DATI (DPO)

In questa sezione deve essere indicato il Data Protection Officer (DPO), o anche Responsabile per la Protezione dei Dati (RPD), previsto dall'art. 37 del Regolamento UE 679/2016.

L'utente ha la possibilità di eliminare il D.P.O., cliccando
L'utente ha la possibilità di modificare il D.P.O., cliccando
La funzione permette di inviare l'abilitazione al D.P.O.al fine di farlo interagire con la piattaforma X-GDPR.
L'utente ha la possibilità di aggiungere un autorizzato al trattamento, cliccando

La schermata consente di storicizzare i dati censiti per verificare la situazione dell'organizzazione alla data desiderata.

Selezionando la funzione all'utente si aprirà la sottostante maschera di visualizzazione del file allegato che sarà possibile visionare selezionando il simbolo . Funzione DPO

4.9.1. AGGIUNGI RESPONSABILE PROTEZIONE DATI

È possibile aggiungere sia un D.P.O. presente nell'elenco dei soggetti autorizzati, che un altro soggetto, fleggando la relativa selezione.

L'utente deve aggiungere la documentazione di nomina, selezionando

Le modifiche apportate devono essere salvate, cliccando il tasto

4.9.2. MODIFICA RESPONSABILE PROTEZIONE DATI

Selezionando l'icona è possibile accedere alla schermata di modifica del D.P.O. selezionato.

Le modifiche apportate devono essere salvate, cliccando il tasto

4.10. SOTTO FUNZIONE BANCHE DATI

In questa sessione vengono censite le banche dati utilizzate dal titolare del trattamento per conservare e storicizzare le informazioni digitali, banche dati intese come archivi informatici e inoltre gli archivi cartacei contenenti informazioni personali. Come definiti all'art. 4 paragrafo 1 n. 6 del Regolamento UE 2016/679 che definisce �archivio�: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico.

L'utente ha la possibilità di eliminare la banca dati censita cliccando
L'utente ha la possibilità di modificare la banca dati, cliccando
Cliccando invece su l'utente ha la possibilità di aggiungere una banca dati digitale o cartacea.

4.10.1. AGGIUNTA DI UNA BANCA DATI

In fase di censimento di una nuova banca dati, premendo sulla prima voce in alto, si può selezionare il nome della banca dati dall'elenco di default presente nella sotto funzione "Gestione Banche Dati" della funzione "Tabelle".

In alternativa si può inserire ex-novo un nominativo per la nuova banca dati nell'apposito campo Descrizione banca dati.

Successivamente alla definizione del nome della banca dati, (consigliamo di utilizzare dei nomi il più attinenti possibili alle informazioni contenute nella banca dati in modo da individuare velocemente e correttamente la tipologia di informazioni contenute) possiamo definire la tipologia di banca dati:

La banca dati è un archivio informatico digitale DIGITALE
La banca dati è un archivio CARTACEO

Definito il nome che daremo alla banca dati e la tipologia di dati, in essa contenuti, possiamo inserire informazioni che identificano la gestione e la sicurezza della banca dati. Si può inserire il nome del responsabile della banca dati premendo sul menu a tendina Responsabile banca dati. Si possono selezionare i responsabili tra i nominativi delle figure responsabili all'interno dell'organizzazione. Dette figure compaiono se sono state censite in precedenza nella sotto funzione "Responsabili di Area/Settore/Servizio" della funzione "Gestione Registro".

SEZIONE INFORMAZIONI SULL'ARCHIVIO CARTACEO:
In questa sezione si possono inserire le informazioni riferite all'archivio cartaceo (se la banca dati si riferisce all'archivio cartaceo) come ad esempio l'ubicazione dove risiederono i documenti cartacei contenenti dati personali.
Premendo sul tasto vendono visualizzati tutti gli uffici dell'organizzazione censiti in precedenza nella sotto funzione "Locali dove si esegue il trattamento" della funzione "Gestione Registro". Per selezionare un ufficio basta premere sulla chekbox di destra riferita alla riga dell'ufficio interessato o degli uffici interessati e chiudere la selezione premendo su CHIUDI in basso a desta.
Si possono inoltre inserire liberamente ulteriori indicazioni riferite all'archivio cartaceo come la tipologia di documenti presenti nell'apposito campo Note archivio cartaceo, a titolo esemplificativo: faldoni, registri, schede, ecc... ecc...

SEZIONE INFORMAZIONI SULL'ARCHIVIO DIGITALE:
In questa sezione si possono definire le caratteristiche della banca dati digitale, intesa come archivio informatico e in particolare:

La Risorsa hardware contenente il dato, inteso come dispositivo ICT contenete i dati, come ad esempio il personal computer, il server, la NAS, il cloud computing o altro dispositivo contenente informazioni digitali.
Cliccando sul tasto viene presentato all'utente l'elenco delle apparecchiature informatiche censite dall'organizzazione e che rappresenta l'asset ICT dell'organizzazione stessa. Per selezionare il dispositivo o i dispositivi premere sulla chekbox di destra riferita alla riga del dispositivo o dei dispositivi interessati e confermare la selezione premendo su CHIUDI in basso a desta.
Il censimento degli asset ICT è definito nella sotto funzione "Audit ICT" della funzione "Misure di Sicurezza ICT"
Si può definire se le informazioni contenute nell'archivio digitale sono criptate ponendo il semplice flag CRIPTATO
Ulteriori informazioni sull'archivio digitale sono le modalità con sui le informazioni contenute nell'archivio digitale sono garantite in termini di disponibilità, resilienza e integrità. Nello specifico possiamo definire le modalità delle copia di backup delle informazioni digitali e nello specifico se:
- È stato implementato un sistema di backup per l'archivio digitale;
- Se il sistema di sistema di backup implementato cripta le copie;
- La frequenza con la quale si eseguono le copie di backup;
- L'ubicazione delle copie di backup inteso come luogo fisico dove sono conservate le copie;
Una volta definita l'esistenza e le modalità di backup dell'archivio digitale, posso ulteriormente definire se è prevista una copia di Disaster per l'archivio digitale.
- Come per le copie di backup può essere definita l'esistenza o la non esistenza di una procedura che implementi delle copie di disaster;
- Se le copie di disaster sono criptate;
- La frequenza con la quale si eseguono le copie di disaster;
- L'ubicazione delle copie di disaster, inteso come luogo fisico dove sono conservate le copie di disaster;
Ulteriori informazioni importati sono la definizione delle frequenze di prove di ripristino delle informazioni, attività importante e necessaria a verificare la bontà delle informazioni precedentemente salvate con la copia di backup e di disaster
È presente alla fine, un area dedicata all'inserimento di testo libero dove poter descrivere informazioni dell'archivio digitale, come ad esempio, la tipologia di architettura utilizzata per l'archiviazione delle informazioni o il formato del dato digitale.

4.10.2. MODIFICA DI UNA BANCA DATI

Premendo sul simbolo a destra della schermata delle banche dati si attiva la modifica delle informazioni riferite alla banca dati selezionata.
Nella maschera di modifica si possono inserire e modificare informazioni ulteriori alle informazioni inserite in fase di inserimento della banca dati come:

Le persone autorizzate ad accedere alla banca dati;
La tipologia di dati contenuti nella banca dati;
La categoria di dati personali contenuti nella banca dati;
Il volume di dati personali presente nella banca dati;
La data di eliminazione individuata dall'organizzazione per l'eliminazione dei dati all'interno della banca dati;

Vediamo per ordine le ulteriori informazioni disponibili nella maschera di modifica delle informazioni di una banca dati:

Nella sezione Autorizzati al Trattamento si individuano tutti i soggetti incardinati all'interno dell'organizzazione che sono autorizzati ad accedere al banca dati per le finalità di trattamento autorizzate. Le autorizzazioni ad accedere alla banca dati vengono definite in fase di redazione del registro del trattamento nella sotto funzione "Trattamenti eseguiti" della funzione "Gestione Registro".
Nella sessione Tipologia di Dati Contenuti si va a definire le informazioni riverite ai dati contenuti nelle banche dati con particolare riferimento ai dati personali, nello specifico:
- Categoria di Interessati: in questa sessione si possono definire le informazioni dei soggetti interessati a cui appartengono i dati contenuti nelle banche. Le categorie di interessati si definiscono nella sotto funzione "Categoria Interessati" della funzione "Tabelle".
  Premendo sul tasto si apre una maschera dove è possibile aggiungere liberamente altre categorie di interessati. Premendo su si procede al salvataggio delle informazioni riferite all'interessato mentre premendo su si chiude la maschera senza salvare le informazioni inserite.
- Categoria dati Personali: In questa sessione si possono inserire le informazioni riferite alla tipologia di dati appartenenti agli interessati come ad esempio: il dato biometrico, il dato genetico, il dato sanitario le convinzioni politiche/filosofiche, le convinzioni religiose, l'orientamento sessuale, il dato giudiziario, l'origine raziale e qualunque altro dato personale che identifica la persona direttamente o indirettamente. Le categorie di dati personali si possono elencare nella sotto funzione "Natura dei Dati" della funzione "Tabelle". Premendo sul tasto si apre una maschera dove è possibile aggiungere liberamente altre categorie di dati personali. Premendo su si procede al salvataggio delle informazioni riferite alla natura dei dati mentre premendo su si chiude la maschera senza salvare le informazioni inserite.
Nella sezione Volume dei Dati si può selezionare la quantità di dati personali rappresentando il volume in: limitato, numeroso, considerevole e rilevante
Nella sezione Data Eliminazione e Motivazione si può indicare il tempo definito dall'organizzazione per la conservazione e storicizzazione dei dati nella banca dati, tempo dopo il quale le informazioni personali riferite a un interessato saranno definitivamente eliminate. Nell'impossibilità di definire una data di eliminazione, è presente un campo a compilazione libera dove l'organizzazione può scrivere le motivazioni intraprese per la cancellazione dei dati come per esempio le motivazioni di interesse pubblico o l'adozione di un massimario di selezione e scarto.

4.11. SOTTO FUNZIONE TRATTAMENTI ESEGUITI

In questa sezione vengono censiti i trattamenti posti in essere dall'organizzazione, che costituiscono il/i registro/i delle attività di trattamento del titolare (art. 30 paragrafo 1 Regolamento UE 679/2016) e del responsabile (art 30, paragrafo 2 Regolamento UE 679/2016); la tipologia di registro è identificata nella colonna "T/R". In dettaglio:

T: Registro del titolare, art. 30 paragrafo 1 Regolamento UE 679/2016
R: Registro del responsabile, art 30, paragrafo 2 Regolamento UE 679/2016

L�utente ha la possibilit� di filtrare i trattamenti (per AREA, per SETTORE, per SERVIZIO).
L�utente ha inoltre la possibilit� di ottenere un�estrazione in formato excel dei trattamenti, completo delle informazioni presenti nelle singole maschere, cliccando l'icona .
L'utente ha la possibilità di eliminare il trattamento, cliccando .
L'utente ha la possibilità di modificare il trattamento, cliccando .
Per eliminare il trattamento, � necessario specificare la data di eliminazione, ed il motivo dell�eliminazione del trattamento, nel campo �NOTE ELIMINAZIONE�.
L�utente ha la possibilit� di duplicare il trattamento, cliccando .
Selezionando il relativo campo, verr� data la possibilit� di duplicare il trattamento, seguendo le istruzioni indicate.
L�utente ha inoltre a disposizione lo storico dei trattamenti eliminati, mediante la selezione del flag "VISUALIZZA ELIMINATO".
L'utente ha la possibilità di aggiungere un trattamento, cliccando .

Selezionando la funzione all'utente si aprirà la sottostante maschera di visualizzazione del file allegato, ove presente, che sarà possibile visionare selezionando il simbolo . Funzione Trattamenti

4.11.1. AGGIUNGI TRATTAMENTO

Cliccando si apre una schermata dove l'utente deve confermare i presupposti affinchè sia legittimo effettuare quel dato trattamento, ed in particolare che:

1. GLI SCOPI DEL TRATTAMENTO SONO SPECIFICI, ESPLICITI E LEGITTIMI?
2. I DATI RACCOLTI SONO ADEGUATI, RILEVANTI E LIMITATI A QUANTO È NECESSARIO IN RELAZIONE ALLE FINALITÀ PER CUI SONO STATI TRATTATI (MINIMIZZAZIONE DEI DATI)?
3. I DATI SONO ACCURATI E MANTENUTI AGGIORNATI?
4. VIENE EFFETTUATA PROFILAZIONE ALL'INTERNO DI QUESTO TRATTAMENTO?
Intendendosi per profilazione quanto previsto dall'art. 4 paragrafo 1 n.4 che definisce la profilazione come "qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica".
5. TIPOLOGIA REGISTRO?
(se il trattamento viene svolto dall'organizzazione quale titolare o quale responsabile).

Una volta selezionate le risposte ai quesiti posti, l'utente po' procedere alla generazione del trattamento, cliccando su .

A questo punto è necessario selezionare l'area/il settore o il servizio a cui appartiene il trattamento, le finalità del trattamento desiderate e le operazioni che si eseguono sul dato.

Le modifiche apportate devono essere salvate, cliccando il tasto: .
A questo punto il trattamento risulta creato. È tuttavia necessario inserire le informazioni mancanti, aprendo la schermata del singolo trattamento, cliccando l'icona .

4.11.2. MODIFICA TRATTAMENTO

Con le funzioni e è possibile scorrere i trattamenti precedenti e successivi.

Il campo Finalità del Trattamento riporta le finalità in precedenza selezionate; è comunque possibile, selezionando la funzione espandere il campo e selezionarne altre/ deselezionarne alcune.

Il campo Contitolari permette di assegnare al trattamento un contitolare, cliccando .

I campi Obbligo Informativa e Obbligo Consenso permettono di definire se per il quel dato trattamento è necessario rendere l'informativa agli interessati, e se sia necessario richiedere il consenso agli stessi.
Relativamente all'informativa, la piattaforma consente di dare evidenza dell'aver reso l'informativa agli interessati, ed è presente un campo compilabile per dare evidenza della modalità con cui è stata resa.

Nella sezione Allega documenti specifici del trattamento, la piattaforma consente di allegare dei documenti specifici inerenti il trattamento.

Il campo Termine di Conservazione del Dato dall'inizio del Trattamento consente di definire il periodo di conservazione dei dati personali.

Il campo Autorizzati al Trattamento permette di definire i soggetti che all'interno dell'organizzazione sono autorizzati al dato trattamento. Selezionando si apre una schermata che consente la selezione degli autorizzati. Una volta selezionato è sufficiente cliccare .

Il campo Natura dei Dati permette di definire quali tipologie di dati personali sono trattati per il dato trattamento. Selezionando si apre una schermata che consente di aggiungere una nuova categoria di dati personali. Una volta aggiunta la categoria, è necessario cliccare ; Se invece l'utente non intende aggiungere la categoria, è sufficiente cliccare .

Il campo Base giuridica del Trattamento costituisce un campo note che permette di indicare tale riferimento.

Il campo Natura del Trattamento permette di definire come si effettua il trattamento dei dati personali. Selezionando si apre una schermata che consente di aggiungere una nuova natura del trattamento. Una volta aggiunta la categoria, è necessario cliccare ; Se invece l'utente non intende aggiungere la categoria, è sufficiente cliccare .

Il campo Destinatari di Paesi Terzi permette di definire se i dati personali vengono comunicati a soggetti extra-UE. Selezionando si apre una schermata che consente di selezionare il destinatario terzo in precedenza censito. Una volta selezionato è sufficiente cliccare .

Il campo Descrizione sintetica del Trattamento riporta le operazioni di trattamento in precedenza selezionate. È comunque possibile, selezionando la funzione espandere il campo e selezionarne altre/deselezionarne alcune.

Il campo Soggetti Coinvolti nel Trattamento contiene tre ordini di soggetti: "Interessati", "Responsabili Privacy"; "Destinatari Terzi". L'utente deve selezionare gli interessati, gli eventuali responsabili privacy e gli eventuali destinatari terzi. Selezionando le rispettive funzioni si aprono delle schermate che consentono di aggiungere una nuova categoria di interessati, un nuovo responsabile privacy, o una nuova categoria/un nuovo destinatario.
NB: L'aggiunta di un responsabile privacy dalla maschera del trattamento implica che l'utente dovrà inserire i dati ulteriori relativi al responsabile in "Gestione Registro" � "Responsabili Privacy", dove troverà il nominativo del responsabile aggiunto in questa sede.
Una volta aggiunta la categoria/il soggetto, è necessario cliccare ; Se invece l'utente non intende aggiungere la categoria/il soggetto, è sufficiente cliccare .

Il campo Banche Dati permette di selezionare le banche dati utilizzate nel trattamento, selezionando la funzione e selezionare quelle desiderate.

Il campo Uffici dove si esegue il Trattamento permette di selezionare i luoghi dove vengono trattati i dati personali, selezionando la funzione selezionando quelli desiderati.

Il campo Misure di Sicurezza Tecnico Organizzatie costituisce un campo note ove è possibile annotare le misure specifiche per il dato trattamento..

Le modifiche apportate devono essere salvate, cliccando il tasto .

5. FUNZIONE MISURE SICUREZZA ICT

La funzione permette la verifica di quanto disposto dalla Circolare 18 aprile 2017, n. 2/2017. Funzione Misure Sicurezza ICT

5.1. SOTTO FUNZIONE MISURE MINIME ICT

Tale sotto funzione permette l'amministrazione e la raccolta della metodologia di applicazione delle misure di sicurezza AgID come da circolare circolare 18 aprile 2017, n. 2/2017 riconducibili alla gestione delle VA Sottofunzione Misure Minime ICT

Nel dettaglio per ogni misura indicata da AgID:

il filtro situazione alla data del permette di ricostruire la situazione dell'applicazione delle misure AgID alla data che vene digitata
permette l'aggiunta alla lista già presente anche delle misure definite da AgID come standard o alte

Mentre nella finestra riepilogativa dell'applicazione delle misure:

ADSC_ID � viene riportata la classificazione delle misure così come nella circolare Circolare 18 aprile 2017, n. 2/2017.
Livello di applicazione - ovvero il livello di maturità nell'applicazione della misura
Descrizione � la descrizione dell'obbiettivo della misura così come riportato nella circolare 18 aprile 2017, n. 2/2017
Modalità di attuazione � ovvero la descrizione della modalità scelta dall'organizzazione per la realizzazione dell'obbiettivo sancito nella colonna attività
Info � ovvero una descrizione di dettaglio degli obbiettivi richiesti da AgID
Attuato � Ovvero l'indicazione dell'organizzazione circa lo stato di attuazione della misura
Modalità di implementazione � ovvero la descrizione della modalità di implementazione della misura che viene effettuato dall'organizzazione
Valutazione � ovvero un livello di efficacia su quanto scelto dall'organizzazione sia pertinente con l'ottenimento dell'obbiettivo indicato da AgID
Data Attuazione � ovvero la data indicata dall'organizzazione circa la rilevazione dello stato di attuazione della misura
Convalidato � Tramite questa funzione L'organizzazione valida quanto riportato
Funzioni � il tasto permette si salvare le informazioni inserite nei vari campi

5.2. SOTTO FUNZIONE AUDIT ICT

In tale sotto funzione vengono visualizzati tutti gli asset con la possibilità di interazione elencate in seguito. Sottofunzione Audit ICT

Il pulsante " FILTRI" permette di accedere alla finestra riportata in seguito con la possibilità di selezionare i campi di filtro che agiranno sulla finestra riepilogativa centrale Sottofunzione Audit ICT

In alto a sinistra, sopra l'elenco degli asset, è presente un menu a tendina che permette di selezionare il numero di asset che verranno visualizzati nell'elenco, il numero di default è 25.
In alto a destra invece, sono presenti dei pulsanti per scorrere eventuali pagine multiple dell'elenco, una casella di testo per eseguire delle ricerche testuali all'interno dell'elenco, e altri pulsanti. Nel dettaglio:

Permette di esportate la lista degli asset in formato Excel
Permette di estrapolare la lista degli asset in formato CSV
Selezionando la funzione compare la possibilità per l'utente di personalizzare la rappresentazione degli asset, abilitando o nascondendo colonne nella sottostante finestra di visualizzazione.
La funzione permette di espandere o ridurre la quantità di informazioni rappresentate nelle singole righe della finestra di visualizzazione.
La funzione permette la rappresentazione georeferenziata delle sedi di allocazione degli asset
La funzione permette di accedere alla finestra di importazione del censimento degli asset direttamente tramite un CSV strutturato
La funzione permette di accedere alla finestra di caricamento di un nuovo dispositivo.In tale finestra vengono identificati tutti i campi che permettono l'identificazione degli asset classificandoli per tipologia omogenea

Passiamo ora alla descrizione di dettaglio di quanto riportato nella finestra espositiva di inventario degli asset Sottofunzione Audit ICT

A destra dell'intestazione vengono visualizzati il totale degli asset oggetto della selezione, nella parte di sinistra il numero delle pagine in qui gli asset sono suddivisi e quindi tramite i tasti precedente e successivo nonch� al numero delle pagine ne è possibile la navigazione.
Le colonne di visualizzazione rappresentano:

Stato - l'indicazione se l'asset sia stato o meno inventariato e la possibilità di modificarne l'ordinamento tramite la freccia bianca.
Stato ultimo audit - indicazione dell'ultimo audit effettuato
Inventario Hostname - Identificazione dell'Hostname dell'asset
Incaricati - L'identificazione degli incaricati all'utilizzo dell'asset
Produttore modello - Identificazione del produttore e del modello di riferimento dell'asset
Lan - identificazione dell'indirizzo IP di riferimento dell'asset
Locale - identificazione logistica dell'ubicazione dell'asset
Antivirus - visualizzazione della presenza di un sistema antivirus sull'asset
Aggiornamenti di sicurezza - visualizzazione degli aggiornamenti di sicurezza windows dell'asset, dove in rosso vengono indicati gli aggiornamenti classificati come importanti che non sono ancora stati effettuati e in verde gli aggiornamenti di sicurezza effettuati
Vulnerabilità - visualizzazione dei risultati di VA effettuati sugli asset, dove in rosso vengono indicati delle rilevazioni gravi, in arancione delle rilevazioni che rappresentano un livello di allarme, in blu un livello di rilevazione che restituisce un avviso di tipo informativo e in verde le condizioni considerate normali.
- La presenza di una bandiera nera in questa colonna identifica la presenza nell'asset di riferimento di un software classificato nella black list
Categoria - visualizzazione della categoria di classificazione degli asset, tramite le frecce è possibile identificare tutte le classi di asset utilizzate
Funzioni - possibilità di accesso ad ulteriori funzioni quali:
- visualizzazione in anteprima dell'eventuale immagine associata all'asset
- Informazioni di dettaglio dell'asset:
  - Scheda riassuntiva - dove è possibile accedere a tutti gli elementi identificativi dell'asset
  - Rilevazione manuale � che identifica gli elementi relativi all'asset monitorati manualmente
  - Rilevazione X-Audit � che identifica gli elementi relativi all'asset monitorati automaticamente dalla piattaforma
  - Security Microsoft Analyzer � che identifica gli elementi relativi all'asset monitorati automaticamente dalla piattaforma

5.3. SOTTO FUNZIONE STAMPA INVENTARIO HARDWARE

La sotto funzione permette la stampa dell'inventario hardware dell'organizzazione in formato PDF Sottofunzione Stampa Inventario Hardware

5.4. SOTTO FUNZIONE STAMPA INVENTARIO SOFTWARE

La sotto funzione permette la stampa dell'inventario software dell'organizzazione Sottofunzione Stampa Inventario Software

5.5. SOTTO FUNZIONE STAMPA MISURE MINIME ICT

La sotto funzione permette la stampa dell'allegato alla Circolare 18 aprile 2017, n. 2/2017 così come richiesto dalla stessa
Una volta selezionato il tasto è possibile la stampa in formato PDF dell'allegato scegliendo la possibilità di storicizzare o meno il file Sottofunzione Stampa Inventario Software

6. FUNZIONE FORMAZIONE

6.1. SOTTO FUNZIONE CONFIGURAZIONE

In questa sezione l'utente può gestire eventuali autocertificazioni per soggetti non sottoposti alla formazione. Sotto Funzione Formazione - Configurazione

Sotto Funzione Formazione - Configurazione

La presenza del flag indica che per il percorso formativo è stata autocertificata la formazione
La presenza del flag indica che non sono presenti autocertificazioni.
La colonna "STATO" indica il livello di formazione che l'utente autocertificante ha raggiunto con la formazione.
Lo "STATO" � "Non gestita" implica che non è stata gestita la formazione degli autorizzati con questa funzione.
L'utente ha la possibilità di gestire la formazione, cliccando l'icona
Selezionando la funzione all'utente si aprirà la maschera di visualizzazione del file allegato, ove presente, che sarà possibile visionare selezionando il simbolo

6.1.1. MODIFICA CONFIGURAZIONE

Selezionando l'icona in relazione al percorso desiderato, è possibile accedere alla schermata di modifica del percorso.

Selezionando "SI" nel campo "GESTIONE FORMAZIONE" la schermata è la seguente:

Sotto Funzione Configurazione - Modifica

È il primo luogo necessario definire il livello dell'autocertificazione, selezionandolo dal menù a tendina:

I livelli previsti sono:

Attuata
Attuata, Controllata o Attuata, Regolamentata
Attuata, Controllata e Regolamentata
Attuata, Controllata, Regolamentata, Certificata

È successivamente necessario selezionare gli utenti per cui si intende gestire la formazione.

È inoltre possibile allegare l'autocertificazione del soggetto, o la documentazione dallo stesso prodotta, selezionando:

Le modifiche apportate devono essere salvate, cliccando il tasto:

6.2. SOTTO FUNZIONE IL MIO PERCORSO FORMATIVO

In questa sezione l'utente ha a disposizione dei percorsi formativi (Webinar) differenziati Sotto Funzione Percorso Formativo

6.3. SOTTO FUNZIONE DASHBOARD FORMAZIONE

La sotto funzione permette di monitorare l'andamento dei percorsi formativi tramite webinar per gli utenti della piattaforma Sotto Funzione Dashboard Formazione

Nel dettaglio con la selezione di una torta riferita per uno specifico percorso formativo si arriva alla finestra di approfondimento

6.4. SOTTO FUNZIONE GESTIONE FORMAZIONE

Sotto Funzione Formazione - Gestione Formazione

Che permette di evidenziare:

Nominativo operatore - il campo viene popolato con il nome dell'operatore della piattaforma e la funzione permette la visualizzazione in dettaglio dei webinar associati all'operatore stesso nonch�:
- Visto - l'evidenza della visione del webinar
- Stato - lo stato di avanzamento nella gestione del singolo webinar
- Invia Mail - la possibilità di inviare mail di sollecito per la visione del webinar
- Mail inviate - la possibilità di verificare lo storico delle mail inviate
- Ultimo Invio - l'ultima mail di sollecito inviata
- Il colore stà ad evidenziare il grado di completamento del percorso formativo ed anche possibile evidenziare l'applicazione dell'autocertificazione
Profilo � l'identificazione del profilo associato all'operatore
Formazione - la percentuale di completamento del percorso formativo

La parte in alto della finestra permette sia lo scarico in Excel delle informazioni contenute nella parte centrale della finestra che l'utilizzo di filtri per percorso e per operatore

7. FUNZIONE DPIA

Dalla Home della piattaforma X-GDPR è possibile procedere nell'utilizzo delle funzionalità specifiche relative alla DPIA, sezione specifica per il calcolo della valutazione di impatto sulla protezione del dato personale. Funzione DPIA

La sezione DPIA si suddivide in:

Quattro sotto sezioni dedicate ai controlli preliminari al calcolo della valutazione:
- Controllo DPIA - Classificazioni
- Controllo DPIA - Trattamenti
- Controllo DPIA - Anagrafiche
- Controllo DPIA - Contromisure
Una sotto funzione specifica per la Valutazione delle minacce: Valutazione Minacce
Una sotto funzione specifica per la Valutazione del Rischio: Valutazione del Rischio
Una sotto funzione per il Trattamento del Rischio: Trattamento del Rischio
Una sotto funzione specifica Elenco DPIA, nella quale vengono storicizzate le valutazioni calcolate e concluse: Elenco DPIA

7.1. SOTTO FUNZIONE CONTROLLO DPIA - CLASSIFICAZIONI

Cliccando sulla prima voce di Controllo, "Controllo DPIA - Classificazioni" dalla funzione"DPIA", si entra nella pagina specifica relativa alla prima classe di controllo necessaria al calcolo della DPIA, la cui visualizzazione è rappresentata nell'immagine seguente. Sotto Funzione DPIA - Classificazioni

La voce permette all'utente di ricevere informazioni specifiche sulla pagina visualizzata.

La prima voce analizzata dalla presente classe di controllo è quella relativa alla NATURA DEI DATI, con indicazione della DESCRIZIONE del valore di IMPORTANZA DEL DATO e QUALITA' DEL DATO.

La voce

VISUALIZZATI:

indica il numero di categorie di dati personali censiti all'interno della piattaforma, e qui analizzati.

La voce dell'elenco evidenziata di rosso, indica il mancato censimento dei valori di IMPORTANZA e/o QUALITÀ DEL DATO.

Cliccando sulla funzione l'utente accede direttamente alla sezione specifica di X-GDPR, in TABELLE - NATURA DEI DATI, potendo procedere con la modifica dei valori, come di seguito evidenziato. Sotto Funzione DPIA - Classificazioni

Selezionando la voce desiderata, l'utente può procedere nella scelta del valore desiderato.

Sarà infine necessario cliccare sulla voce per procedere al salvataggio delle modifiche apportate.
La voce si trova in basso a destra sulla schermata interessata.

Cliccando infine il tasto INDIETRO, in alto a destra sulla schermata, l'utente viene indirizzato nuovamente alla pagina relativa al Controllo DPIA - Classificazioni.

All'interno della pagina dedicata alla prima categoria di Controllo, Controllo DPIA - Classificazioni, l'utente può procedere all'analisi specifica dei valori relativi alla CATEGORIA DEGLI INTERESSATI, cliccando sulla voce interessata.

La visualizzazione della sezione specifica viene qui di seguito riportata. Sotto Funzione DPIA - Classificazioni

La voce permette all'utente di ricevere informazioni specifiche sulla pagina visualizzata.

La pagina permette all'utente l'analisi delle CATEGORIE DI SOGGETTI INTERESSATI AL TRATTAMENTO, secondo la voce corrispondente CATEGORIA SOGGETTI INTERESSATI, ed il valore di VULNERABILITÀ associato ad ognuno dei soggetti censiti, secondo la voce corrispondente VULNERABILITA' INTERESSATI.

La voce

VISUALIZZATI:

indica il numero di categorie di interessati censiti all'interno della piattaforma, e qui analizzati.

La voce dell'elenco evidenziata di rosso, della quale si riporta qui di seguito il dettaglio, indica il mancato censimento del valore relativo alla VULNERABILITÀ DELL'INTERESSATO, sottolineato dalla descrizione "non necessario" all'interno della colonna VULNERABILITA' INTERESSATI.

Cliccando sulla funzione l'utente accede direttamente alla sezione specifica di X-GDPR, in TABELLE � CATEGORIA INTERESSATI, potendo procedere con la modifica dei valori.

7.2. SOTTO FUNZIONE CONTROLLO DPIA - TRATTAMENTI

Cliccando sulla seconda voce di Controllo, Controllo DPIA - Trattamenti dalla funzione DPIA, si entra nella pagina specifica relativa alla seconda classe di controllo necessaria al calcolo della DPIA, la cui visualizzazione è rappresentata nell'immagine seguente. Sotto Funzione DPIA - Trattamenti

La voce permette all'utente di ricevere informazioni specifiche sulla pagina visualizzata;
La voce ORDINAMENTO corrisponde al conteggio della colonna;
La voce ID rappresenta il numero identificativo del trattamento;
La voce T/R indica la tipologia di trattamento, ovverosia se esso sia stato censito come un trattamento del Titolare e dunque indicato con la lettera T nella presente tabella, oppure se sua stato censito come un trattamento del Responsabile e dunque indicato con la lettera R;
La voce AREA/SETTORE/SERVIZIO identifica l'Area, il Settore o il Servizio specifico in cui è stato censito il trattamento trattato;
La voce FINALITA' DEL TRATTAMENTO riporta la descrizione delle specifiche finalità del trattamento censite nel registro del trattamento per il trattamento analizzato;
La voce TRATTAMENTO riporta la descrizione delle operazioni di trattamento effettuate.

Gli elementi sottoposti a controllo in questa specifica sezione sono quelli evidenziati in grigio chiaro, nello specifico: CATEGORIA DEI DATI, UFFICI CENSITI e BANCHE DATI CENSITE.
La voce dell'elenco evidenziata di rosso, indica il mancato censimento di uno dei tre elementi sopra specificati.
La voce specificamente mancante è indicata anche mediante la presenza di una in corrispondenza dell'elemento non censito.
I trattamenti che presentano il mancato censimento di una di queste tre voci sono accompagnati dalla funzione , che permette all'utente di procedere alle modifiche necessarie per completare il censimento dei dati mancanti.
Cliccando sulla funzione l'utente viene indirizzato all'interno della pagina specifica in X-GDPR, GESTIONE REGISTRO � TRATTAMENTI ESEGUITI, in corrispondenza del trattamento analizzato e che necessita di essere modificato.
Al termine delle modifiche l'utente dovrà cliccare sul tasto presente in fondo alla pagina a destra, al fine di salvare le modifiche apportate.

7.3. SOTTO FUNZIONE CONTROLLO DPIA - ANAGRAFICHE

Cliccando sulla terza voce di Controllo, Controllo DPIA - Anagrafiche dalla funzione DPIA, si entra nella pagina specifica relativa alla terza classe di controllo necessaria al calcolo della DPIA, la cui visualizzazione è rappresentata nell'immagine seguente.

La voce permette all'utente di ricevere informazioni specifiche sulla pagina visualizzata.
In questa sezione l'utente procede al Controllo specifico del censimento degli autorizzati al trattamento in tutti i trattamenti che compongono il registro del trattamento. L'utente dunque visualizza la prima sezione, relativa alla VERIFICA DEGLI INCARICATI.

La voce Area si riferisce all'area nella quale è stato censito il trattamento;
La voce Servizio corrisponde al servizio specifico in cui è censito il trattamento;
La voce Trattamento contiene la descrizione della macro-finalità del trattamento analizzato;
La voce Incaricati, evidenziato in grigio chiaro, è l'elemento sottoposto a controllo in questa specifica sezione.

La voce dell'elenco evidenziata di rosso, indica il mancato censimento dell'elemento specifico relativo agli INCARICATI.
La voce specificamente mancante è indicata anche mediante la presenza di una in corrispondenza dell'elemento non censito.
I trattamenti che presentano il mancato censimento di questa voce sono accompagnati dalla funzione , che permette all'utente di procedere alle modifiche necessarie per completare il censimento dei dati mancanti.
Cliccando sulla funzione l'utente viene indirizzato all'interno della pagina specifica in X-GDPR, GESTIONE REGISTRO � TRATTAMENTI ESEGUITI, in corrispondenza del trattamento analizzato e che necessita di essere modificato.
Al termine delle modifiche l'utente dovrà cliccare sul tasto presente in fondo alla pagina a destra, al fine di salvare le modifiche apportate.
Cliccando invece sulla voce Indietro in alto a destra, l'utente viene indirizzato nuovamente alla pagina specifica relativa al Controllo DPIA - Anagrafiche.

La sezione Controllo DPIA - Anagrafiche permette inoltre all'utente di verificare la corrispondenza dell'organigramma caricato nella piattaforma di accesso con l'organigramma presente all'interno di X-GDPR.
La voce permette all'utente di ricevere informazioni specifiche sulla pagina visualizzata.
La colonna PRESENTE IN GDPR può assumere i due valori di seguito specificati:

La spunta indica la presenza corretta dell'utente sia all'interno della piattaforma di accesso sia che in X-GDPR, con corrispondenza di organigramma
La voce corrispondente evidenziata di rosso indicano che l'utente, presente nella piattaforma di accesso, non risulta all'interno dell'organigramma X-GDPR.

7.4. SOTTO FUNZIONE CONTROLLO DPIA - CONTROMISURE

Cliccando sulla quarta ed ultima voce di Controllo, Controllo DPIA - Contromisure dalla funzione DPIA, si entra nella pagina specifica relativa all'ultima classe di controllo necessaria al calcolo della DPIA.

La voce permette all'utente di ricevere informazioni specifiche sulla pagina visualizzata.
La voce VISUALIZZATI si riferisce al numero di contromisure censite e visualizzate all'interno di questa sezione.
La voce TIPOLOGIA distingue la tipologia di elemento censito, identificato nelle Contromisure.
La voce DESCRIZIONE presenta una descrizione sintetica delle Contromisure elencate.

L'utente, spuntando la voce DISABILITA per la contromisura selezionata, procede nell'eliminazione di tale elemento dal calcolo della DPIA.
La voce NOTE DISABILITAZIONE permette di motivare l'eliminazione della contromisura.
Il sistema permette all'utente, inoltre, di disabilitare tutte le contromisure elencate in questa sezione, semplicemente premendo il tasto disabilita in alto a destra, subito sotto il titolo della sezione, evidenziato in grigio scuro.
Al termine delle modifiche l'utente dovrà cliccare sul tasto presente in fondo alla pagina a destra, al fine di salvare le modifiche apportate.

7.5. SOTTO FUNZIONE VALUTAZIONE MINACCE

Cliccando la voce Valutazione Minacce dalla funzione DPIA, si entra nella pagina specifica alla Valutazione delle Minacce, la cui visualizzazione è rappresentata nell'immagine seguente. DPIA - Valutazione Minacce

La voce permette all'utente di ricevere informazioni specifiche sulla pagina visualizzata;
La voce ULTIMA MODIFICA EFFETTUATA IN DATA: DA : indica la data dell'ultima modifica apportata alla sezione specificamente analizzata ed il nominativo del soggetto che l'ha effettuata;
La voce AMBITO riporta la descrizione degli otto ambiti di minacce considerati;
La voce MINACCIA (45) riporta la descrizione delle minacce specifiche, singolarmente considerate (il numero 45 indica il numero totale delle minacce prese in considerazione all'interno della sezione presente);
La voce FONTE DI RIFERIMENTO indica le fonti di riferimento utilizzate per l'indicazione del valore della probabilità di rischio potenziale;
La voce PROBABILITA' DEL RISCHIO POTENZIALE esprime il valore della probabilità di rischio potenziale;
La voce DIMENSIONI si suddivide nelle tre dimensioni di danno sulle quali la minaccia può impattare, definite in RISERVATEZZA, INTEGRITA' e DISPONIBILITA';
Le voci CONTROMISURE e VULNERABILITA' presentano l'indicazione numerica di contromisure e vulnerabilità individuate per la minaccia specificamente considerata;
La voce FUNZIONE si riferisce alle funzionalità di modifica.

Si evidenzia in tale sede che il punto di domanda "" presente affianco ad ogni singola voce appena indicata permette all'utente di ricevere specifiche indicazioni a riguardo, una volta che egli ci passi sopra con il mouse.
Per procedere con l'analisi delle minacce, l'utente deve procedere aprendo la visualizzazione degli ambiti di minaccia, cliccando sul tastino presente affianco ad ogni singolo ambito di minaccia.

La funzione permette all'utente di associare alla minaccia contromisure e vulnerabilità aggiuntive, visualizzando l'elenco completo come da immagine sotto riportata.

Spuntando la voce ASSOCIA per la contromisura o la vulnerabilità desiderata, essa va ad aggiungersi al numero di contromisure e vulnerabilità già associate di default.
L'utente, per salvare le modifiche, deve cliccare sul tasto presente in fondo alla pagina a destra.

La funzione permette invece all'utente di modificare i valori della descrizione dell'evento e dunque della specifica minaccia, la probabilità del rischio, e le dimensioni di riservatezza, disponibilità e integrità

L'utente ha dunque la possibilità di modificare il valore relativo alla probabilità del rischio, selezionando la voce desiderata;
L'utente ha poi la possibilità, contestualmente alle modifiche apportate, di specificare le motivazioni delle proprie scelte all'interno del campo note adiacente;
L'utente potrà poi procedere alla modifica delle dimensioni sulle quali va ad impattare il danno, selezionando le voci desiderate;
L'utente, per salvare le modifiche, deve cliccare sul tasto presente in fondo alla pagina a destra.
Cliccando invece sulla voce INDIETRO in alto a destra, l'utente viene indirizzato nuovamente alla pagina specifica relativa alla Valutazione Minacce.

Infine, nella schermata di Valutazione Minacce, l'utente ha la possibilità di aggiornare i valori delle contromisure precedentemente escluse mediante il Controllo Controllo DPIA - Contromisure e poi successivamente reinserite, cliccando sul tasto .

7.6. SOTTO FUNZIONE VALUTAZIONE DEL RISCHIO

Cliccando la voce Valutazione del rischio dalla funzione DPIA, si entra nella pagina specifica alla Valutazione del Rischio, la cui visualizzazione è rappresentata nell'immagine seguente. DPIA - Valutazione Rischio

La voce SERVIZIO identifica il servizio di riferimento, all'interno del quale è censito il trattamento analizzato;
La voce FINALITA' da indicazione delle finalità di trattamento e dunque del trattamento analizzato;
La voce GIA' ANALIZZATI viene accompagnata da due tipologie di indicatori:
- l'indicazione indica che il trattamento specifico di riferimento non è mai stato analizzato;
- l'indicazione indica invece che il trattamento specifico di riferimento è già stato precedentemente analizzato.

L'utente ha la possibilità di selezionare tutti i trattamenti censiti nel registro del trattamento per effettuare il calcolo della DPIA, cliccando sul tasto "SELEZIONA TUTTI" in alto a destra.
È possibile, inoltre, selezionare solamente i trattamenti specifici che si intende debbano essere analizzati, spuntando la casellina "" presente affianco ad ogni singolo trattamento in elenco. A seguito della scelta relativa alla tipologia di trattamenti sottoposti a DPIA, per procedere con il calcolo della valutazione l'utente dovrà cliccare il tasto in basso a destra della schermata.

La schermata successivamente visualizzata viene esemplificata di seguito.
DPIA - Valutazione Rischio

La voce permette all'utente di ricevere informazioni specifiche sulla pagina visualizzata;
La voce dà indicazione all'utente dell'avvenuta esclusione dal calcolo della DPIA di alcune contromisure.

Le icone della pagina, inoltre, suggeriscono all'utente il percorso che deve essere seguito e l'ordine in cui devono essere effettuate le operazioni, come da immagine che segue: DPIA - Valutazione Rischio

La necessità di seguire l'ordine appena sopra indicato, inoltre, si identifica anche nelle icone in grigio, che indicano che la funzione è bloccata. Per procedere nel calcolo della DPIA sui trattamenti selezionati, quindi, l'utente deve procedere cliccando il tasto " CALCOLO RISCHIO " in alto a sinistra sulla schermata.

La voce TRATTAMENTO si suddivide nelle due sotto voci SERVIZIO e FINALITA', indicando il trattamento analizzato;
La voce RAPPRESENTAZIONE DEL RISCHIO REALE E RESIDUO MASSIMO PER TUTTI GLI AMBITI DELLE MINACCE rappresenta invece i valori massimi di rischio reale e rischio residuo calcolati per ogni ambito di minaccia (si veda la sezione "Sotto funzione: Valutazione Minacce"), e le rispettive voci sono:
- DANNI FISICI;
- EVENTI NATURALI;
- PERDITA DI SERVIZI ESSENZIALI;
- DISTURBI;
- COMPROMISSIONE DI INFORMAZIONI;
- PROBLEMI TECNICI;
- AZIONI NON AUTORIZZATE;
- COMPROMISSIONE DI FUNZIONI;
I valori, quali ad esempio "MM", evidenziano dunque il valore massimo di rischio reale e residuo calcolato per l'ambito di minaccia specifico, relativo all'ambito di minaccia DANNI FISICI;
La voce DPO si suddivide nelle due sotto voci PARERE e NOTA, che individuano la prima l'esito dell'analisi fatta dal DPO sulla DPIA calcolata per lo specifico trattamento (FAVOREVOLE o NON FAVOREVOLE), l'altra un campo note lasciato a brevi valutazioni del DPO stesso;
Infine, la voce FUNZIONI si riferisce alle funzionalità di modifica, come qui di seguito definite.

La funzione specifica permette all'utente di visualizzare il dettaglio della valutazione del rischio per il trattamento specificamente analizzato, con indicazione e scomposizione del calcolo eseguito per tutte le minacce considerate (si veda la sezione "Sotto funzione: Valutazione Minacce").
Cliccando sulla funzione, l'utente visualizza la seguente schermata. DPIA - Valutazione Rischio

Nella funzione specifica appena rappresentata, inoltre, l'utente può visionare, scorrendo con il cursore fino in fondo alla pagina, il grafico specifico per ogni ambito di minaccia, come nell'esempio sottostante, che presenta il grafico relativo alle azioni non autorizzate.

Il grafico rappresenta i livelli di rischio potenziale (in rosso), rischio reale (in blu) e rischio residuo (in verde) dovuti alle minacce analizzate.
Negli assi sono rappresentati gli ambiti delle minacce, il punto di intersezione fra l'asse e la linea colorata, invece, definisce il livello di rischio massimo per l'ambito specificatamente considerato.

Cliccando sul rischio desiderato nella legenda si possono visualizzare o meno le categorie di rischio, come segue. DPIA - Valutazione Rischio

All�interno della schermata appena rappresentata, alla colonna FUNZIONI, sono presenti altre due funzioni, come di seguito meglio descritte:

La funzione permette all�utente di visualizzare la rappresentazione grafica del calcolo per la minaccia singolarmente identificata, come da esempio seguente, che prende in considerazione la minaccia relativa all�accesso non autorizzato alla rete;
La funzione invece, permette all�utente di visualizzare l�elenco delle contromisure prese in considerazione per il calcolo della DPIA, con indicazione dello stato di implementazione reale, indicato nella colonna STATO REALE, e lo stato di implementazione ipotetico, indicato nella colonna STATO IPOTETICO.

Utilizzando il tasto INDIETRO l�utente viene indirizzato alla schermata principale Valutazione del rischio. Si analizza qui di seguito l�ulteriore funzione , presente sulla schermata generale Valutazione del rischio.
La funzione permette all�utente di visionare l�elenco delle contromisure specificamente associate ad ogni minaccia analizzata per il trattamento selezionato.

Nella sezione appena rappresentata:

la colonna CONTROMISURE riporta l�elenco delle contromisure associate;
la colonna AMBITO DI APPLICAZIONE identifica l�ambito di applicazione della contromisura (sia esso fisico oppure organizzativo);
la colonna STATO indica l�attuale stato di implementazione della contromisura;
la colonna STATO IPOTETICO permette all�utente di programmare lo stato ipotetico di implementazione della misura di mitigazione;
Infine, la colonna TERMINE DI APPLICAZIONE permette all�utente di individuare un periodo per l�implementazione programmata.

L�utente ha la possibilit� di visualizzare solamente le contromisure con stato di attuazione reale desiderate, selezionando l�apposita voce dalla barra di selezione presente all�apice della pagina visualizzata, scegliendo tra le voci �non implementata�, �attuata�, �attuata e controllata o attuata e regolamentata�, �attuata, controllata, regolamentata� e �attuata, controllata, regolamentata e certificata�.
La funzione pu� essere utilizzata dall�utente per eliminare dal calcolo della DPIA la contromisura scelta. Si specifica che l�eliminazione della misura di mitigazione in questa sede non viene salvata, e dunque avr� valore solo per la DPIA in quel momento effettuata, a differenza di quanto accade quando l�esclusione delle contromisure viene effettuata nell�apposita sezione Controllo DPIA - Contromisure (si veda la sezione �Sotto funzione: Controllo DPIA � Contromisure�).
L�utente, al fine di salvare le modifiche apportate sia per ci� che concerne stato ipotetico e periodo di implementazione sia per quanto riguarda l�esclusione delle misure di mitigazione, dovr� selezionare il tasto , in fondo alla schermata a destra.
L�attenzione dell�utente � richiamata, a questo punto, dalla riga del trattamento evidenziata in giallo che sottolinea l�avvenuta modifica delle contromisure specifiche.
L�utente inoltre dovr� procedere selezionando il tasto al fine di poter aggiornare la DPIA calcolata con i nuovi valori impostati.
Il calcolo della DPIA consente, inoltre, all�utente, di ottenere una rappresentazione visiva del calcolo effettuato, mediante i grafici della schermata principale.
Infine, la funzione permette all�utente di ricominciare da capo, resettando i valori e calcolando una nuova DPIA.

L'utente pu� ora procedere con la fase del trattamento (Vedi punto "7.7. SOTTO FUNZIONE TRATTAMENTO DEL RISCHIO").

Dopo aver concluso la fase del trattamento si pu� procedere con la preparazione del verbale e dell�allegato tecnico, scaricando i due documenti in formato Word editabili, cliccando sulle sezioni come di seguito esplicate.
DPIA - Valutazione Rischio

Successivamente, la piattaforma permette anche all�utente di caricare il verbale e l�allegato tecnico all�interno del portale X-GDPR, al fine di storicizzarlo, cliccando sul tasto
" CARICA FILE "
A seguito del caricamento del documento l�utente ha la possibilit� di visualizzare la documentazione allegata cliccando sul tasto " VISUALIZZA ALLEGATI "

Sempre all�interno della sezione Valutazione del Rischio, l�utente ha la possibilit� di provvedere all�inoltro della richiesta di parere al DPO che sia stato abilitato ad interagire con la piattaforma X-GDPR, cliccando la voce " INVIA RICHIESTA PARERE".
La presenza della risposta del DPO viene visualizzata con pallino in verde .
In assenza di abilitazione del DPO alla piattaforma X-GDPR, la funzione " INVIA RICHIESTA PARERE" non viene visualizzata, e l�utente pu� procedere direttamente con la conclusione della DPIA, come descritto successivamente.

Si premette, in tale sede, che in assenza di riscontro del DPO, laddove egli sia abilitato ad interagire con la piattaforma X-GDPR, l�utente non pu� proseguire concludendo la DPIA, come si rileva anche dall�icona " CONCLUDI DPIA" in grigio.
Dunque, l�utente dovr� attendere il riscontro del DPO prima di poter salvare la DPIA calcolata.
Al fine di storicizzare la DPIA calcolata, l�utente dovr� cliccare sulla voce " CONCLUDI DPIA".
A seguito della selezione di " CONCLUDI DPIA", l�utente dovr� procedere inserendo la descrizione dello storico (e quindi rinominando la DPIA) nella tabella specifica che appare all�apice della pagina cliccando infine su , inserendo eventuali dati richiesti.
Le DPIA calcolate e concluse vengono storicizzate e sono visibili alla sotto funzione specifica Elenco DPIA (Vedi punto "7.8. SOTTO FUNZIONE ELENCO DPIA")

7.7. SOTTO FUNZIONE TRATTAMENTO DEL RISCHIO

A seguito del calcolo del rischio, l�utente pu� procedere con la fase del trattamento, cliccando la voce " TRATTAMENTO DEL RISCHIO " in alto a sinistra dalla schermata principale , come di seguito raffigurato in dettaglio.
In alternativa, l�utente pu� procedere alla fase di trattamento del rischio cliccando anche, sulla funzione DPIA, la sottofunzione Trattamento del Rischio, come da immagine seguente. DPIA - Trattamento del Rischio

In entrambi i casi, l�utente visualizzer� la schermata riportata qui di seguito: DPIA - Trattamento del Rischio

In questa schermata, nel dettaglio:

la voce N� MINACCE ASSOCIATE rappresenta il numero di minacce a cui la contromisura analizzata � stata associata;
la voce AMBITO identifica la descrizione generale della tipologia di contromisura analizzata;
la voce CONTROMISURA d� la descrizione specifica della stessa;
la voce SITUAZIONE ATTUALE permette all�utente di visualizzare lo stato attuale di implementazione per ogni contromisura;
la voce INTERVENTO PROGRAMMATO identifica descrizione dell�intervento programmato, con possibilit� di apportare modifiche in quest�ultima sezione attraverso il campo note a disposizione dell�utente;
La voce STATO DI MITIGAZIONE di suddivide in ATTUALE, IPOTETICO e TERMINE DI IMPLEMENTAZIONE, dove la sezione di selezione massiva, segnalata all�utente come sotto riportato, gli permette di impostare dei valori di riferimento in modo massivo, sia per lo stato IPOTETICO che per il TERMINE DI IMPLEMENTAZIONE.

Una volta che l�utente ha provveduto nella modifica dei valori IPOTETICO e TERMINE DI IMPLEMENTAZIONE, lo stesso, per procedere con l�aggiornamento dei dati, deve cliccare la voce presente in fondo alla pagina a destra, dopo aver fatto scorrere del tutto il cursore laterale, come da immagine sotto riportata, ottenendo a questo punto l�aggiornamento dei valori con il trattamento del rischio.

7.8. SOTTO FUNZIONE ELENCO DPIA

Cliccando sull�ultima sezione della funzione DPIA, ovverosia Elenco DPIA l�utente ha la possibilit� di visualizzare l�elenco delle DPIA sino a quel momento concluse e quindi storicizzate, come da schermata che segue.
DPIA - Elenco DPIA

La funzione permette di impostare delle date di riferimento per la ricerca delle DPIA storicizzate.
A questo punto, l�utente pu� visionare il dettaglio della DPIA storicizzata desiderata cliccando sulla riga desiderata.
La schermata di riferimento, che permette di visionare in sola lettura i dati precedentemente calcolati, � quella che segue: DPIA - Elenco DPIA

Selezionando la funzione modifica per ogni voce di trattamento analizzata, l�utente ha la possibilit� di visionare in sola lettura il dettaglio dell�analisi di calcolo effettuata, che rimane anch�essa storicizzata.
L�utente ha la possibilit�, in questo caso, di allegare il parere sulla DPIA ricevuto dal DPO, cliccando il pulsante alla voce ALLEGA PARERE DPIA.
Inoltre, ha anche la possibilit� di visionare il verbale caricato relativo alla DPIA storicizzata, cliccando il pulsante alla voce VISUALIZZA DOCUMENTAZIONE DELLA DPIA.
Cliccando invece sulla voce INDIETRO in alto a destra, l�utente viene indirizzato nuovamente alla pagina specifica relativa all' Elenco DPIA.

Infine, spuntando due o pi� DPIA specifiche dal tasto e procedendo con , la piattaforma permette la visualizzazione del confronto grafico delle DPIA selezionate dall�utente. DPIA - Elenco DPIA

8. FUNZIONE RELAZIONE CON IL DPO

Dalla Home della piattaforma X-GDPR è possibile procedere nell'utilizzo delle funzionalità specifiche relative alla sezione "Relazione con il DPO", sezione specifica per la rendicontazione dei rapporti con il DPO (gestione eventi � incidenti � data breach e visione dei pareri). Si precisa preliminarmente che tale funzione sarà fruibile solamente nel caso in cui il DPO dell'Ente sia stato abilitato ad interagire con la piattaforma X-GDPR.
Relazione con il DPO

La funzione "Relazione con il DPO" si suddivide nelle sottosezioni:

Elenco degli Audit: nella quale sono elencati i verbali di audit effettuati e caricati dal DPO
Gestione Eventi: sezione specifica per la gestione e la rendicontazione degli eventi verificatisi nell'Ente
Gestione Incidenti: sezione specifica per la gestione e rendicontazione degli incidenti
Data Breach: sezione specifica per la gestione e rendicontazione dei data breach ed infine la sezione
Pareri: nella quale vengono storicizzati e rendicontati i pareri rilasciati all'Ente dal DPO.

8.1. SOTTO FUNZIONE ELENCO DEGLI AUDIT

In questa sezione l'utente può visionare l'elenco dei verbali di Audit DPO caricati nella piattaforma, con possiblità di visionare e scaricare la documentazione allegata. Si riporta di seguito immagine della schermata specifica, così come visualizzata dall'utente. Relazione Elenco Audit

La voce permette all'utente di ricevere informazioni specifiche sulla pagina visualizzata. In questa sezione, l'utente ha la possibilità di effettuare una ricerca impostando un filtro che specifichi il periodo considerato, impostando le date di riferimento nella sezione specifica, e cliccando il tasto , come da esempio che segue.

Viene visualizzato, quindi, l'elenco dei verbali di Audit DPO caricati nella piattaforma dal DPO che sia abilitato ad interagirvi, con descrizione e indicazione della data di caricamento.
Infine, selezionando l'icona , inoltre, l'utente può procedere con il download della documentazione caricata dal DPO, al fine di visionarla.

8.2. SOTTO FUNZIONE GESTIONE EVENTI

In questa sezione l'utente può visionare l'elenco degli incidenti registrati per l'Ente, con la possiblità di analizzarli, aggiungere documentazione in allegato, visionare le indicazioni del DPO e rendicontare il procedimento, con evidenza della fattispecie nel caso in cui l'evento non si fermi a tale stadio ma integri un incidente, come di seguito esposto. Si riporta di seguito immagine della schermata specifica, così come visualizzata dall'utente. Relazione Gestione Eventi

La voce permette all'utente di ricevere informazioni specifiche sulla pagina visualizzata.
L'icona " DPO" indica che l'evento è stato aperto dal DPO abilitato ad interagire con la piattaforma.
La sezione specifica Legenda Eventi riporta una legenda specifica che esplica la tipologia di eventi visualizzabili.
In questa sezione poi, l'utente ha la possibilità di effettuare una ricerca impostando un filtro che specifichi il periodo considerato, impostando le date di riferimento nella sezione specifica, nonch� la tipologia di evento, sia esso aperto o chiuso, e cliccando il tasto .

Per procedere alla creazione di un nuovo evento, l'utente dovrà selezionare la voce presente in alto a destra all'interno della pagina come sopra visualizzata. In questo modo, l'utente ha accesso alla schermata successiva, all'interno della quale egli ha la possibilità di procedere con la registrazione del nuovo evento, aggiungendo la descrizione, la data di registrazione che corrisponde alla data di inserimento delle informazioni nella piattaforma, la data di verificazione dell'evento, l'eventuale durata dello stesso e selezionando la tipologia di evento verificatosi tra quelle del menu a tendina. Una volta inserite le informazioni, l'utente dovrà provvedere al salvataggio cliccando il tasto che si trova in basso a destra sulla schermata interessata.

A seguito del salvataggio, selezionando l'icona l'utente ha la possibilità di inserire informazioni aggiuntive e di allegare documentazione utile a rendicontare l'iter. Si precisa che la modifica dell'evento, con aggiunta di informazioni e documentazione a corredo, è possibile solo laddove l'evento non sia stato chiuso. La mancata chiusura dell'evento è simboleggiata dall'icona grigia . La schermata successivamente visualizzata, dunque, e che permette all'utente l'inserimento delle modifiche ed informazioni aggiuntive viene rappresentata qui di seguito. Relazione Gestione Eventi

Si precisa che le informazioni inserite al momento della creazione dell'evento non sono successivamente modificabili, ma l'utente potrà, cliccando la voce specifica Aggiungi informazioni aggiuntive, procedere alla rendicontazione di ulteriori informazioni.

L'utente avrà pertanto la possibilità di inserire valutazioni aggiuntive nella sezione editabile ANALISI, nonch� di aggiungere delle NOTE nello spazio specifico. Lo stesso potrà modificare lo stato, scegliendo tra aperto e analizzato. Selezionando inoltre la voce l'utente ha la possibilità di selezionare e caricare la documentazione a corredo delle nuove valutazioni ed informazioni inserite. Al fine di salvare le informazioni, l'utente dovrà procedere selezionando il tasto che si trova in basso a destra sulla schermata interessata.

La chiusura dell'evento comporta l'immodificabilità delle informazioni, e lo stesso evento non può essere eliminato, come testimoniato dall'icona , mentre lo stato ancora aperto dell'evento comporta la possibilità di eliminazione dello stesso, cliccando sull'icona .

Selezionando la voce specifica, l'utente ha anche la possibilità di trasformare l'evento in incidente. Si espone qui di seguito la parte relativa alla Sotto funzione Gestione Incidenti, che viene aperta dalla selezione, all'interno dell'evento, dell'icona .

8.3. SOTTO FUNZIONE GESTIONE INCIDENTI

Una volta selezionata la funzione l'utente ha la possibilità di descrivere l'incidente, come da campo note specifico Descrizione Incidente, e di registrare la data di creazione dell'incidente, nel campo Descrizione Incidente, come sopra evidenziati. Al fine di salvare le informazioni, l'utente dovrà procedere selezionando il tasto che si trova in basso a destra sulla schermata interessata.

Cliccando invece il tasto INDIETRO, in alto a destra sulla schermata, l'utente viene indirizzato alla pagina specifica relativa alla sezione Gestione Incidenti, come di seguito si riporta.
Relazione Gestione Incidenti

La voce permette all'utente di ricevere informazioni specifiche sulla pagina visualizzata.
L'icona " DPO" indica che l'evento è stato modificato in incidente dal DPO abilitato ad interagire con la piattaforma.
La sezione specifica Legenda Incidenti riporta una legenda specifica che esplica la tipologia di incidenti visualizzabili. In questa sezione poi, l'utente ha la possibilità di effettuare una ricerca impostando un filtro che specifichi il periodo considerato, impostando le date di riferimento nella sezione specifica, nonch� la tipologia di incidente, sia esso aperto o chiuso, e cliccando il tasto .

Selezionando l'icona l'utente ha la possibilità di inserire informazioni aggiuntive e di allegare documentazione utile a rendicontare l'iter. Si precisa che la modifica dell'incidente, con aggiunta di informazioni e documentazione a corredo, è possibile solo laddove lo stesso non sia stato chiuso. La mancata chiusura dell'evento è simboleggiata dall'icona grigia . La schermata successivamente visualizzata, dunque, e che permette all'utente l'inserimento delle modifiche ed informazioni aggiuntive viene rappresentata qui di seguito. Relazione Gestione Incidenti

Si precisa che le informazioni inserite al momento della creazione dell'incidente non sono successivamente modificabili, ma l'utente potrà, cliccando la voce specifica Aggiungi informazioni integrative, procedere alla rendicontazione di ulteriori informazioni.

L'utente avrà pertanto la possibilità di inserire valutazioni aggiuntive nella sezione editabile ANALISI, nonch� di aggiungere delle NOTE nello spazio specifico. Lo stesso potrà modificare lo stato, , scegliendo tra "informazioni integrative" e "chiusura". Selezionando inoltre la voce l'utente ha la possibilità di selezionare e caricare la documentazione a corredo delle nuove valutazioni ed informazioni inserite. Al fine di salvare le informazioni, l'utente dovrà procedere selezionando il tasto che si trova in basso a destra sulla schermata interessata.

La chiusura dell'incidente, con impostazione dello stato "analizzato", comporta l'immodificabilità delle informazioni, e lo stesso incidente non può essere eliminato, come testimoniato dall'icona , mentre lo stato ancora aperto dell'incidente comporta la possibilità di eliminazione dello stesso, cliccando sull'icona .

Selezionando la voce specifica, come sotto evidenziata, l'utente ha anche la possibilità di trasformare l'incidente in un data breach. Si espone qui di seguito la parte relativa alla Sotto funzione Data Breach, che viene aperta dalla selezione, all'interno dell'incidente, dell'icona .

8.4. SOTTO FUNZIONE DATA BREACH

Una volta selezionata la funzione l'utente ha dunque la possibilità di approfondire l'iter da incidente a data breach. In questa schermata, l'utente ha la possibilità di descrivere il data breach, come da campo note specifico Descrizione Data Breach, e di registrare la data di creazione dello stesso, nel campo Data Creazione Data Breach. Al fine di salvare le informazioni, l'utente dovrà procedere selezionando il tasto che si trova in basso a destra sulla schermata interessata.

Cliccando invece il tasto INDIETRO, in alto a destra sulla schermata, l'utente viene indirizzato alla pagina specifica relativa alla sezione Data Breach, come di seguito si riporta.
Relazione Data Breach

La voce permette all'utente di ricevere informazioni specifiche sulla pagina visualizzata.
L'icona " DPO" indica che l'incidente è stato modificato in data breach dal DPO abilitato ad interagire con la piattaforma.
La sezione specifica Legenda Data Breach riporta una legenda specifica che esplica la tipologia di data breach visualizzabili. In questa sezione poi, l'utente ha la possibilità di effettuare una ricerca impostando un filtro che specifichi il periodo considerato, impostando le date di riferimento nella sezione specifica, nonch� la tipologia di data breach, sia esso aperto o chiuso, e cliccando il tasto .

Selezionando l'icona l'utente ha la possibilità di inserire informazioni aggiuntive e di allegare documentazione utile a rendicontare l'iter. Si precisa che le informazioni inserite al momento della creazione del data breach non sono successivamente modificabili, ma l'utente potrà, cliccando la voce specifica Aggiungi informazioni integrative, procedere alla rendicontazione di ulteriori informazioni, secondo lo schema seguente.

L'utente avrà pertanto la possibilità di inserire valutazioni aggiuntive nella sezione editabile ANALISI, nonch� di aggiungere delle NOTE nello spazio specifico. Lo stesso potrà modificare lo stato, scegliendo tra "informazioni integrative" e "chiusura". Selezionando inoltre la voce l'utente ha la possibilità di selezionare e caricare la documentazione a corredo delle nuove valutazioni ed informazioni inserite. Al fine di salvare le informazioni, l'utente dovrà procedere selezionando il tasto che si trova in basso a destra sulla schermata interessata.

La chiusura del data breach, con impostazione dello stato "analizzato", comporta l'immodificabilità delle informazioni, e lo stesso data breach non può essere eliminato, come testimoniato dall'icona , mentre lo stato ancora aperto comporta la possibilità di eliminazione dello stesso, cliccando sull'icona .

8.5. SOTTO FUNZIONE PARERI

In questa schermata, l'utente ha la possibilità di visualizzare i pareri caricati dal DPO abilitato ad interagire con la piattaforma X-GDPR, come da schermata che segue. Funzione Pareri

La voce permette all'utente di ricevere informazioni specifiche sulla pagina visualizzata.

In questa sezione, l'utente ha la possibilità di effettuare una ricerca impostando un filtro che specifichi il periodo considerato, cliccando il tasto .

Selezionando l'icona l'utente ha la possibilità di effettuare il download del verbale caricato dal DPO abilitato ad interagire con la piattaforma X-GDPR, come da immagine che segue.

9. FUNZIONE AREA DOCUMENTALE

La funzione permette la gestione documentale della piattaforma.

9.1. SOTTO FUNZIONE TEMPLATE

Nel dettaglio:

Tipologia: tipologia di documentazione
Descrizione: descrizione della documentazione
Template modificabile: tramite la funzione è possibile scaricare il template per poterlo personalizzare e adeguare perfettamente alle esigenze dell'organizzazione
Accompagnatoria: dettaglio sull'utilizzo del documento evidenziabile con la funzione
Data di pubblicazione: data nella quale viene pubblicato il documento

9.2. SOTTO FUNZIONE GESTIONE MODELLI ORGANIZZATIVI

La sotto funzione permette la gestione dei modelli organizzativi. Funzione Modelli Organizzativi

Nel dettaglio:

Tramite la funzione Visualizza tutte le revisioni è possibile la visualizzazione anche delle revisioni documentali pregresse
Tipologia: ovvero la classificazione della tipologia di modello organizzativo
Classificazione: ovvero la classificazione del modello organizzativo
Sigla: ovvero la sigla del modello organizzativo
Revisione: ovvero la revisione del modello organizzativo
Descrizione: ovvero il titolo della misura organizzativa
Validità dal al: ovvero la validità del modello organizzativo
Rilascio: ovvero lo stato di rilascio del modello organizzativo distinto tra:
- A: rilasciato in autocertificazione
- : evidenza della data e ora di rilascio inoltre allo scorrere del puntatore compare il nominativo dell'operatore che ha effettuato il rilascio
- : non rilasciato
File: indicazione del formato in cui si trova il modello organizzativo
Descrizione: ovvero il titolo della misura organizzativa
Funzioni : che permettono:
- : visualizzazione in anteprima del documento organizzativo
- : rilascio del documento organizzativo
- : invio della notifica alla lettura del documento agli utenti a cui è stato rilasciato

Le funzione di inserimento di una nuova revisione del modello organizzativo, la funzione di modifica del modello organizzativo e la funzione per la creazione di un nuovo modello organizzativo abilitano sostanzialmente la stessa finestra di gestione: Funzione Modelli Organizzativi

Che permette nel dettaglio:

Preselezione: l'indicazione del modello organizzativo
Descrizione: la descrizione del modello organizzativo
Revisione: la revisione del modello organizzativo
Sigla: la sigla del modello organizzativo
Tipologia: la tipologia di modello organizzativo
Classificazione: la classificazione del modello organizzativo
Validità dal: data di inizio validità del modello organizzativo
Validità al: data di fine validità del modello organizzativo
Pubblicazione: l'indicazione se il modello sia stato rilasciato e le eventuali notifiche di lettura
Note: eventuali note
Allegati: con il dettaglio di:
- Descrizione: ovvero la descrizione del modello organizzativo
- Nome file: il nome del file del modello organizzativo
- Data caricamento: l'ora e la data di caricamento del file
- : l'anteprima del file
Gruppi: gli eventuali gruppi di utenti
Utenti: gli utenti della piattaforma con la possibilità di selezionare a quali vada inoltrato il modello organizzativo
Gestione autocertificazione: l'abilitazione dell'autocertificazione per la verifica di distribuzione del modello organizzativo
Autocertificazione: l'indicazione dello stato dell'autocertificazione

Il tasto permette il salvataggio di quanto inserito.

9.3. SOTTO FUNZIONE MODELLI ORGANIZZATIVI

9.4. SOTTO FUNZIONE DOCUMENTI PUBBLICI

La sotto funzione permette la gestione dei documenti considerati pubblici nella piattaforma.
Nella parte alta della finestra sono presenti dei filtri che permettono la gestione dei documenti contenuti nella finestra centrale mentre la funzione permette l'aggiunta di nuovi documenti tramite la finestra. Funzione Documenti Pubblici

Che permette nel dettaglio l'inserimento della:

Descrizione: la descrizione del documento
Tipologia documento: descrizione della tipologia del documento
Sotto tipologia documento: descrizione della sotto tipologia di documento
Assegnatario: l'eventuale assegnatario del documento
Documento valido dal: data di inizio validità del documento
Documento valido al: data di fine validità del documento
Note: eventuali note

Le funzione permette l'inserimento del documento da allegare mentre il tasto permette il salvataggio delle informazioni inserite.

Funzione Documenti Pubblici

Nel dettaglio la finestra centrale permette la visualizzazione e gestione della:

Tipologia: descrizione della tipologia del documento
Sotto tipologia documento: descrizione della sotto tipologia di documento
Descrizione: la descrizione del documento
Assegnatario: l'eventuale assegnatario del documento
Valido dal: data di inizio validità del documento
Valido al: data di fine validità del documento
Note: eventuali note
File: l'identificazione della tipologia di file
Funzioni: dove nel dettaglio:
- : la funzione associata ad ogni riga di documento ne permette la cancellazione
- : la funzione associata ad ogni riga di documento ne permette la visione in anteprima

9.5. SOTTO FUNZIONE DOCUMENTI PRIVATI

10. FUNZIONE QUESITI

10.1. SOTTO FUNZIONE GESTIONE QUESITI

In questa sezione, l'utente ha la possibilit� di richiedere un nuovo quesito.
La schermata contiene la tabella di riepilogo dei quesiti a disposizione.

TOTALE: numero totale di quesiti a disposizione;
IN ATTESA DI AUTORIZZAZIONE: numero di quesiti in attesa di essere autorizzati;
IN ATTESA DI RISCONTRO: numero dei quesiti inviati, in attesa di riscontro;
RISCONTRATI: quesiti gi� riscontrati;
DISPONIBILI: quesiti a disposizione.

La maschera a sinistra permette all'utente di filtrare i quesiti richiesti, selezionando scegliendo tra:

Quesito in attesa di autorizzazione, identificato con il simbolo: ;
Quesito respinto dall�autorizzatore, identificato con il simbolo: ;
Quesito inoltrato, identificato con il simbolo: ;
Quesito riscontrato definitivamente, identificato con il simbolo: .

O, alternativamente o cumulativamente ai precedenti filtri tra:

Quesito riservato, identificato con il simbolo: ;
Quesito pubblico, identificato con il simbolo: .

E' inoltre possibile filtrare i quesiti richiesti in un arco temporale, inserendo i valori "Da:" e "A:".
L'utente ha la possibilit� di formulare un quesito, selezionando :

Sotto Funzione Gestione Quesiti

L'utente ha la possibilit� di formulare il quesito nella sezione �TESTO DEL QUESITO�; ha inoltre la possibilit� di inserire delle informazioni di carattere personale (informazioni sempre e solo visibili all'autore della richiesta).
Oltre alla data di inserimento, l'utente ha la possibilit� di inserire il termine entro cui desidera ottenere il riscontro, compilando da sezione �DA RISCONTRARE ENTRO�.
Ha inoltre la possibilit� di definire il quesito �RISERVATO�, fleggando il relativo tasto.
E� inoltre possibile caricare un file, selezionando , e, una volta compilata la schermata, inoltrare il quesito selezionando .

Sotto Funzione Gestione Quesiti

E� sempre possibile verificare lo stato del quesito, ed � possibile verificare il riscontro effettuato aprendo il dettaglio con l'icona .
Finch� il quesito non viene definitivamente riscontrato, � possibile inserire informazioni aggiuntive al medesimo quesito:

Sotto Funzione Gestione Quesiti

Selezionando �aggiungi informazioni relative al riscontro�, � possibile integrare il quesito con ulteriori informazioni, eventualmente allegando documentazione.
Una volta integrato il quesito, � necessario confermare l�integrazione, selezionando .

10.2. SOTTO FUNZIONE GESTIONE INVIO QUESITI

In questa sezione, ove previsto, � possibile per il soggetto autorizzatore fornire l�autorizzazione o meno all�inoltro del quesito; Selezionando l'icona "" � possibile:

Autorizzare il quesito, nel caso si ritenga lo stesso debba essere riscontrato;
Respingere il quesito, nel caso si ritenga lo stesso non debba essere riscontrato.

11. FUNZIONE STAMPE

La funzione permette la generazione di stampe all'interno della piattaforma. Funzione Stampe

Nel dettaglio:

Tipologia: la descrizione della tipologia di documentazione da stampare
Descrizione: la descrizione della documentazione da stampare
Area di destinazione: la descrizione dell'area di destinazione del documento
Data ultima stampa: l'ultima data in cui il documento è stato stampato
La tipologia di formato del documento stampato
La funzione permette di accedere direttamente alla finestra di stampa

Nel dettaglio la funzione STAMPA NOMINA PER: permette di scegliere la modalità di stampa tra:

effettuare l'eventuale stampa per tutti gli eventuali destinatari
selezionare in modo puntuale dall'elenco degli stessi.

Mentre la funzione MODALITÀ DI STAMPA: permette di scegliere tra una tipologia di stampa con intestazione o senza.

In conclusione, i trasti e permettono rispettivamente la creazione della stampa con i parametri inseriti o il ritorno alla finestra iniziale della sotto funzione.

12. FUNZIONE STATO DI AVANZAMENTO

La funzione permette la visualizzazione dello stato di avanzamento dell'applicazione delle funzionalità della piattaforma per l'organizzazione. Funzione Stato Avanzamento

Nel dettaglio:

Descrizione: la descrizione della tipologia di verifica dello stato di avanzamento
Boxxapps: la validazione della fase
Operatore Boxxapps: il nominativo dell'operatore Boxxapps che ha validato la fase
Data Visto: la data di quanto è stata effettuata la validazione
Operatore Comune: se l'organizzazione ha effettuata la fase
Data Visto: la data di quando è stata effettuata la validazione da parte dell'organizzazione

API

Il servizio "X-GDPR" oltre ad offrire un'interfaccia WEB, mette a disposizione delle API REST equivalenti per poter essere interrogate da eventuali applicativi terzi.

Tutta la documentazione relativa alle API REST si può trovare al seguente link: https://gdpr.boxxapps.com/boxxapps/api/v1/docs/

REPORT

1. REPORT SU SOGGETTI INCARICATI, FORMAZIONE, MISURE DI SICUREZZA e VALUTAZIONE DEL RISCHIO

Direttamente nell'home page della pittaforma sono visualizzabili diverse tipologie di report che ad una selezione permettono l'estrapolazione dei dati in dettaglio così come riportato nelle specifiche sotto funzioni a cui fanno riferimento, la funzione presente in ogni report permette l'accesso ad una spiegazione di quanto esposto. Report

Nel dettaglio i report esprimono:

Il numero dei soggetti incaricati rispetto al totale di quanti censiti in organigramma
L'andamento del percorso formativo del personale
La distribuzione dei modelli organizzativi all'interno dell'organizazzione
Lo stato di applicazione delle misure AgID
La rappresentazione dell'ultima valutazione del rischio effettuata dall'organizazzione

2. NUMERO DELLE SEGNALAZIONI APERTE DAL CLIENTE AL SERVIZIO DI ASSISTENZA.
3. TEMPO MEDIO DI PRIMO CONTATTO DELLE SEGNALAZIONI APERTE DAL CLIENTE AL SERVIZIO DI ASSISTENZA.
4. GRADO DI SODDISFAZIONE ESPRESSO DAL CLIENTE PER L'EROGAZIONE DEL SERVIZIO DI ASSISTENZA.
5. DISPONIBILIT� DEL SERVIZIO

All'interno della piattaforma dedicata all'assistenza e nel blocco di funzioni 'trasparenza' è possibile visualizzare in ogni momento la sceda del servizio e i relativi livelli di servizio concordati.

Tramite la funzione misurazioni, accessibile dalla stessa finestra, è possibile visualizzare in tempo reale rispettivamente il numero delle segnalazioni aperte dal cliente al servizio di assistenza, il tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza, il grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza. Report 4

Tramite la funzione SLO dei servizi, accessibile dalla stessa finestra, è possibile visualizzare in tempo reale la percentuale di disponibilità del servizio rispetto alla soglia di riferimento con la visualizzazione dei 12 mesi pregressi. Report 5

ASSISTENZA

Sempre nella piattaforma dedicato all'assistenza e nel blocco di funzioni 'segnalazioni' è possibile interagire direttamente con il servizio di assistenza.

In tale finestra dopo aver inserito il servizio di riferimento all'interno dell'apposita funzione è possibile riportare la richiesta di assistenza e un'eventuale file a supporto della descrizione, Quindi tramite la funzione 'invia Segnalazione' inoltrare la richiesta direttamente val servizio di assistenza.

Una volta inoltrata la segnalazione viene immediatamente processata dal nostro servizio di assistenza la cui attività di risoluzione a quanto richiesto viene notificato direttamente nella pagina iniziale tramite la comparsa di una notifica che compare nel blocco delle funzioni 'segnalazione' sotto forma di pallino numerato che lampeggia.

Una volta entrati nel blocco di funzioni 'segnalazioni' sulla destra è quindi possibile sia verificare quanto riportato dall'assistenza che iniziare un'interazione. L'interazione inizia quindi con la selezione della segnalazione direttamente nel codice che la identifica e agendo con il tasto 'carteggio' o a conclusione esaustiva della relazione con il tasto fine. Assistenza dettaglio

MANUALISTICA

La manualistica della piattaforma è ramificata e distribuita all'interno della piattaforma stessa su ogni finestra su cui si sta svolgendo l'attività. Le istruzioni di dettaglio descrivono sia il contenuto della pagina web, che le funzionalità interattive, permettendo all'utilizzatore un'agevole fruizione del servizio.

APPROFONDIMENTI NORMATIVI DI DETTAGLIO

https://www.garanteprivacy.it

Misure minime di sicurezza ICT per le pubbliche amministrazioni

https://www.agid.gov.it/it/sicurezza/misure-minime-sicurezza-ict

MANUALE PIATTAFORMA X-GDPR

DESCRIZIONE DEL SERVIZIO

FONDAMENTI NORMATIVI

INTRODUZIONE

ARCHITETTURA

CHANGELOG

INSTALLAZIONE DEL SERVIZIO

FUNZIONALIT� DELLA PIATTAFORMA

VISUALIZZATI:

VISUALIZZATI:

API

REPORT

ASSISTENZA

MANUALISTICA

APPROFONDIMENTI NORMATIVI DI DETTAGLIO