Salta al contenuto principale

Descrizione del sistema

Descrivi brevemente il sistema o trattamento da valutare (opzionale - apparira' nel report).

Valutazione 8 dimensioni Art. 25

0/8 completate
Minimizzazione dei datiArt. 25(1) + Art. 5(1)(c)
15pt

Il sistema raccoglie solo i dati strettamente necessari alla finalità dichiarata.

Limitazione della finalitàArt. 5(1)(b) + Art. 25(1)
15pt

I dati sono usati esclusivamente per la finalità per cui sono stati raccolti, senza usi secondari non autorizzati.

Limitazione della conservazioneArt. 5(1)(e) + Art. 25(1)
12pt

Esiste una retention policy documentata con termini massimi di conservazione per ogni categoria di dati.

Integrità e riservatezzaArt. 5(1)(f) + Art. 25(1) + Art. 32
15pt

I dati sono cifrati sia a riposo (AES-256) sia in transito (TLS 1.2+). Gli accessi sono tracciati.

Accountability e registro trattamentiArt. 24 + Art. 25(1) + Art. 30
13pt

Il titolare mantiene un Registro dei Trattamenti (RoPA) aggiornato ex Art. 30 GDPR.

Impostazioni predefinite privacy-friendlyArt. 25(2)
15pt

Le impostazioni di default garantiscono il minimo trattamento necessario senza azione dell'utente.

Pseudonimizzazione o anonimizzazioneArt. 25(1) + Considerando 78
8pt

I dati personali sono pseudonimizzati o anonimizzati dove tecnicamente feasible, riducendo il rischio in caso di breach.

Valutazione d'impatto (DPIA)Art. 35 + Art. 25(1)
7pt

È stata condotta una DPIA (Data Protection Impact Assessment) per i trattamenti ad alto rischio.

Rispondi a tutte le domande per abilitare la valutazione.

Cos'e' il GDPR Art. 25?

Privacy by Design (Art. 25(1))

Obbligo di integrare la protezione dei dati fin dalla fase di progettazione del sistema, non come aggiunta successiva. Include misure tecniche e organizzative proporzionate al rischio.

Privacy by Default (Art. 25(2))

Le impostazioni predefinite devono garantire che vengano trattati solo i dati necessari per ogni specifica finalita'. L'utente non deve compiere azioni per ridurre il trattamento.

Sanzioni applicabili

Violazioni Art. 25 rientrano nelle sanzioni di Livello 2: fino a 10 milioni di EUR o 2% del fatturato mondiale annuo (il piu' elevato tra i due).

Come utilizzare GDPR Art. 25 Checker

1. Descrivi il sistema (opzionale)

Inserisci una breve descrizione del sistema o trattamento da valutare. Non e' obbligatorio ma comparira' nel report finale per contestualizzare il risultato.

2. Rispondi alle 8 dimensioni

Per ogni dimensione (minimizzazione dati, limitazione finalita', conservazione, cifratura, registro trattamenti, impostazioni default, pseudonimizzazione, DPIA) rispondi Si o No in base allo stato reale del sistema.

3. Valuta la conformita'

Una volta risposto a tutte le domande, premi "Valuta conformita' GDPR Art. 25" per ottenere lo score 0-100, il livello di compliance e le raccomandazioni prioritizzate.

4. Scarica o copia il report

Esporta il risultato in markdown (download o copia negli appunti) per allegarlo al registro dei trattamenti o condividerlo con il DPO.

Suggerimenti

  • Rispondi in modo onesto: una valutazione ottimistica non riduce il rischio reale, riduce solo l'utilita' delle raccomandazioni.
  • Usa il report markdown come punto di partenza per il registro dei trattamenti (RoPA) richiesto dall'Art. 30.
  • Se gestisci anche sistemi AI, valuta il tool companion EU AI Act Self-Assessment per una copertura normativa piu' ampia.

Domande frequenti

Come viene calcolato lo score 0-100?

Ogni dimensione ha un peso percentuale (es. minimizzazione dati 15pt, cifratura 15pt, DPIA 7pt) che somma a 100. Una risposta "Si" assegna il peso pieno della dimensione, "No" assegna 0 punti. Lo score finale e' la somma dei punti ottenuti sulle 8 dimensioni.

Cosa significano i livelli di compliance (inadeguato, parziale, adeguato, eccellente)?

Sono fasce dello score: inadeguato sotto 40 punti, parziale tra 40 e 64, adeguato tra 65 e 84, eccellente da 85 a 100. Le fasce piu' basse indicano lacune che richiedono interventi prioritari, non necessariamente una violazione formale gia' accertata.

Questo checker sostituisce una valutazione legale o una DPIA formale?

No. E' uno strumento di autovalutazione rapida per orientarsi sui principi dell'Art. 25 (Privacy by Design e by Default). Per trattamenti ad alto rischio resta necessaria una DPIA formale ex Art. 35 e, nei casi dubbi, il parere di un DPO o consulente legale.

I dati che inserisco vengono inviati a un server?

No, il tool e' completamente client-side: la valutazione, il calcolo dello score e la generazione del report avvengono nel browser. Nessun dato viene trasmesso o memorizzato su server esterni.

Perche' alcune dimensioni pesano piu' di altre nello score?

Il peso riflette la centralita' della dimensione nell'Art. 25: minimizzazione dati, limitazione finalita', cifratura e impostazioni default privacy-friendly valgono 15 punti ciascuna perche' sono i pilastri operativi del Privacy by Design/Default, mentre pseudonimizzazione e DPIA (8 e 7 punti) sono misure complementari, spesso condizionate al tipo di trattamento.