System description

Describe briefly the system or treatment to be evaluated (optional - will appear in the report).

Evaluation of the 8 dimensions Article 25

0/8 Complete

Il sistema raccoglie solo i dati strettamente necessari alla finalità dichiarata.

I dati sono usati esclusivamente per la finalità per cui sono stati raccolti, senza usi secondari non autorizzati.

Esiste una retention policy documentata con termini massimi di conservazione per ogni categoria di dati.

I dati sono cifrati sia a riposo (AES-256) sia in transito (TLS 1.2+). Gli accessi sono tracciati.

Il titolare mantiene un Registro dei Trattamenti (RoPA) aggiornato ex Art. 30 GDPR.

Le impostazioni di default garantiscono il minimo trattamento necessario senza azione dell'utente.

I dati personali sono pseudonimizzati o anonimizzati dove tecnicamente feasible, riducendo il rischio in caso di breach.

È stata condotta una DPIA (Data Protection Impact Assessment) per i trattamenti ad alto rischio.

Answer all questions to enable evaluation.

What is the GDPR Article 25?

Privacy by design (Article 25, paragraph 1)

Requirement to integrate data protection from the system design phase itself and not as an afterthought. Includes proportionate technical and organizational measures for risk management.

Data Protection by Design and Data Minimisation (Article 25, paragraph 1)

Default settings must ensure that only the necessary data is processed for each purpose. The user should not have to take actions to reduce processing.

Applicable sanctions

Violations of Article 25 fall under Level 2 sanctions: up to €10 million or 2% annual global turnover (the higher value between the two).