Web app GDPR - DPIA

La web app GDPR gratuita è uno strumento pensato per aiutare aziende, studi professionali e organizzazioni a gestire in modo strutturato i registri privacy richiesti o raccomandati dal Regolamento (UE) 2016/679 (GDPR) e dalla normativa nazionale.

Si tratta di una applicazione locale, che funziona direttamente nel browser:

• non richiede installazione su server;

• non invia dati a terzi;

• utilizza esclusivamente il localStorage del browser dell’utente per memorizzare le informazioni.

L’obiettivo non è sostituire software gestionali complessi, ma offrire un cruscotto operativo semplice, immediato e sempre disponibile, utile soprattutto a DPO, RSPP, responsabili di funzione e consulenti che hanno necessità di ordinare e tenere aggiornati i registri principali.

A cosa serve la web app

La web app serve a:

• Documentare le attività di trattamento svolte dall’organizzazione (art. 30 GDPR – Registro delle attività di trattamento).

• Mappare i dati personali per processo e per archivio, evidenziando dove sono memorizzati, chi vi accede, con quali basi giuridiche e per quanto tempo.

• Gestire il registro interno delle violazioni di dati personali (data breach), in coerenza con gli obblighi di documentazione previsti dagli artt. 33 e 34 GDPR.

• Definire e mantenere aggiornati i periodi di conservazione delle diverse tipologie di dati (principio di limitazione della conservazione – art. 5 GDPR).

• Supportare le DPIA (Data Protection Impact Assessment), offrendo una griglia base per descrivere trattamenti, rischi e misure di attenuazione.

In pratica, la web app ti consente di avere, in un unico ambiente:

• un registro dei trattamenti;

• un registro degli archivi/dataset;

• una mappa dei flussi di dati;

• un registro delle violazioni;

• un registro della conservazione;

• uno schema DPIA.

Come funziona: salvataggi, backup e export

Salvataggi in localStorage

Tutte le informazioni inserite nei moduli della web app vengono salvate nel localStorage del browser:

• quando compili un form e premi “Salva / aggiorna voce”, la voce viene aggiunta o aggiornata all’interno del registro corrispondente;

• lo stato dei registri viene memorizzato automaticamente nel localStorage sotto una chiave dedicata;

• al successivo riavvio della web app (sullo stesso browser e dispositivo), i dati vengono ricaricati e ritornano disponibili.

Questo ha alcune implicazioni importanti:

• i dati restano solo sul tuo dispositivo: non passano da server remoti o servizi esterni;

• se usi un altro browser o un altro PC, i registri risulteranno vuoti (localStorage è per definizione locale per dispositivo + browser);

• se svuoti cache e dati del browser, o se il browser viene resettato, le informazioni possono essere perse definitivamente.

Per ridurre il rischio di perdita dati e per consentire lo scambio tra dispositivi, la web app integra funzioni di backup/restore in JSON.

Backup e restore (JSON)

La sezione “Backup / Salvataggi” permette di:

• esportare tutti i registri in un file JSON (es. gdpr_registri_backup.json), contenente:

  • i dati dei registri;

  • gli eventuali salvataggi multipli (snapshot) creati all’interno della web app;

• importare un file JSON precedentemente esportato, ripristinando lo stato dei registri.

Operativamente:

• il pulsante “Esporta tutti i dati in JSON” genera e scarica un file JSON con la fotografia completa della situazione;

• il campo “Importa dati da JSON” permette di selezionare un file di backup:

  • la web app chiede conferma, avvisando che i dati correnti verranno sovrascritti;

  • in caso di conferma, i registri vengono sostituiti con quelli contenuti nel file;

  • anche i salvataggi multipli (snapshot) vengono ricostruiti, se presenti.

In questo modo puoi:

• conservare i backup in un archivio aziendale;

• spostare i dati da un browser a un altro;

• versionare lo stato dei registri nel tempo.

Salvataggi multipli (snapshot dello stato completo)

Oltre al salvataggio “di lavoro” nel localStorage, la web app permette di creare salvataggi nominati (snapshot) dell’intero stato:

• inserendo un nome e premendo “Salva stato corrente”, viene creato uno snapshot che fotografa tutti i registri in quel momento;

• nella tabella dei salvataggi puoi:

  • caricare uno snapshot (ripristinando tutti i registri a quello stato);

  • eliminarlo se non ti serve più.

Questa funzionalità è molto utile per:

• congelare lo stato dei registri prima di modifiche importanti;

• memorizzare “versioni ufficiali” (es. pre-audit, post-audit);

• tenere storicizzate diverse situazioni per confronti successivi.

Esportazione in Word (orientamento orizzontale)

La web app include un comando per generare un documento Word (file .doc) contenente i registri in formato tabellare:

• il documento viene costruito in HTML compatibile con Word;

• per ogni registro viene inserita una tabella con:

  • intestazioni di colonna corrispondenti ai campi del registro;

  • una riga per ogni voce inserita;

• il layout è impostato in A4 orizzontale (landscape), ideale per registri ampi e facilmente stampabili.

Il file può essere:

• aperto e modificato in Microsoft Word (o software compatibili);

• archiviato nel DMS aziendale;

• allegato a procedure, manuali, report di audit o documentazione inviata al DPO.

Dettaglio delle sezioni della web app

1. Registro delle attività di trattamento

Questa sezione raccoglie le informazioni chiave per soddisfare l’art. 30 GDPR:

Campi principali (semplificati):

• Funzione aziendale / Dipartimento: chi è responsabile operativo del trattamento (es. HR, Commerciale, IT).

• Finalità del trattamento: scopo per cui i dati sono trattati (gestione personale, fatturazione, marketing, sicurezza, ecc.).

• Categorie di interessati: chi è coinvolto (dipendenti, clienti, fornitori, visitatori, utenti online).

• Categorie di dati personali: quali dati vengono trattati (anagrafici, contatto, log di accesso, dati economici, sensibili, ecc.).

• Categorie di destinatari: soggetti terzi a cui i dati vengono comunicati (fornitori, consulenti, autorità, partner).

• Trasferimenti verso paesi terzi / organismi internazionali: indicazione di eventuali flussi extra-UE, con relative salvaguardie.

• Periodo di conservazione: quanto tempo i dati vengono conservati, secondo policy interne e obblighi normativi.

• Misure di sicurezza: sintesi di misure tecniche e organizzative (controlli accessi, cifratura, backup, logging, formazione).

• Condizioni per categorie speciali (artt. 9 e 10): se sono trattati dati particolari (salute, sindacali, giudiziari) e a quale base legale si fa riferimento.

• Base legale (art. 6 GDPR): consenso, contratto, obbligo legale, legittimo interesse, interesse pubblico, ecc.

• Collegamento al documento di conservazione: richiamo a policy o matrici di retention interne.

Operativamente:

• compili il form, salvi la voce;

• la voce viene mostrata in tabella;

• puoi caricare una voce per modificarla o eliminarla con conferma.

2. Registro dei dati personali

Qui la prospettiva è quella dell’archivio o dataset:

Campi principali:

• Funzione aziendale / Dipartimento

• Possessore dei dati (data owner o referente)

• Ubicazione fisica (server, cloud, archivi cartacei)

• Volume dei dati (numero di soggetti interessati)

• Formato (cartaceo, digitale, strutturato/non strutturato)

• Informazioni presenti (descrizione sintetica dei contenuti)

• Consenso documentato (se necessario, dove e come viene tracciato)

• Base legale (di nuovo richiamo all’art. 6 GDPR)

• Condizioni per categorie speciali (se esistono dati particolari)

• Posizione geografica dei dati

• Da dove si accede ai dati (sede, VPN, postazioni mobili)

• Periodo di conservazione

• Misure di sicurezza

Serve per avere a colpo d’occhio “che cosa abbiamo e dove”, utile sia per le attività quotidiane, sia per la risposta a richieste degli interessati (diritti di accesso, rettifica, ecc.).

3. Mappa dei dati

La sezione “Mappa dei dati” consente di descrivere i flussi per ogni processo aziendale:

• Unità / Funzione e Processo aziendale (es. “HR – Selezione personale”).

• Soggetto dei dati (categoria: candidati, clienti, fornitori, utenti sito).

• Tipologie di dati trattati nel processo (es. CV, dati di contatto, storico acquisti).

• Fase del ciclo di vita (raccolta, memorizzazione, elaborazione, trasferimento, archiviazione, cancellazione).

• IT system / Database coinvolti.

• Dati non strutturati (email, note, file sciolti).

• Dati cartacei (fascicoli, moduli, archivio fisico).

• Motivi legali / base giuridica alla base del trattamento.

• Accesso (chi può utilizzare o vedere quei dati).

• Controlli esistenti (tecnici e organizzativi).

• Problemi di conformità (criticità individuate).

• Misure raccomandate (azioni correttive o migliorative).

È particolarmente utile:

• per progetti di privacy by design;

• come base informativa per DPIA;

• per dialogare con IT e linee operative nel ridisegno di processi o sistemi.

4. Registro violazioni (data breach)

Quando si verifica una violazione di dati personali, è importante non solo reagire, ma documentare l’evento:

Campi principali:

• Data e ora della violazione.

• Natura (es. accesso non autorizzato, perdita dispositivo, errato invio, malware).

• Cause (umane, tecniche, organizzative).

• Tipologie di dati colpiti.

• Numero di soggetti interessati.

• Possibili conseguenze per gli interessati.

• Misure prese in risposta (tecniche, organizzative, comunicative).

• Misure di prevenzione esistenti e ulteriori misure proposte.

• Soggetti informati? (badge Sì/No) e motivazioni per non informare se si è deciso di non procedere alla comunicazione.

Questo registro aiuta a:

• dimostrare il rispetto dei principi di responsabilizzazione (accountability);

• disporre di informazioni ordinate in caso di controlli dell’Autorità;

• imparare dagli incidenti per migliorare le misure di sicurezza.

5. Registro conservazione

Qui si traduce in pratica il concetto di data retention:

• Tipologie di dati (es. contabili, CV, log di accesso, documenti contrattuali).

• Tipologie di archivi (gestionale, file server, archivio cartaceo, CRM, ecc.).

• Periodo numerico (es. 10) e unità di tempo (giorni, mesi, anni).

• Decorrenza (da quando parte il conteggio: chiusura contratto, fine anno fiscale, ecc.).

• Motivazione (obbligo legale, necessità difensiva, prassi condivisa).

• Disposizioni legali eventualmente richiamate (codice civile, norme fiscali, linee guida, provvedimenti del Garante).

Il registro conservazione diventa la “spina dorsale” delle policy di data retention aziendale.

6. DPIA – Valutazione d’impatto

La sezione DPIA è una scheda strutturata che supporta la documentazione delle valutazioni d’impatto:

• Attività di elaborazione oggetto di DPIA.

• Dati personali coinvolti e finalità.

• Necessità e proporzionalità (perché servono quei dati, con quali modalità, se ci sono alternative meno invasive).

• Rischi per i diritti e le libertà (dal punto di vista degli interessati).

• Categorie di rischio e descrizione sintetica.

• Misure di attenuazione previste.

• Livello di rischio residuo (basso/medio/alto).

• Eventuali conclusioni o note di decisione.

Non è un tool automatico di calcolo del rischio, ma una base standardizzata per descrivere e archiviare le analisi.

Conclusioni e avvertenze

La web app GDPR gratuita è uno strumento operativo che semplifica la raccolta, l’aggiornamento e l’esportazione dei registri privacy fondamentali.
Grazie ai salvataggi automatici nel browser, agli snapshot interni e alle funzioni di backup/restore JSON ed export in Word, consente di lavorare in modo:

• strutturato;

• ripetibile;

• documentabile.

Resta comunque fondamentale ricordare che:

• lo strumento non sostituisce il ruolo del DPO o del consulente legale;

• non garantisce automaticamente la conformità al GDPR, ma la supporta rendendo più ordinata la documentazione;

• l’uso deve essere inserito in un sistema più ampio di gestione della privacy (policy, procedure, formazione, controlli tecnici e organizzativi).