GDPR / Privacy Log

Il modulo GDPR / Privacy Log centralizza tutti gli adempimenti privacy richiesti dal Regolamento UE 2016/679 in un unico strumento organizzato in 5 tab:

Nella toolbar, tre contatori in tempo reale mostrano: richieste aperte, breach aperti, consensi attivi.

Il Registro dei trattamenti è il documento fondamentale della compliance GDPR. Documenta cosa trattate, perché, come e per quanto tempo.

Quando è obbligatorio

• Organizzazioni con più di 250 dipendenti
• Trattamento di dati particolari (sanitari, biometrici, genetici — art. 9)
• Trattamento non occasionale (praticamente tutte le aziende)
• In pratica: è sempre consigliato tenere il registro, indipendentemente dalla dimensione

Campi per ogni trattamento

Basi giuridiche disponibili

Trattamenti predefiniti

Il sistema pre-carica 4 trattamenti tipo per uno studio/azienda italiana:

• Gestione anagrafica clienti/pazienti — base: contratto (6.1.b)
• Fatturazione e contabilità — base: obbligo legale (6.1.c), conservazione 10 anni
• Trattamento dati sanitari — base: consenso esplicito (6.1.a + art. 9)
• Comunicazioni commerciali — base: consenso (6.1.a)

1. Aprire il tab Trattamenti.
2. Premere + Nuovo Trattamento. Si apre il form inline.
3. Compilare il Nome del trattamento (es. “Gestione fornitori”).
4. Descrivere la Finalità in modo chiaro e specifico.
5. Selezionare la Base giuridica dal dropdown (le 6 basi dell'art. 6.1).
6. Indicare le Categorie di dati trattati (anagrafici, fiscali, bancari, sanitari...).
7. Indicare le Categorie di interessati (clienti, pazienti, dipendenti, fornitori...).
8. Specificare i Destinatari a cui i dati vengono comunicati.
9. Indicare il Termine di conservazione con riferimento normativo.
10. Descrivere le Misure di sicurezza adottate.
11. Premere Salva. Il trattamento appare nell'elenco con badge della base giuridica.

Il tab Consensi traccia l'acquisizione e la revoca dei consensi per ogni soggetto dell'anagrafica.

Tipi di consenso gestiti

Informazioni per ogni consenso

• Soggetto: collegato all'anagrafica (ricerca per nome)
• Stato: DATO (verde) o NEGATO (rosso)
• Data acquisizione: timestamp automatico
• Data scadenza: opzionale (per consensi a termine)
• Canale: CARTACEO, EMAIL, WEB, TELEFONO, PEC
• Note: annotazioni libere

Funzionalità

• Ricerca soggetto: filtra i consensi per nome (con debounce 300ms)
• Toggle consenso: clic per attivare/revocare con timestamp automatico
• Revoca tutti: revoca tutti i consensi di un soggetto in un'unica azione (irreversibile, richiede conferma)
• Export consensi: scarica i consensi di un soggetto come documentazione

1. Aprire il tab Consensi.
2. Cercare il soggetto nel campo di ricerca (digitare almeno 2 caratteri).
3. Se il soggetto non ha ancora consensi, creare il primo cliccando + Nuovo Consenso.
4. Selezionare il Tipo di consenso dal dropdown.
5. Selezionare il Canale di acquisizione (cartaceo, email, web, telefono, PEC).
6. Il sistema registra automaticamente la data di acquisizione.
7. Se necessario, impostare una data di scadenza (es. consenso annuale).
8. Lo stato viene impostato a DATO (badge verde).

Il tab Richieste gestisce le richieste di esercizio dei diritti previsti dal GDPR:

Workflow delle richieste

1. Aprire il tab Richieste.
2. Premere + Nuova Richiesta. Si apre il form.
3. Selezionare il soggetto richiedente dall'anagrafica.
4. Selezionare il tipo di diritto esercitato (Accesso, Rettifica, Cancellazione, ecc.).
5. Inserire la data di ricezione della richiesta.
6. Descrivere la richiesta nel campo Descrizione.
7. Premere Salva. La richiesta appare con stato RICEVUTA.
8. Analizzare la richiesta e passare allo stato IN_LAVORAZIONE premendo il pulsante di avanzamento.
9. Dopo aver evaso la richiesta, passare allo stato EVASA. La data di evasione viene registrata automaticamente.
10. Se la richiesta non può essere accolta (es. obbligo legale di conservazione fatture), marcarla come RIFIUTATA con motivazione nelle note.

Quando rifiutare una richiesta di cancellazione

Il diritto alla cancellazione (art. 17) non si applica quando il trattamento è necessario per:

• Adempiere un obbligo legale (es. conservazione fatture per 10 anni — art. 2220 CC)
• Esercitare o difendere un diritto in sede giudiziaria
• Motivi di interesse pubblico nel settore della sanità pubblica
• Fini di archiviazione nel pubblico interesse, ricerca scientifica o storica

In questi casi, registrare la richiesta come RIFIUTATA documentando la motivazione legale.

Il tab Data Breach registra le violazioni di sicurezza dei dati personali e gestisce le notifiche obbligatorie.

Cos'è un data breach

Una violazione dei dati personali (data breach) è una violazione di sicurezza che comporta, accidentalmente o in modo illecito: distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali. Esempi:

• Furto o smarrimento di un dispositivo con dati personali
• Attacco informatico con accesso ai database
• Invio di dati al destinatario sbagliato
• Perdita di dati per guasto hardware senza backup
• Accesso non autorizzato da parte di un dipendente

Campi per ogni breach

Obblighi di notifica

1. Aprire il tab Data Breach.
2. Premere + Registra Violazione. Si apre il form.
3. Inserire la data di rilevamento (quando avete scoperto l'incidente).
4. Selezionare il livello di rischio: BASSO, MEDIO, ALTO, CRITICO.
5. Indicare il numero approssimativo di interessati coinvolti.
6. Descrivere la natura della violazione.
7. Indicare la tipologia dei dati coinvolti.
8. Descrivere le misure adottate per contenere e risolvere.
9. Se il rischio è medio/alto: spuntare “Notifica al Garante” e indicare la data di notifica.
10. Se il rischio è alto/critico: spuntare “Notifica agli interessati”.
11. Premere Salva. Il breach appare nell'elenco con stato RILEVATO.
12. Aggiornare lo stato man mano che si procede: IN_GESTIONE → RISOLTO → CHIUSO.

Il tab Log mostra il registro cronologico non modificabile di tutte le operazioni privacy eseguite nel sistema:

• Acquisizione e revoca consensi
• Creazione e modifica trattamenti
• Registrazione e avanzamento richieste diritti
• Registrazione e gestione data breach
• Export di documentazione

Colonne del log

Il log è in sola lettura e costituisce la documentazione di accountability richiesta dall'art. 5.2 GDPR. In caso di ispezione del Garante, il log dimostra che l'organizzazione ha implementato e mantenuto le misure di protezione.

Esportare il registro trattamenti

Il pulsante “Esporta Registro” nel tab Trattamenti genera un file JSON contenente tutti i trattamenti attivi con dettagli completi e la data dell'export. Il file può essere:

• Presentato in caso di ispezione del Garante
• Allegato alla documentazione del sistema di gestione privacy
• Archiviato come fotografia periodica dello stato dei trattamenti

Esportare i consensi di un soggetto

Nel tab Consensi, il pulsante Export per soggetto scarica tutti i consensi con date, canali e stati. Utile per rispondere a richieste di accesso (art. 15) dimostrando le basi giuridiche dei trattamenti.

Cosa tenere aggiornato

Il modulo GDPR è integrato con l'anagrafica Soggetti su più livelli:

• Consensi: collegati ai soggetti per ID. Ogni soggetto ha i suoi consensi specifici con data, canale e tipo.
• Richieste diritti: collegate al soggetto richiedente. La richiesta registra chi ha chiesto cosa e quando.
• Scheda soggetto: nella sezione Privacy della scheda paziente/cliente, sono visibili i flag consenso con data e canale di acquisizione.
• Informativa privacy: generabile e stampabile in PDF dalla scheda soggetto, usando il template “Informativa Privacy” del Print Designer.
• Ricerca: nel tab Consensi, la ricerca per nome trova direttamente i soggetti dall'anagrafica.

Elenco formale dei trattamenti con finalità, base giuridica, categorie dati, retention.

Tabella: gdpr_trattamenti. Endpoint CRUD: GET / POST / DELETE /api/gdpr/trattamenti.

Ogni modifica ad un consenso (dato / revocato) è registrata in due posti per compatibilità + granularità.

Log legacy (compatibilità)

Tabella gdpr_log: azione (CONSENSO_DATO / CONSENSO_REVOCATO), username, dettagli.

Log esteso (certificazione v 2.2)

Tabella log_consensi_gdpr con campi aggiuntivi: soggettoId, campo modificato, valore vecchio/nuovo, motivazione opzionale, timestamp.

Consultabile tramite: GET /api/gdpr/consensi/:id/audit-log.

Tabella log_accessi_dati_personali per tracciare gli accessi a dati sensibili di soggetti interessati.

Come registrare un accesso

Chiamata: POST /api/gdpr/log-accessi con body: { soggettoId, operazione, entita, entitaId, motivazione }. L'IP e l'utente sono estratti automaticamente dalla request.

Consultazione

GET /api/gdpr/log-accessi [ADMIN] con filtri: soggettoId, utente, operazione. Limit default 200.

Gestione richieste di accesso, rettifica, cancellazione, portabilità con scadenza 30 giorni.

Tabella gdpr_richieste. Stato della richiesta tracciato con data di apertura e data di chiusura. Alert scadenza pianificato per v 2.3.

Registro separato per violazioni dei dati personali con notifica all'Autorità Garante e agli interessati.

Endpoint: GET /api/gdpr/breaches per lista, POST per registrare nuova violazione. Notifica Garante Privacy entro 72 ore (obbligo art. 33).

L'interessato può richiedere la cancellazione dei propri dati personali (GDPR art. 17). Per i dati con obbligo di conservazione fiscale (10 anni, art. 2220 c.c.) la cancellazione fisica non è possibile; al suo posto si esegue anonimizzazione.

Endpoint

POST /api/gdpr/anonimizza/:soggettoId (richiede ruolo ADMIN)

Body JSON obbligatorio: { "motivazione": "riferimento alla richiesta dell'interessato" }

Cosa viene anonimizzato

• cognome, nome → "ANONIMIZZATO (#ID)"
• email, telefono, cellulare, pec → null
• indirizzo, cap, località, provincia, paese → null
• ragioneSociale (se presente) → "ANONIMIZZATO (#ID)"
• ibanSoggetto → null
• note → "Anonimizzato il [data] da [utente] — [motivazione]"

Cosa viene preservato

• Codice Fiscale e Partita IVA — necessari per conservazione fiscale
• Documenti fiscali collegati (fatture, scadenze) — per obblighi ex art. 2220 c.c.
• Integrità referenziale — tutti i riferimenti al soggetto continuano a funzionare

Tracciabilità

• Evento operazione=ANON in log_accessi_dati_personali con motivazione e IP
• Ogni campo modificato registrato in log_modifiche_soggetti con valore vecchio mascherato come ***ANON*** (l'obiettivo dell'oblio è non lasciare traccia del valore originale)

L'interessato ha diritto di ricevere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico (GDPR art. 20).

Endpoint

GET /api/gdpr/export/:soggettoId (richiede ruolo ADMIN)

Query param opzionale: ?motivazione=riferimento (viene registrato nel log accessi)

Risposta: file JSON scaricabile gdpr_export_soggetto_<id>_<YYYY-MM-DD>.json

Struttura del payload

Tracciabilità

Ogni chiamata registra un evento operazione=EXPORT in log_accessi_dati_personali con: utente, data/ora, IP, motivazione opzionale. L'interessato può verificare gli export eseguiti sui suoi dati.

Job schedulato che ogni giorno alle 03:15 UTC elimina fisicamente dal cestino gli elementi rimasti oltre il periodo di conservazione configurato.

Due livelli di retention

Configurazione

Variabili d'ambiente configurabili:

• CESTINO_RETENTION_DAYS = 90 (default commerciale)
• CESTINO_RETENTION_DAYS_FISCAL = 3650 (default fiscale — art. 2220 c.c.)

Protezioni

• Per i soggetti il job verifica l'assenza di record collegati prima di eliminare: se ci sono documenti/scadenze l'eliminazione viene saltata
• Per i moduli fiscali la retention a 10 anni garantisce il rispetto dell'art. 2220 c.c.
• Il log di ogni esecuzione (conteggi per modulo) viene stampato nei log del backend