Art. 35 GDPR · Riepilogo pubblico

DPIA — Valutazione d'impatto sulla protezione dei dati

Sintesi della valutazione d'impatto eseguita dal Titolare Sa.Gi Group sul trattamento dei dati personali degli utenti del portale HACCP e-Log. Documento completo disponibile su richiesta scritta.

1. Descrizione del trattamento

Il trattamento ha per oggetto i dati identificativi e di contatto dei titolari di attività alimentari, dei loro operatori e referenti, nonché i registri operativi HACCP (temperature, pulizie, ricevimenti, non conformità). Finalità: erogare un servizio software-as-a-service di compliance HACCP conforme ai Regolamenti CE 852/2004, 178/2002 e UE 1169/2011.

2. Necessità e proporzionalità

I dati raccolti sono strettamente funzionali all'erogazione del servizio:

  • Email + nome + telefono → autenticazione, comunicazioni di servizio
  • P.IVA + ragione sociale → fatturazione e contratto
  • Registri HACCP → tracciabilità obbligatoria per legge
  • Foto allegati (es. termostato, etichetta) → evidenza ispettiva

Non vengono trattate categorie particolari di dati (Art. 9 GDPR).

3. Rischi identificati e mitigazioni

RischioProbabilitàImpattoMitigazione
Accesso non autorizzato all'accountBassaAltoPassword bcrypt + JWT + cookie SameSite + rate limit login
Data breach DBMolto bassaAltoMongoDB Atlas EU + AES-256 at rest + accesso solo MFA Titolare
Esposizione cross-tenantMolto bassaAltoFiltri scope_filter su ogni query + test automatici
Perdita dati (corruzione/cancellazione)BassaMedioSnapshot giornalieri + point-in-time recovery 30 giorni
Tracking marketing senza consensoBassaBassoBanner consenso esplicito + opt-in Meta Pixel

4. Trasferimenti extra-UE

I dati sono trattati prevalentemente in UE (Frankfurt). Alcuni servizi ausiliari (Anthropic, Google, Meta) operano in USA con tutela Standard Contractual Clauses (Decisione UE 2021/914). Nessun dato HACCP sensibile è inviato fuori UE: gli LLM ricevono solo prompt anonimizzati senza identificativi diretti.

5. Diritti dell'interessato

Gli utenti possono in qualunque momento esercitare i diritti previsti dagli Artt. 15-22 GDPR (accesso, rettifica, cancellazione, portabilità, opposizione) scrivendo a sara.galati@sagigrp.com. La risposta è garantita entro 30 giorni.

6. Conclusione

Esito DPIA: il trattamento non presenta rischi elevati per i diritti e le libertà degli interessati ai sensi dell'Art. 35 GDPR. Le misure tecniche e organizzative adottate (cifratura, isolamento multi-tenant, principio del minimo privilegio, SCC) sono ritenute adeguate al livello di rischio residuo.

DPIA versione 1.0 · Riesame previsto: annuale o al variare sostanziale del trattamento

Per la versione estesa o domande: sara.galati@sagigrp.com

Usiamo cookie tecnici e (con consenso) Meta Pixel. Privacy