Art. 35 GDPR · Riepilogo pubblico
DPIA — Valutazione d'impatto sulla protezione dei dati
Sintesi della valutazione d'impatto eseguita dal Titolare Sa.Gi Group sul trattamento dei dati personali degli utenti del portale HACCP e-Log. Documento completo disponibile su richiesta scritta.
1. Descrizione del trattamento
Il trattamento ha per oggetto i dati identificativi e di contatto dei titolari di attività alimentari, dei loro operatori e referenti, nonché i registri operativi HACCP (temperature, pulizie, ricevimenti, non conformità). Finalità: erogare un servizio software-as-a-service di compliance HACCP conforme ai Regolamenti CE 852/2004, 178/2002 e UE 1169/2011.
2. Necessità e proporzionalità
I dati raccolti sono strettamente funzionali all'erogazione del servizio:
- Email + nome + telefono → autenticazione, comunicazioni di servizio
- P.IVA + ragione sociale → fatturazione e contratto
- Registri HACCP → tracciabilità obbligatoria per legge
- Foto allegati (es. termostato, etichetta) → evidenza ispettiva
Non vengono trattate categorie particolari di dati (Art. 9 GDPR).
3. Rischi identificati e mitigazioni
| Rischio | Probabilità | Impatto | Mitigazione |
|---|---|---|---|
| Accesso non autorizzato all'account | Bassa | Alto | Password bcrypt + JWT + cookie SameSite + rate limit login |
| Data breach DB | Molto bassa | Alto | MongoDB Atlas EU + AES-256 at rest + accesso solo MFA Titolare |
| Esposizione cross-tenant | Molto bassa | Alto | Filtri scope_filter su ogni query + test automatici |
| Perdita dati (corruzione/cancellazione) | Bassa | Medio | Snapshot giornalieri + point-in-time recovery 30 giorni |
| Tracking marketing senza consenso | Bassa | Basso | Banner consenso esplicito + opt-in Meta Pixel |
4. Trasferimenti extra-UE
I dati sono trattati prevalentemente in UE (Frankfurt). Alcuni servizi ausiliari (Anthropic, Google, Meta) operano in USA con tutela Standard Contractual Clauses (Decisione UE 2021/914). Nessun dato HACCP sensibile è inviato fuori UE: gli LLM ricevono solo prompt anonimizzati senza identificativi diretti.
5. Diritti dell'interessato
Gli utenti possono in qualunque momento esercitare i diritti previsti dagli Artt. 15-22 GDPR (accesso, rettifica, cancellazione, portabilità, opposizione) scrivendo a sara.galati@sagigrp.com. La risposta è garantita entro 30 giorni.
6. Conclusione
Esito DPIA: il trattamento non presenta rischi elevati per i diritti e le libertà degli interessati ai sensi dell'Art. 35 GDPR. Le misure tecniche e organizzative adottate (cifratura, isolamento multi-tenant, principio del minimo privilegio, SCC) sono ritenute adeguate al livello di rischio residuo.
DPIA versione 1.0 · Riesame previsto: annuale o al variare sostanziale del trattamento
Per la versione estesa o domande: sara.galati@sagigrp.com