Legal/Compliance chiede: Qual è la base giuridica e i documenti GDPR per Empatyzer (DPA, DPIA, retention, diritti dell'interessato)?

Empatyzer fornisce un modello di documentazione GDPR che include un accordo di nomina a responsabile del trattamento (DPA) con ruoli e responsabilità chiaramente definiti e la descrizione delle misure tecniche e organizzative per la sicurezza dei dati. Nei casi di profilazione o di trattamento che possono avere un impatto significativo sui diritti delle persone effettuiamo o supportiamo il cliente nell'esecuzione della DPIA, fornendo un riassunto dei rischi e delle misure di mitigazione. Come provider ospitiamo i dati su server nell'UE, applichiamo crittografia a riposo e in transito, separazione dei tenant e controllo degli accessi con log di amministrazione. Per la base giuridica consigliamo di valutare il singolo caso: le elaborazioni aggregate e analitiche si fondano spesso sul legittimo interesse del titolare, mentre l'elaborazione di risultati individuali o funzioni diagnostiche personali richiede l'esecuzione di un contratto o, in casi sensibili e quando esiste squilibrio tra le parti (ad es. rapporto di lavoro), la valutazione del ricorso al consenso. La retention segue il principio di minimizzazione: i dati personali grezzi sono conservati per periodi limitati secondo un piano stabilito, poi vengono anonimizzati per report aggregati; la cancellazione dell'account rimuove i dati dalle collezioni operative e li esclude dalle statistiche aggregate secondo procedura. Non forniamo risultati individuali grezzi al datore di lavoro e applichiamo aggregazione e soglie di numerosità nei report per ridurre il rischio di identificazione. Nei contratti e nei termini d'uso è previsto il divieto di impiegare lo strumento come valutazione formale del personale e clausole che vietano usi dannosi, ma è fondamentale che il cliente implementi regole interne d'uso e percorsi di escalation. Le modalità di esercizio dei diritti sono descritte passo dopo passo: come inviare la richiesta, tempi di risposta, verifica dell'identità e procedure per rettifica, limitazione, cancellazione e portabilità. In caso di incidente di sicurezza informiamo il cliente tempestivamente, normalmente entro cinque giorni lavorativi, fornendo log e azioni correttive; il cliente, in qualità di titolare, decide sulle eventuali segnalazioni alle autorità di controllo. È contrattualmente escluso l'uso dei dati dei clienti per addestrare modelli pubblici; gli accessi del fornitore sono limitati, registrati e soggetti ad audit.

Documenti disponibili: DPA, modello o sintesi di DPIA, policy di retention, procedura per l'esercizio dei diritti degli interessati, descrizione delle misure di sicurezza e delle procedure di gestione degli incidenti; base giuridica e configurazioni operative vengono concordate con il cliente.