Allegato 1: Valutazione di Impatto Trasferimento dati extra- UE Per l'analisi dei rischi connessi al trasferimento dati in un paese extra-UE, in applicazione delle Clausole contrattuali Standard EU [omissis] . (Licensing: See bottom} La verisone originale della TIA è stata pubblicata sul sito della IAPP (International Association of Privacy Professionals), quale risorsa per il supporto ai professionisti, con i ringraziamenti all'autore originale. La IAPP non approva alcun template in particolare.. Version 1.01 ITA (September Sth, 2022) (Versione per il trasferimento dati verso USA) =» PEA (e al=N (ELET) Esportatore dei dati Scuola Nazione di esportazione Italia Importatore dei dati Microsoft Llc. Nazione di importazione USA Fornitura dei servizi cloud “Mircrosoft for Education", utilizzati al fine di fornire funzionalità di supporto alla didattica e Contesto e finalità dell'esportazione didattica a distanza agli alunni, e modalità remote di comunicazioni scuola-famiglia ai genitori/tutori degli stessi. Categorie di interessati coinvolti Dipendenti, studenti e loro genitori/tutori Nome e cognome, eventuali numeri di telefono e contatti web, dati relativi alla didattica e alle comunicazioni scuola-famiglia. | Categorie di dati personali trasferiti: dati personali "particolari" o “giudiziari” ai sensi degli Art. 9 e 10 GDPR sono trattati nel rigoroso rispetto del principio di Dati personali "Particolari" | dati personali “particolari” o "giudiziari" ai sensi degli Art. 9 e 10 GDPR sono trattati previa valutazione della effettiva necessità dalla tiveiamal8 Implementazione tecnica del trasferimento Attraverso le web application cloud dell'importatore, opportunamente nominato responsabile del trattamento. Controllo degli accessi individuali a minima informazione necessaria, Crittazione in transito e in Loco, utilizzo di sistemi di data- Misure tecniche e organizzative adottate loss prevention e protezione degli endpoint, istruzioni specifiche per l'utenza e formazione specifica. Analisi e motivazioni Data di inizio del trasferimento (a seguito di analisi e verifica dello 05-set-22 stesso}: Periodo di valutazione (in anni}: 5 Alto fine det periodo di vatidità dell'analisi, 0 in presenza di combiamenti legistativi che impattino sutta validità detta stessa, l'analisi verrà replicata. Data di fine validità del presente documento: 05-set-27 P Anni {stimati} oltrei quali la probabilità di accesso legale da parte delle autorità del paese importatore superano il 50%. Sulla base di 40 € = inin totale totale 45 questo tempo, verrà calcolata la probalità di accesso tollerata, che anni} verrà considerata quale misura di rischio residuo accettabile. Viene fissata in 40 anni il periodo per il quale si ritiene accettabile il rischio di accesso legate da parte dette autorità del paese importatore con una probabilità pari at 50%. Da tale parametro deriva ta probabilità di accesso totterata. Misura di rischioa ccettabile: probabilità di rischio di accesso. 7,41% ‘0 di Giurisdizione per la quale è stata effettuata la TIA USA e Leggi rilevanti sulla base delle quali ès tata effettuata la TIA Section 702 FISA, EO 12.333 (and PPD-28} Step 3: Definizione delle tutele in atto Argomentazioni Sarebbe possibile, da punti di vista sia pratici, tecnici ed economici, Non esistono, per nostra conoscenza, dei prodotti che offrano gli stessi servizi, con le stesse caratteristiche di utilizzare un servizio che trasferisca i dati verso una nazione che No affidabilità e sicurezza informatica e che non prevadano la trasmissione (anche solo parziale) dei dati verso un paese rispetti i requisiti dettati dalla Legislazione vigente? non VE. | dati personali sono trasferiti sulla base di una delle deroghe Si Art. 49, comma fd {trasferimento necessario per importanti motivi di interesse pubblico) previste dall'Art. 49 GDPR? | dati personali vengono esportati in chiaro? (Non sono previste No 1 dati sono trasmessi con tecniche di cifratura proprietari forniti dal Responsabile del Trattamento. forme di cifratura in transito} | dati personali sono accessibili in chiaro dall'importatore dei dati o Sì La maggior parte dei dati sono accessibili in chiaro. Alcuni dei servizi offrono cifratura client-side. da una terza parte nella giurisdizione di importazione? | dati personali sono protetti da un meccanismo di trasferimento L'importatore è vincolato per contratto al rispetto delle clausole contrattuali standard (EU SCC), e non abbiamo protetto approvato dalla legge sulla protezione dati personali ragione di credere che non sarà compliant alle sue obbligazioni, per quanto la legge tocale gli permetterà di farlo. vigente? ( ad esempio le Clausole Contrattuali Standard UE} Ci si L'importatore, e responsabile del trattamento, effettua audit regolari i cui risultati vengono pubblicati e resi aspetta che l'importatore le rispetti? accessibili, su tutte le procedure di compliance rilevanti. Sulla base delle risposte fornite sopra, il trasferimento è: permesso Eni stataIT Sulla base di quanto definito sopra, e della legislazione vigente, il trasferimento è: Permesso |vaticatore: | Dott. Ing Antonio Vargiu | | |Per l'adozione: | Dott.ssa Teresa Anna Pisapia | | ALL rights in this spreadsheet and transfer impact assessment method are reserved, This file 5 QI under a free Creative Commons "Attribution-ShareAlike 4.0 International* CC BY-SA 4.0) license (https:/ /ereativecommons.org/ licenses/by-sa/4.0/). The input fields (blue background) and sample text therein are not subject to the license and may be changed and shared, Attribution must also include reference to the Link where the original and master version of this file can be obtained at www.rosenthal.ch.