Allegato 1: Valutazione di Impatto Trasferimento dati extra- EU [omissis] . version at www.rosenthal.ch)* ‘Licensing: See bottom) La versione originale della TIA è stata pubblicata sul sito della IAPP (International Association of Privacy Professionals), quale risorsa per il supporto ai professionisti, con i ringraziamenti all'autore originale. La IAPP non approva alcun template in particolare. Version 1.01 ITA (September 5th, 2022) (Versione per il trasferimento dati verso USA) Decrizione del trasferimento da a) Esportatore dei dati Scuola b) Nazione di esportazione Italia c) Importatore dei dati Google Ilc. dj) Nazione di importazione USA Fornitura dei servizi cloud "Google for Education", utilizzati al fine di fornire funzionalità di supporto alla e) Contesto e finalità dell'esportazione didattica e didattica a distanza agli alunni e modalità remote di comunicazione scuola-famiglia ai genitori/tutori degli stessi. Î) Categorie di interessati coinvolti Dipendenti, studenti e loro genitori/tutori Nome e cognome, eventuali numeri di telefono e contatti web, dati relativi alla didattica e alle 9) Categorie di dati personali trasferiti: comunicazioni scuola-famiglia. | dati personali "particolari" o “giudiziari” ai sensi degli Art. 9 e 10 GDPR sono trattati nel rigoroso rispetto del principio di necessità. . iu . in I dati personali "particolari" o "giudiziari" ai sensi degli Art. 9 e 10 GDPR sono trattati previa valutazione h) Dati personali "Particolari . Pa: 1 . ea e e 1 della effettiva necessità per il conseguimento delle finalità istituzionali. Attraverso le web application cloud dell'importatore, opportunamente nominato responsabile del i) Implementazione tecnica del trasferimento trattamento. Controllo degli accessi individuali a minima informazione necessaria, Crittazione in transito e in loco, ) Misure tecniche e organizzative adottate utilizzo di sistemi di data-loss prevention e protezione degli endpoint, istruzioni specifiche per l'utenza e formazione specifica. Step 2: Definizione dei parametri della TIA Analisi e motivazioni Data di inizio del trasferimento {a seguito di analisi e verifica dello a 05-set-22 ) stesso): dì Periodo di valutazione (in anni): où \Atta fine del periodo di validità dell'analisi, a in presenza di cambiamenti legislativi che La Là ‘impattina sulla validità della stessa, l'analisi verrà replicata. Data di fine validità del presente documento: 05-set-27 P pi Anni (stimati) oltrei quali la probabilità di accesso legale da parte o delle autorità del paese importatore superano il 50%. Sulla base di 40 {= in totale 45 questo tempo, verrà calcolata la probalità di accesso tollerata, che anni) verrà considerata quale misura di rischio residuo accettabile. Viene fissata in 40 anni il periodo per il quale si ritiene accettabile il rischio di accesso legale da parte delle autorità del paese importatore con una probabilità pari al 50%. Da tale parametro deriva la probabilità di accesso tollerata. Misura di rischio accettabile: probabilità di rischio di accesso. 7,41% 40 dj) Giurisdizione per la quale è stata effettuata la TIA USA e) Leggi rilevanti sulla base delle quali ès tata effettuata la TIA Section 702 FISA, EO 12.333 (and PPD-28) Step 3: Definizione delle tutele in atto Argomentazioni Sarebbe possibile, da punti di vista sia pratici, tecnici ed economici, Non esistano, per nastra conoscenza, dei pradotti che offrano gli stessi servizi, con le stesse a) utilizzare un servizio che trasferisca i dati verso una nazione che No caratteristiche di affidabilità e sicurezza informatica e che non prevadano la trasmissione rispetti i requisiti dettati dalla legislazione vigente? (anche sala parziale) dei dati verso un paese non UE. b) ie SOTA 4 CORRI sulla base di una delle deroghe Si (Art. 49, comma id (trasferimento necessario per importanti motivi di interesse pubblico) o | dati personali vengono esportati in chiaro? {Non sono previste No I dati sono trasmessi con tecniche di cifratura proprietarie fornite dal Responsabile del forme di cifratura in transito) Trattamento. d) | dati personali sono accessibili in chiaro dall'importatore dei dati o si La maggior parte dei dati sono acccessibili in chiaro. Alcuni dei servizi offrono cifratura da una terza parte nella giurisdizione di importazione? client-side. | dati personali sono protetti da un meccanismo di trasferimento L'importatore è vincolato per contratto al rispetto delle clausole contrattuali standard (EU protetto approvato dalla legge sulla protezione dati personali . SCC), e non abbiamo ragione di credere che non sarà compliant alte sue obbligazioni, per e) : . . ? Ci si Si quanto la legge locale gli permetterà di farlo. L'importatore, e responsabile del vigente ( ad esempio le Clausole Contrattuali Standard UE)? Ci si trattamento, effettua audit regolari i cui risultati vengono pubblicati e resi accessibili, su aspetta che l'importatore le rispetti? tutte le procedure di campliance rilevanti. Sulla base delle risposte fornite sopra, il trasferimento è: permesso ES ea Rete te) Sulla base di quanto definito sopra, e della legislazione vigente, il Parente trasferimento è: Validatore: [omissis] Per l'adozione: _—_ mettere il nome del DS ____ Al rights in this spreadsheet and transfer impact assessment method are reserved. This © QI le is made available under a free Creative Commons “Attribution-ShareAlike 4.0 International” (CC BY-SA 4.0) license. (https://creativecommons.org/licenses/by-sa/4.0/). The input fields (blue background) and sample text therein are not subject to the license ed. Attribution must also include reference to the link where the original and master version of this file can be obtained at www.rosenthal.ch.