Accountability GDPR

Art. 5(2) Reg. UE 2016/679 — Ultimo aggiornamento: 2026-04-20

Ai sensi del Principio di Accountability (art. 5(2) GDPR) Prosvero — operato da Rico Schurter, persona fisica residente in Svizzera — mantiene una serie di documenti interni che dimostrano la conformità al Regolamento UE 2016/679 e alle prassi interpretative del Comitato Europeo per la Protezione dei Dati (EDPB) e del Garante italiano.

Documenti mantenuti

  • Registro dei trattamenti (art. 30(1) GDPR) — elenco completo delle attività di trattamento, finalità, basi giuridiche, categorie di interessati e di dati, destinatari, trasferimenti extra-UE, misure di sicurezza.
  • Memorandum di compliance pre-lancio— decisione motivata sull'assenza (temporanea) di rappresentante UE, trigger di nomina, provider selezionato (DataRep), revisione mensile.
  • DPIA— valutazione di impatto sulla protezione dei dati, eseguita quando applicabile ai sensi dell'art. 35 GDPR.
  • Audit trail firma eIDAS (art. 24(2) del Reg. UE 910/2014) — registro inalterabile degli eventi di firma elettronica con timestamp server-side, IP anonimizzato, hash SHA-256 del documento, consenso esplicito.
  • Registro data-breach— modello pronto per notifica entro 72 ore al Garante ai sensi dell'art. 33 GDPR.

Disponibilità dei documenti

I documenti sono disponibili a semplice richiesta alle seguenti categorie di soggetti:

  • Autorità di controllo (Garante italiano, IFPDT svizzero, altre DPA UE) nell'ambito di ispezioni o richieste formali.
  • Interessati con legittimo interesse (es. cliente finale del freelancer che chiede informazioni sul trattamento dei propri dati) — dopo verifica identità.
  • Clienti B2B (freelancer in ruolo di Titolare) nell'ambito di un'attività di due diligence o audit ai sensi del DPA art. 28 GDPR.

Per richieste scrivere a support@prosvero.com. Risposta entro 30 giorni (art. 12(3) GDPR).

Motivo della non-pubblicazione online

I documenti di accountability non vengono pubblicati integralmente su web perché contengono informazioni tecniche di sicurezza (mappa infrastruttura, misure crittografiche, account di servizio, token, chiavi di rotazione) la cui esposizione pubblica aumenterebbe la superficie di attacco verso i dati dei nostri utenti.

Questa è una buona prassi riconosciuta: il Garante italiano nelle proprie FAQ sull'accountability (2018) indica che il registro art. 30 non deve essere pubblicato, ma essere esibitosu richiesta dell'autorità. Lo stesso approccio si estende agli altri documenti di accountability.

Revisione

I documenti di accountability sono rivisti almeno una volta all'anno o in occasione di cambiamenti sostanziali (nuovo fornitore, nuova funzionalità, breach, richiesta formale di un'autorità).

Operato da Rico SchurterVia Alle Vigne 6, 6598 Tenero, Svizzera. Contatti privacy: support@prosvero.com.