​

Valutazione d'Impatto sulla Protezione dei Dati (DPIA) per il gestionale online "DetectivePro"

1. Introduzione La presente Valutazione d’Impatto sulla Protezione dei Dati (Data Protection Impact Assessment – DPIA) è stata predisposta in conformità all’art. 35 del Regolamento (UE) 2016/679 (di seguito "GDPR") e alle Linee Guida WP29/EDPB WP248 rev.01, nonché nel rispetto delle disposizioni contenute nel D.Lgs. 196/2003 e s.m.i. (Codice Privacy), con particolare riferimento agli articoli 2-sexies e 2-octies.

La valutazione si riferisce ai trattamenti di dati personali effettuati mediante l’utilizzo del gestionale online “DetectivePro”, sviluppato e di proprietà esclusiva di ALFA DETECTIVES S.R.L., con sede legale in via Ambrosi 18, 38122 Trento (TN), P.IVA 02382450225.

Il presente documento ha lo scopo di:

• descrivere sistematicamente i trattamenti effettuati tramite la piattaforma DetectivePro;

• valutarne la necessità e la proporzionalità rispetto alle finalità perseguite;

• individuare e analizzare i rischi elevati per i diritti e le libertà degli interessati;

• identificare le misure tecniche e organizzative adottate per mitigare tali rischi.

Obbligo della DPIA: La necessità di effettuare una DPIA deriva dalla tipologia di trattamenti effettuati, che rientrano nei criteri definiti dal Garante per la protezione dei dati personali con Provv. n. 467/2018 e n. 146/2019, tra cui:

• trattamento di dati giudiziari;

• trattamento sistematico e automatizzato di dati relativi a soggetti sottoposti ad attività di indagine;

• utilizzo di tecnologie informatiche per la gestione e archiviazione dei dati.

2. Descrizione del trattamento 2.1 Finalità del trattamento Il trattamento è effettuato dagli Abbonati (agenzie investigative) attraverso DetectivePro per finalità strettamente connesse all’esecuzione di incarichi investigativi conferiti dai propri clienti, in ambito civile e penale. Le principali finalità includono:

• redazione e archiviazione di relazioni investigative;

• gestione di tempi, spese e parcelle connesse alle indagini;

• generazione di preventivi e rendicontazioni;

• gestione documentale e organizzativa del fascicolo investigativo.

2.2 Base giuridica del trattamento

• Art. 6, par. 1, lett. b) GDPR (esecuzione di un contratto);

• Art. 6, par. 1, lett. f) GDPR (interesse legittimo del cliente committente);

• Art. 9, par. 2, lett. f) GDPR (accertamento, esercizio o difesa di un diritto in sede giudiziaria);

• Art. 10 GDPR, in combinato disposto con l’art. 2-octies D.Lgs. 196/2003 per i dati giudiziari.

2.3 Modalità del trattamento Il trattamento avviene attraverso l’interfaccia web della piattaforma DetectivePro. Le operazioni comprendono: raccolta, consultazione, registrazione, modifica, conservazione, cancellazione e esportazione dei dati. Non è prevista profilazione automatica né decisioni basate unicamente su trattamenti automatizzati ai sensi dell’art. 22 GDPR.

2.4 Categorie di interessati

• Persone fisiche oggetto di indagine;

• Clienti committenti (persone fisiche o giuridiche);

• Terzi occasionalmente coinvolti nel contesto delle indagini;

• Collaboratori autorizzati dell’Abbonato.

2.5 Tipologia di dati trattati

• Dati identificativi (nome, cognome, codice fiscale);

• Dati di contatto;

• Dati relativi a spostamenti e attività;

• Materiale audio/video, fotografie, documenti;

• Dati sensibili e giudiziari nei limiti di legge.

2.6 Destinatari dei dati

• I dati non sono accessibili ad ALFA DETECTIVES S.R.L. che non effettua operazioni di trattamento per conto degli utenti finali;

• I destinatari dei dati sono esclusivamente: il committente dell’indagine, l’Autorità giudiziaria, il difensore o altri soggetti autorizzati dalla legge.

2.7 Trasferimenti internazionali Non è previsto alcun trasferimento di dati al di fuori dello Spazio Economico Europeo (SEE). I server sono localizzati in data center europei conformi a ISO/IEC 27001.

2.8 Periodo di conservazione I dati vengono conservati per la durata dell’incarico investigativo e, successivamente, per il periodo necessario a far valere o difendere un diritto in sede giudiziaria. La piattaforma consente la cancellazione manuale e definitiva dell’intera pratica.

3. Valutazione di necessità e proporzionalità Il trattamento è ritenuto strettamente necessario e proporzionato rispetto alle finalità investigative, conformemente ai principi di cui all’art. 5 GDPR:

• liceità, correttezza, trasparenza;

• minimizzazione dei dati;

• limitazione delle finalità;

• limitazione della conservazione;

• integrità e riservatezza.

Il sistema non consente trattamenti eccedenti o non pertinenti e l’accesso è riservato esclusivamente a soggetti autorizzati.

4. Analisi dei rischi Sono stati individuati i seguenti rischi:

• R1: Accesso non autorizzato ai dati (Data Breach);

• R2: Perdita accidentale o cancellazione dei dati;

• R3: Errato inserimento o trattamento improprio dei dati;

• R4: Uso improprio da parte di soggetti autorizzati;

• R5: Violazione dei diritti dell’interessato;

• R6: Mancata notifica o informazione agli interessati nei tempi previsti.

5. Misure di sicurezza e mitigazione del rischio 5.1 Misure organizzative

• Policy interne privacy e gestione dati;

• Nomina a responsabile del trattamento (art. 28 GDPR);

• Registro dei trattamenti tenuto aggiornato;

• Formazione periodica per gli operatori autorizzati;

• Contratti di riservatezza con i collaboratori;

• Procedure documentate di gestione incidenti e Data Breach;

• Valutazioni periodiche di conformità.

5.2 Misure tecniche

• Autenticazione a due fattori (2FA);

• Logging e audit trail degli accessi e modifiche;

• Crittografia end-to-end (TLS/SSL e AES);

• Backup automatici giornalieri con recovery testati;

• Firewall, antivirus e sistemi di intrusion detection;

• Segregazione dei dati per account e per singola indagine;

• Funzione di "eliminazione definitiva" con log di conferma;

• Hosting in infrastruttura certificata ISO/IEC 27001, ISO 27017, ISO 27701.

6. Diritti degli interessati e gestione delle richieste L’Abbonato garantisce agli interessati l’esercizio dei diritti previsti dagli artt. 15-22 GDPR, tra cui:

• diritto di accesso;

• diritto di rettifica e cancellazione;

• diritto di limitazione del trattamento;

• diritto di opposizione;

• diritto a non essere sottoposto a decisioni automatizzate.

DetectivePro integra funzionalità di supporto all’esercizio dei diritti (es. esportazione dei dati su richiesta). L’informativa è resa ex art. 13 e 14 GDPR con modalità compatibili con l’attività investigativa e nei limiti previsti dall’art. 2-octies Codice Privacy.

7. Conclusioni Alla luce dell’analisi condotta, il rischio residuo è valutato come basso-medio e adeguatamente mitigato dalle misure adottate. Non risulta necessaria la consultazione preventiva del Garante (art. 36 GDPR). La piattaforma DetectivePro può essere utilizzata lecitamente dagli Abbonati per le finalità sopra indicate, nel rispetto del GDPR e della normativa nazionale vigente.

8. Estremi del Titolare e dichiarazione finale Titolare del trattamento dei dati personali trattati tramite la piattaforma è l’Abbonato. ALFA DETECTIVES S.R.L. non accede ai dati trattati tramite la piattaforma, non assume il ruolo di responsabile né contitolare del trattamento.

Data: 16/06/2025 Luogo: Trento

ALFA DETECTIVES S.R.L.
Via Ambrosi 18, 38122 Trento (TN)
P.IVA 02382450225
PEC: alfadetectives@pec.it