Politica di gestione degli incidenti relativi ai dati personali e delle violazioni nel settore finanziario

La Politica di gestione degli incidenti relativi ai dati personali e delle violazioni nel settore finanziario definisce i requisiti per identificare, segnalare, sottoporre a triage, classificare, valutare, contenere, notificare, documentare, chiudere e migliorare a seguito di incidenti relativi ai dati personali e violazioni dei dati personali negli ambiti di applicazione del PIMS nel settore finanziario. Si applica quando l'organizzazione opera come titolare del trattamento, contitolare del trattamento, responsabile del trattamento o sub-responsabile in un contesto del settore finanziario e copre anche sistemi, applicazioni, servizi, processi, fornitori, responsabili del trattamento, sub-responsabili e terze parti che trattano, archiviano, trasmettono, supportano, accedono ai dati personali o comunque li influenzano all'interno dell'ambito di applicazione. La politica è espressamente progettata come variante sostitutiva di PII15 per il settore finanziario e richiede alle organizzazioni di selezionare PII15 oppure PII15-FS per lo stesso ambito di applicazione, al fine di evitare obblighi, registri e attività sulle evidenze di audit duplicati. La finalità della politica è garantire che gli incidenti relativi ai dati personali e le violazioni siano gestiti in modo coerente, tempestivo, lecito, sicuro e con evidenze disponibili in sede di audit. REG10 — Registro degli incidenti relativi ai dati personali e delle violazioni è istituito come elemento di evidenza principale, mentre i registri di supporto collegano la registrazione dell'incidente al più ampio modello di evidenze del PIMS. REG01 è utilizzato per il contesto relativo ad ambito di applicazione, parti interessate, settore, cliente, contratto e segnalazione. REG02 collega le attività di trattamento interessate, le categorie di dati personali, le categorie di interessati, le finalità, i sistemi e i servizi. REG03 acquisisce la Dichiarazione di applicabilità e gli aggiornamenti sull'applicabilità dei controlli, inclusa la sostituzione di PII15 con PII15-FS. REG04 supporta il collegamento con la valutazione del rischio privacy, DPIA, rischio residuo e trattamento, mentre REG08, REG09, REG11 e REG12 coprono interfacce con terze parti, trasferimenti internazionali, formazione ed evidenze di audit o azioni correttive. A livello operativo, la politica richiede che ogni sospetto incidente relativo ai dati personali nel settore finanziario segnalato o rilevato sia registrato in REG10 entro un giorno lavorativo dalla ricezione, o prima quando possano essere attivate tempistiche di notifica, comunicazione al cliente o segnalazione. Gli incidenti devono essere classificati entro 24 ore dalla presa in carico come evento non relativo a dati personali, sospetto incidente relativo ai dati personali, incidente relativo ai dati personali confermato, violazione dei dati personali confermata, incidente relativo ai dati personali nel settore finanziario, incidente grave del settore finanziario, minaccia informatica significativa o registrazione in attesa di classificazione. La valutazione della violazione deve considerare dati personali interessati, interessati, sistemi, servizi, attività di trattamento, responsabili del trattamento, sub-responsabili, trasferimenti, rischi, clienti, controparti e azioni di rimedio. La politica richiede inoltre la conservazione delle evidenze, il contenimento entro tempi definiti, la convalida del ripristino e decisioni di chiusura documentate che includano classificazione, decisione di notifica, stato del contenimento, stato del ripristino, rischio residuo, azioni correttive e completezza delle evidenze. La politica distingue gli obblighi di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile. I titolari del trattamento devono registrare le decisioni di notifica della violazione, predisporre le evidenze di notifica all'autorità di controllo quando richiesto e riesaminare la comunicazione all'interessato quando è individuato un rischio elevato. I responsabili del trattamento e i sub-responsabili devono valutare le istruzioni del cliente, gli obblighi contrattuali di notifica, le catene di notifica a monte e i requisiti di instradamento delle evidenze, mantenendo le registrazioni in REG08 e REG10. Le responsabilità dei contitolari del trattamento devono essere coordinate e documentate prima delle scadenze di notifica esterna applicabili. Per incidenti relativi ai dati personali ad alto impatto nel settore finanziario e minacce informatiche significative, il Coordinatore della risposta agli incidenti deve valutare i presupposti per la segnalazione regolamentare nel settore finanziario e conservare in REG10 le evidenze della decisione. Governance, misurazione e miglioramento sono integrati nel ciclo di vita della politica. Il Responsabile privacy / Responsabile del PIMS deve riesaminare gli incidenti REG10 aperti almeno settimanalmente fino alla chiusura, e l'alta direzione deve ricevere l'escalation per incidenti ad alto impatto confermati nel settore finanziario, incidenti gravi o minacce informatiche significative entro 24 ore dalla classificazione. Le metriche includono conteggi mensili di incidenti sospetti e confermati, violazioni, incidenti gravi del settore finanziario e minacce informatiche significative, nonché tempestività della notifica della violazione, tempestività della segnalazione nel settore finanziario, contenimento, ripristino, convalida del ripristino e prestazioni di risposta delle terze parti. La politica richiede inoltre riesame annuale, riesame post-incidente dopo eventi gravi, riesame di audit interno, gestione delle eccezioni, applicazione tramite non conformità REG12 e formazione correttiva tramite REG11 quando si verificano carenze di sensibilizzazione o comunicazione.