Politica di gestione degli incidenti relativi ai dati personali e delle violazioni dei dati personali

La Politica di gestione degli incidenti relativi ai dati personali e delle violazioni dei dati personali definisce come un'organizzazione identifica, segnala, sottopone a triage, valuta, contiene, notifica, documenta, chiude e migliora sulla base degli incidenti relativi ai dati personali e delle violazioni dei dati personali entro l'ambito di applicazione del Sistema di gestione delle informazioni sulla privacy. La finalità dichiarata è assicurare che incidenti e violazioni siano gestiti in modo coerente, tempestivo, lecito, sicuro e con evidenze disponibili per l'audit. La politica si applica nei contesti di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile, e si estende a sistemi, applicazioni, servizi, processi, fornitori, responsabili del trattamento, sub-responsabili e terze parti che trattano, archiviano, trasmettono, supportano, accedono o incidono in altro modo sui dati personali entro l'ambito di applicazione del PIMS. Un elemento centrale della politica è il suo modello integrato di evidenze. REG10 — Registro degli incidenti relativi ai dati personali e delle violazioni dei dati personali è l'elemento di evidenza principale per la gestione degli incidenti e delle violazioni, mentre i registri di supporto forniscono contesto e tracciabilità. REG01 supporta il contesto di ambito di applicazione, legale, contrattuale, settoriale, dei clienti e di segnalazione. REG02 collega le attività di trattamento interessate, le categorie di dati personali, le categorie di interessati, le finalità e i sistemi. REG04 supporta il collegamento al rischio privacy, alla DPIA e al rischio residuo. REG08 registra le interfacce relative agli incidenti con responsabili del trattamento, sub-responsabili, clienti, fornitori e terze parti. REG09 è utilizzato quando gli incidenti incidono sul trattamento transfrontaliero, REG11 supporta le evidenze di formazione e competenza, e REG12 acquisisce evidenze di audit, non conformità, azione correttiva e miglioramento. Questa struttura contribuisce a garantire che le registrazioni degli incidenti non siano isolate dal PIMS più ampio. La politica stabilisce requisiti dettagliati per preparazione, presa in carico, classificazione, valutazione della violazione, contenimento, ripristino, notifica, comunicazioni, protezione delle evidenze e lezioni apprese. Gli incidenti sospetti relativi ai dati personali devono essere registrati tempestivamente, con ogni incidente sospetto segnalato o rilevato inserito in REG10 entro un giorno lavorativo dal ricevimento, o prima qualora possano attivarsi tempistiche di notifica o di segnalazione al cliente. Il triage tecnico degli eventi di sicurezza che coinvolgono dati personali deve essere completato entro 24 ore dal rilevamento, e ciascuna voce REG10 deve essere classificata come evento non relativo ai dati personali, incidente sospetto relativo ai dati personali, incidente confermato relativo ai dati personali o violazione confermata dei dati personali entro 24 ore dalla presa in carico, salvo che sia documentato il motivo della classificazione in sospeso. Per la valutazione della violazione, la politica richiede l'identificazione delle attività di trattamento interessate, delle categorie di dati personali, delle categorie di interessati, dei sistemi, dei responsabili del trattamento, dei sub-responsabili, dei luoghi di trasferimento e dei rischi privacy prima di finalizzare le decisioni di notifica. Gli obblighi di notifica e comunicazione sono separati per ruolo. Per i titolari del trattamento, la politica richiede decisioni documentate sulla notifica regolatoria per ogni violazione confermata dei dati personali senza ingiustificato ritardo, con notifica, motivazione della mancata notifica o motivazione del ritardo conservate in REG10. Quando è attivata la comunicazione agli interessati coinvolti, la politica richiede la registrazione di contenuto, destinatari, tempistica, modalità di erogazione ed evidenze di approvazione. Per i responsabili del trattamento e i sub-responsabili, la politica richiede la notifica ai titolari del trattamento interessati, ai clienti, ai responsabili del trattamento a monte o ai canali contrattuali approvati senza ingiustificato ritardo ed entro le scadenze contrattuali applicabili. Per gli incidenti relativi ai dati personali ad alto impatto, richiede inoltre la valutazione dei presupposti legali, settoriali, del settore finanziario, di cibersicurezza, contrattuali, dei clienti e dei destinatari del servizio per la segnalazione, ove applicabili. Governance, misurazione e miglioramento sono integrati nel processo. Il Responsabile privacy / Responsabile PIMS è titolare del processo di gestione degli incidenti e delle violazioni e deve assicurare che REG10 sia mantenuto fino alla chiusura. Il Coordinatore della risposta agli incidenti gestisce la presa in carico, il triage, il workflow di contenimento, il tracciamento dello stato, la chiusura e le lezioni apprese. La sicurezza delle informazioni guida l'indagine tecnica, il contenimento, l'eradicazione, il ripristino, la conservazione delle evidenze e l'analisi della causa radice ove siano coinvolti sistemi o controlli di sicurezza. L'alta direzione riceve escalation per gli incidenti confermati relativi ai dati personali ad alto impatto entro 24 ore dalla classificazione e riesamina incidenti ad alto impatto, violazioni soggette a notifica, azioni correttive scadute e impatti sostanziali durante il riesame della direzione. Le metriche includono volumi degli incidenti, tempistiche di classificazione e contenimento, tempestività delle notifiche, anzianità delle azioni correttive, prestazioni di risposta delle terze parti e completamento delle esercitazioni. La politica richiede inoltre un riesame annuale, un riesame post-incidente dopo incidenti ad alto impatto o violazioni confermate e un riesame annuale di audit interno dell'applicazione.