Justbit CMP
Gestione Data Breach (72h)
Processo operativo per rilevazione, valutazione rischio, notifica e chiusura incidenti privacy.
1. Quando si attiva il processo
Il processo si attiva in presenza di una violazione di dati personali (accesso non autorizzato, divulgazione, perdita, alterazione o indisponibilita) che coinvolga dati trattati da Justbit.
2. Regola temporale
Dal momento in cui il Titolare viene a conoscenza della violazione decorre la finestra di 72 ore per valutare e, se dovuto, notificare l'evento al Garante (art. 33 GDPR).
La notifica oltre 72 ore deve essere motivata e documentata.
3. Tracciamento nel registro incidenti
Ogni incidente viene registrato nel registro compliance Data Breach con almeno:
- ID incidente, data rilevazione, data conoscenza e scadenza notifica.
- Tipologia dati/sistemi coinvolti e stima interessati impattati.
- Valutazione rischio e decisione notifica.
- Azioni di contenimento, root cause, data chiusura e review post-incidente.
4. Flusso sintetico
- Rilevazione e apertura ticket incidente.
- Containment tecnico e raccolta evidenze.
- Valutazione rischio privacy/legal.
- Decisione notifica Autorita/interessati.
- Comunicazione, remediation e chiusura con lessons learned.
5. Ruoli minimi
- Incident Manager (coordinamento tecnico).
- Privacy/Legal owner (valutazione obblighi normativi).
- Process owner (contesto business e remediation).
- Management/Comunicazione (approvazione comunicazioni esterne).
6. Documentazione di supporto
Runbook completo interno: docs/privacy/DATA_BREACH_RUNBOOK.md.