Justbit CMP
Gestione Data Breach (72h)
Policy operativa estesa per la gestione delle violazioni di dati personali, in conformita agli articoli 33 e 34 del GDPR e ai principi di accountability.
1. Finalita della policy e perimetro applicativo
La presente policy definisce il processo formale di rilevazione, contenimento, valutazione e gestione delle violazioni di dati personali che coinvolgono i sistemi, i processi o i fornitori riconducibili al perimetro Justbit CMP. L'obiettivo e garantire risposta tempestiva, riduzione dell'impatto, corretta attivazione degli obblighi di notifica all'Autorita e, quando necessario, agli interessati, nonche completa tracciabilita delle decisioni assunte durante l'incidente.
Il processo si applica a ogni evento che determini, anche solo potenzialmente, distruzione, perdita, modifica, divulgazione non autorizzata o accesso indebito a dati personali trattati da Justbit, indipendentemente dalla causa tecnica o organizzativa che ha originato l'evento.
2. Momento di conoscenza e finestra delle 72 ore
Ai sensi dell'articolo 33 GDPR, il termine di 72 ore decorre dal momento in cui il Titolare e ragionevolmente posto a conoscenza della violazione, ossia quando dispone di elementi sufficienti a ritenere plausibile l'accadimento dell'evento e il potenziale impatto su dati personali. Da tale momento deve essere avviato il cronometro procedurale interno con registrazione immediata della data e dell'ora di conoscenza, della fonte della segnalazione e dello stato iniziale della valutazione.
Qualora la notifica al Garante avvenga oltre il termine, il ritardo deve essere motivato e documentato nel fascicolo incidente con indicazione delle ragioni oggettive che hanno impedito una comunicazione tempestiva.
3. Governance dell'incidente, ruoli e responsabilita
La gestione dell'incidente richiede coordinamento tra funzione tecnica, funzione privacy/legal, owner del processo impattato e management competente per le decisioni esterne. La funzione tecnica cura containment, raccolta evidenze e analisi causale; la funzione privacy/legal determina qualificazione giuridica, obblighi di notifica e contenuto delle comunicazioni; il process owner fornisce contesto operativo, impatti business e piano di rimedio; il management approva comunicazioni esterne e azioni straordinarie.
Tutti i passaggi decisionali devono essere tracciati in registro incidenti con evidenza nominativa del responsabile di fase, timestamp e riferimenti documentali.
4. Fasi operative: rilevazione, contenimento, analisi, decisione
Alla ricezione della segnalazione, il team incaricato apre immediatamente il caso e avvia il contenimento tecnico per limitare la propagazione dell'evento, preservando nel contempo integrita delle evidenze utili all'analisi forense e alla ricostruzione dei fatti. Segue una valutazione progressiva del rischio che considera tipologia dei dati coinvolti, volume, facilita di identificazione degli interessati, durata dell'esposizione, categorie vulnerabili, impatti su diritti e liberta, nonche misure mitigative gia efficaci.
Sulla base di questa analisi si determina se l'evento sia notificabile all'Autorita e se richieda comunicazione diretta agli interessati ai sensi dell'articolo 34 GDPR. Le decisioni devono essere motivate in modo circostanziato, evitando formule generiche e assicurando coerenza tra analisi tecnica e inquadramento legale.
5. Contenuto minimo della notifica e comunicazioni agli interessati
In caso di notifica all'Autorita, il dossier deve includere almeno descrizione della natura della violazione, categorie e numero approssimativo di interessati e record coinvolti, dati di contatto del punto di riferimento, conseguenze probabili della violazione e misure adottate o proposte per porre rimedio e attenuare gli effetti. Quando la comunicazione agli interessati e dovuta, il messaggio deve essere chiaro, concreto, tempestivo e orientato alla protezione della persona, con indicazioni operative sui comportamenti raccomandati.
Le comunicazioni devono essere coordinate con le funzioni legali e di sicurezza per evitare omissioni, ambiguita o divulgazione impropria di dettagli tecnici non necessari alla tutela degli interessati.
6. Registro incidenti, evidenze e conservazione documentale
Ogni evento deve essere censito in registro incidenti con codice univoco, data rilevazione, data conoscenza, scadenza 72 ore, classificazione dell'incidente, perimetro dei sistemi coinvolti, stato delle attivita, decisioni assunte, notifiche inviate e data di chiusura. Il fascicolo deve includere riferimenti a log, ticket, report tecnici, verbali decisionali e piano di remediation.
La conservazione delle evidenze deve rispettare le policy interne di retention e legal hold, garantendo integrita, reperibilita controllata e protezione della riservatezza per tutta la durata necessaria a finalita di audit, eventuale contenzioso e verifica post-incidente.
7. Chiusura incidente, remediation e lessons learned
Un incidente puo essere formalmente chiuso solo quando risultano completate le azioni di contenimento, le eventuali notifiche obbligatorie, la rimozione delle cause radice o la loro mitigazione strutturale, e la validazione del piano di prevenzione recidive. La fase di post-incident review deve produrre indicazioni concrete di miglioramento su architettura, processi, formazione utenti e controlli organizzativi, con assegnazione di owner e scadenze verificabili.
Le risultanze principali confluiscono nel programma di miglioramento continuo della governance privacy, in modo da rafforzare progressivamente il livello di resilienza del sistema.
8. Integrazione con governance privacy e sicurezza
La gestione data breach e parte integrante del modello di governance complessivo e deve restare allineata ai registri dei trattamenti, alle policy di retention, ai processi DSAR, ai controlli di sicurezza applicativa, alle procedure di gestione fornitori e ai piani di continuita operativa. In presenza di impatti estesi, il Titolare puo attivare misure straordinarie di legal hold e blocco azioni distruttive per preservare la catena di evidenza fino alla chiusura formale del caso.
9. Documento operativo di dettaglio
Il runbook tecnico-operativo completo, con check-list di escalation, template di comunicazione e matrice
decisionale di rischio, e mantenuto nel documento interno
docs/privacy/DATA_BREACH_RUNBOOK.md e deve essere riesaminato periodicamente.
10. Criteri di classificazione della severita
La valutazione di severita considera combinazione di fattori oggettivi: natura dei dati coinvolti, volume dei record, numero stimato di interessati, facilita di re-identificazione, durata dell'esposizione, estensione geografica, impatto sui diritti e probabilita di danno concreto. La classificazione iniziale e provvisoria e deve essere riesaminata man mano che emergono ulteriori evidenze tecniche.
Una classificazione sottostimata comporta rischio di ritardo notificatorio e aggravio sanzionatorio; pertanto il modello privilegia prudenza motivata nelle prime fasi, con successiva calibrazione documentata.
11. Incidenti che coinvolgono fornitori e catena di subfornitura
Quando l'evento origina o si propaga attraverso fornitori esterni, il Titolare attiva immediatamente i canali contrattuali previsti nei DPA, richiedendo evidenze tecniche, cronologia dell'evento, misure di containment e valutazione d'impatto aggiornata. Il coordinamento con il fornitore non sospende le responsabilita del Titolare verso interessati e Autorita: il processo interno resta attivo fino alla chiusura formale del caso.
Ogni dipendenza critica emersa durante l'incidente deve confluire nel piano di miglioramento contrattuale e tecnico, inclusa eventuale revisione della qualifica del fornitore o delle clausole di sicurezza applicate.
12. Comunicazione istituzionale e coordinamento reputazionale
Le comunicazioni esterne, incluse quelle verso clienti, partner, Autorita o media, devono essere centralizzate e approvate dal tavolo di crisi designato, in modo da garantire accuratezza fattuale, coerenza giuridica e tutela della riservatezza. Sono vietate comunicazioni non autorizzate o dichiarazioni individuali che possano compromettere l'istruttoria, la sicurezza o la posizione legale del Titolare.
Il contenuto comunicativo deve bilanciare trasparenza e proporzionalita, evitando divulgazione di dettagli tecnici inutili alla tutela degli interessati ma potenzialmente utili ad attori malevoli.
13. Simulazioni periodiche e test del runbook
Per garantire prontezza operativa, il Titolare promuove esercitazioni periodiche di scenario (table-top o test controllati) finalizzate a verificare tempi di escalation, qualita del coordinamento interfunzionale, completezza delle evidenze raccolte e capacita di rispettare i termini notificatori. Le risultanze delle simulazioni sono documentate e utilizzate per aggiornare procedure, ruoli e strumenti di risposta.
La frequenza e la profondita dei test devono essere proporzionate al profilo di rischio del sistema e alla criticita dei trattamenti svolti.
14. Chiusura legale del caso e archiviazione controllata
La chiusura di un incidente richiede validazione congiunta tecnica e legale, conferma di completamento delle azioni correttive, verifica di eventuali obblighi residui verso Autorita o interessati e formalizzazione della decisione di archiviazione. Prima della chiusura definitiva deve essere verificata la necessita di mantenere legal hold su specifici dataset o evidenze probatorie.
L'archiviazione del fascicolo avviene in repository controllato con metadati minimi obbligatori e con politiche di accesso ristretto, nel rispetto delle regole di retention e difesa in giudizio applicabili.
15. Revisione della policy e obbligo di aggiornamento continuo
La presente policy e soggetta a revisione programmata e straordinaria ogni volta che un incidente significativo, una modifica normativa o un cambiamento infrastrutturale renda necessario aggiornare presidi e responsabilita. Gli aggiornamenti devono essere formalmente approvati, comunicati ai ruoli interessati e recepiti nel runbook operativo di dettaglio senza ritardi incompatibili con il livello di rischio.
L'obiettivo e mantenere il sistema in stato di preparedness permanente, riducendo il rischio di risposta tardiva o incompleta e rafforzando la postura di conformita sostanziale dell'organizzazione.
16. Criteri di priorita nelle prime 24 ore
Nelle prime 24 ore dalla conoscenza dell'evento il Titolare privilegia azioni ad alto impatto protettivo: isolamento dell'asset compromesso, riduzione immediata della superficie di attacco, preservazione delle prove, verifica preliminare del perimetro dati coinvolto e attivazione del tavolo di coordinamento legale-tecnico. La priorita operativa e orientata a contenere il danno senza compromettere integrita delle evidenze utili alla successiva valutazione notificatoria.
Ogni decisione urgente deve essere registrata con timestamp, responsabile e motivazione, anche quando adottata in condizioni di informazione incompleta.
17. Trattamento mediatico e riservatezza investigativa
Durante la gestione dell'incidente il Titolare tutela equilibrio tra trasparenza verso interessati e necessita di riservatezza investigativa, evitando diffusione di dettagli che possano ostacolare l'analisi tecnica, amplificare il rischio o compromettere azioni di contenimento. Le comunicazioni pubbliche sono centralizzate e approvate secondo la catena decisionale prevista dalla governance.
Qualunque comunicazione esterna non autorizzata e considerata condotta non conforme e puo determinare provvedimenti organizzativi o disciplinari.
18. Interazione con autorita e obblighi di cooperazione
In caso di interlocuzione con Autorita competenti, il Titolare assicura cooperazione leale, tempestiva e documentata, fornendo informazioni pertinenti, aggiornamenti progressivi e chiarimenti tecnici idonei alla valutazione del caso. Le comunicazioni istituzionali devono essere coerenti con il fascicolo incidente e con le evidenze disponibili al momento dell'invio.
Eventuali richieste integrative ricevute dall'Autorita sono gestite con priorita adeguata al rischio e tracciamento della presa in carico fino alla chiusura formale dell'adempimento.
19. Misure correttive strutturali e verifica di efficacia
Le azioni correttive post-incidente devono distinguere tra mitigazioni immediate e interventi strutturali a medio termine, includendo revisione architetturale, aggiornamento controlli, formazione mirata, modifica dei flussi autorizzativi e rafforzamento monitoraggio. Ogni azione deve prevedere criterio di verifica dell'efficacia, affinche la chiusura non sia puramente formale ma effettivamente riduttiva del rischio.
L'assenza di evidenza sull'efficacia delle remediation impedisce la chiusura sostanziale del caso.
20. Archiviazione storica e readiness contenziosa
Il fascicolo incidentale, una volta chiuso, e conservato con criteri di integrita documentale, reperibilita controllata e metadati sufficienti alla ricostruzione completa della timeline decisionale. Tale presidio supporta audit successivi, richieste istituzionali e difesa in giudizio del Titolare, nel rispetto dei limiti di retention e delle eventuali misure di legal hold applicate.
La consultazione storica dei fascicoli e consentita solo ai soggetti autorizzati con registrazione degli accessi.
21. Clausola di adeguamento permanente
La presente policy e soggetta a miglioramento continuo sulla base di lezioni apprese, aggiornamenti normativi, evoluzioni tecnologiche e risultati dei test periodici di crisi. Ogni revisione deve essere formalmente approvata e resa coerente con i documenti di governance collegati, affinche il sistema mantenga capacita effettiva di risposta entro gli standard richiesti dalla normativa.
Per richieste di chiarimento sulla policy e disponibile il canale ufficiale privacy@justbit.it.
22. Catena di custodia delle evidenze forensi
In presenza di incidente con possibile rilevanza legale, le evidenze tecniche sono raccolte e conservate secondo principi di catena di custodia, con identificazione della fonte, timestamp, responsabile del prelievo, modalita di conservazione e tracciamento degli accessi successivi. Tale disciplina riduce rischio di contestazioni sulla genuinita del materiale probatorio e supporta utilizzabilita in sede ispettiva o giudiziale.
Ogni estrazione di log o artefatti deve essere proporzionata allo scopo investigativo e limitata ai dati strettamente necessari all'analisi dell'incidente.
23. Coordinamento legale-tecnico nelle decisioni notificatorie
La decisione sulla notifica all'Autorita e sulla comunicazione agli interessati e assunta attraverso confronto strutturato tra funzione legale/privacy e funzione tecnica di sicurezza, sulla base di elementi verificabili, stima del rischio e livello di incertezza residua. Le valutazioni devono essere motivate per iscritto e aggiornate progressivamente quando emergono nuovi fatti rilevanti.
L'obiettivo e garantire tempestivita senza sacrificare accuratezza, evitando sia omissioni notificatorie sia comunicazioni non sufficientemente fondate.
24. Obblighi di cooperazione di fornitori e partner
In caso di incidente che coinvolga fornitori, subfornitori o partner tecnologici, il Titolare attiva i meccanismi contrattuali di cooperazione incidentale, richiedendo tempestiva condivisione di evidenze, stato della remediation e valutazioni di impatto sui dati trattati. La mancata cooperazione nei tempi congrui e gestita come rischio contrattuale e compliance, con attivazione delle tutele previste dagli accordi in essere.
Le informazioni ricevute sono integrate nel fascicolo unico dell'incidente con verifica di coerenza e completezza rispetto alla timeline gia registrata.
25. Misure di contenimento reputazionale e comunicazione coerente
La gestione comunicativa dell'incidente deve proteggere contemporaneamente interessati, clienti e stabilita reputazionale dell'azienda, assicurando messaggi corretti, non minimizzanti e privi di elementi fuorvianti. Le comunicazioni esterne devono restare allineate alle evidenze tecniche disponibili e alle valutazioni legali formalizzate, con controllo centrale dei contenuti pubblicati.
Dichiarazioni premature o non verificate possono compromettere sia la tutela degli interessati sia la posizione difensiva del Titolare, e sono pertanto vietate.
26. Chiusura sostanziale, lezioni apprese e protezione aziendale
Un incidente si considera chiuso solo quando risultano completate analisi causale, remediation tecnica, verifica di efficacia, aggiornamento dei controlli preventivi e formalizzazione delle lezioni apprese in documentazione di governance. La chiusura meramente amministrativa, priva di evidenza sostanziale, e considerata insufficiente ai fini compliance.
Tale disciplina rafforza tutela degli interessati e riduce l'esposizione dell'azienda a recidive, sanzioni, contestazioni contrattuali e danni reputazionali.
27. Obbligo di readiness permanente e simulazioni periodiche
Il Titolare mantiene stato di readiness continuativa attraverso simulazioni periodiche, esercitazioni tabletop e test di escalation dei canali decisionali, con verifica dei tempi di risposta e della qualita delle evidenze prodotte. Le simulazioni sono documentate e utilizzate per aggiornare runbook, responsabilita operative e criteri di notifica, riducendo il rischio di incertezza decisionale in eventi reali.
L'assenza di test periodici e considerata fattore aggravante del rischio e richiede piano di recupero immediato.
28. Coordinamento con funzioni HR, legale e direzione
Nei casi con possibile coinvolgimento di personale interno o terzi contrattualizzati, la gestione dell'incidente prevede coordinamento tracciato tra sicurezza, funzione legale, risorse umane e direzione, nel rispetto dei principi di necessita e riservatezza. Le decisioni su comunicazioni interne, misure disciplinari e tutela contrattuale sono assunte su base documentata e coerente con il fascicolo tecnico-legale dell'evento.
Tale coordinamento garantisce un approccio unitario e riduce esposizioni reputazionali e giuridiche dell'azienda.
29. Criteri di escalation verso organi societari competenti
Gli incidenti con impatto elevato, alta probabilita di danno o rilievo pubblico sono oggetto di escalation verso gli organi societari competenti secondo soglie predefinite, con reporting sintetico ma completo su fatti noti, incertezze residue, misure adottate, opzioni decisionali e rischio residuo. Ogni escalation e registrata nel fascicolo con data, ora, partecipanti e decisioni assunte.
Il presidio rafforza responsabilizzazione dei livelli decisionali e supporta difendibilita dell'operato.
30. Clausola finale di tutela massima e conservazione difensiva
La presente policy e orientata alla massima tutela di interessati e azienda, combinando tempestivita operativa, rigore probatorio e coerenza normativa. Nei limiti di legge, il Titolare puo mantenere conservazione difensiva delle evidenze indispensabili alla gestione di reclami, procedimenti o contenziosi, con accesso strettamente controllato e revisione periodica della necessita di mantenimento.
In caso di dubbio interpretativo, prevale la soluzione che minimizza il rischio complessivo e garantisce maggiore affidabilita del presidio incidentale aziendale.