Governance Privacy

1. Principi generali di governance e accountability

La governance privacy di Justbit CMP e costruita in conformita ai principi di accountability previsti dal GDPR, con particolare riferimento agli articoli 5, 24, 25 e 32. Il modello prevede responsabilita chiare, segregazione dei compiti, presidi di verifica periodica, tracciamento delle decisioni e allineamento continuo tra documentazione legale, configurazione tecnica e processi operativi. Ogni modifica rilevante deve essere valutata in chiave privacy by design e privacy by default, con formalizzazione preventiva di finalita, base giuridica, categorie di dati coinvolte, tempi di conservazione e misure di sicurezza applicabili.

L'assetto di governance include il coordinamento tra funzioni legali, compliance, sicurezza, operation e owner di processo, con responsabilita condivisa sulla completezza dei registri e sulla coerenza tra policy pubblicate, pratica operativa e comportamento applicativo effettivo del sistema.

2. Registro dei trattamenti e manutenzione del perimetro

Il registro dei trattamenti (ROPA) rappresenta il presidio centrale di classificazione e controllo dei flussi dati. Per ciascun trattamento devono essere documentati finalita, basi giuridiche, categorie di interessati, categorie di dati, destinatari, trasferimenti, tempi di conservazione, misure di sicurezza e ownership organizzativa. Il registro deve coprire in modo esplicito sia i processi verso utenti esterni sia i processi interni che riguardano personale, collaboratori, candidature, timesheet, workload, dati di presenza, integrazioni di filiera e log tecnici.

Ogni variazione architetturale o di processo che introduca nuovi dati o nuove finalita richiede aggiornamento del ROPA prima del rilascio in produzione, con evidenza di revisione e data di approvazione.

Il perimetro ROPA deve includere in modo espresso i trattamenti relativi al ciclo documentale commerciale (wizard preventivi, ordini di vendita/acquisto, versioni documento, metadati di protocollo, caricamento su repository documentale aziendale), indicando per ciascun flusso finalita, base giuridica, categorie dati, categorie interessati, destinatari interni, eventuali responsabili esterni e regole di retention applicate.

3. Governance fornitori, DPA e sub-responsabili

Tutti i fornitori che trattano dati personali per conto di Justbit devono essere qualificati mediante processo formale ex articolo 28 GDPR, con verifica documentale di ruolo privacy, DPA vigente, subprocessor list, garanzie per trasferimenti internazionali e misure di sicurezza dichiarate. Le evidenze contrattuali ufficiali devono essere custodite in repository documentale aziendale con accesso controllato, mentre nel portale CMP devono essere mantenuti i soli riferimenti strutturati (ad esempio versione DPA, data review, riferimento subprocessor list, clausole di trasferimento applicate e id approvazione legale).

Il riesame dei fornitori deve avvenire con periodicita almeno annuale o anticipata in caso di cambiamento sostanziale del servizio, incidente rilevante o aggiornamento normativo che impatti il perimetro del trattamento.

4. Versioning delle informative e controllo di coerenza

Informativa Privacy, Cookie Policy, Condizioni d'uso e documentazione DSAR devono essere versionate con data di efficacia, owner legale, riferimento approvativo e nota di modifica. Il sistema di versioning deve garantire la tracciabilita delle variazioni e la possibilita di ricostruire quale versione fosse vigente in una specifica finestra temporale, soprattutto ai fini di prova in caso di contestazioni.

Per gli utenti autenticati interni, quando richiesto dalla governance, il portale puo imporre accettazione versionata delle condizioni legali aggiornate prima di consentire ulteriori operazioni, con audit delle accettazioni e allineamento ai registri di compliance.

5. Retention, cancellazione e legal hold

La retention dei dati e determinata secondo principio di necessita e proporzionalita, tenendo conto di obblighi normativi, esigenze di audit, sicurezza e tutela legale del Titolare. Le politiche applicative di cancellazione automatica sono allineate a parametri formalizzati e soggette a revisione periodica. In caso di contenzioso, investigazione o richiesta dell'autorita competente, il Titolare puo attivare legal hold con sospensione dei cleanup ordinari e blocco delle azioni distruttive lato server, mantenendo traccia degli eventi bloccati.

Le cancellazioni ad alto impatto, incluse quelle documentali sensibili, devono transitare su endpoint backend auditati e non essere demandate a cancellazioni client dirette, al fine di preservare controllo centralizzato, sicurezza procedurale e catena di evidenza.

Per il ciclo documentale commerciale, la governance deve distinguere chiaramente tra: bozze operative (retention breve e cleanup periodico), documenti ufficiali con rilevanza contrattuale/amministrativa (retention conforme agli obblighi applicabili), log tecnici di processo (retention proporzionata al rischio) e copie di sicurezza. Le deroghe ai tempi standard devono essere formalizzate con motivazione e data di riesame.

6. Gestione DSAR e SLA di conformita

Il processo DSAR deve garantire registrazione della richiesta, verifica identita proporzionata, tracciamento delle attivita, controllo delle scadenze normative e conservazione delle prove di risposta. Ogni pratica deve indicare owner, stato, data ricezione, data risposta, eventuali proroghe, motivazioni e perimetro dei dati coinvolti. I controlli interni devono verificare periodicamente la coerenza tra stato operativo e documentazione probatoria associata alla pratica.

In presenza di richieste complesse o ad alto rischio, e raccomandata validazione congiunta tra referenti legali e tecnici, con formalizzazione dell'istruttoria e delle decisioni adottate.

7. Governance dei processi AI e HR

Nei processi recruiting e nelle analisi assistite da AI, il modello di governance richiede controllo umano effettivo, documentazione delle logiche generali, tracciamento delle modifiche e verifica periodica di coerenza rispetto alle finalita dichiarate. L'uso di output AI deve restare strumentale e non sostitutivo della valutazione professionale umana, in conformita agli articoli 22 e 35 GDPR ove applicabili.

Le informazioni relative a personale e collaboratori sono trattate per finalita amministrative e organizzative interne, con divieto di diffusione non autorizzata. Le analisi di presenza sono consentite solo in forma proporzionata e con finalita aggregate/statistiche o di economics interno, nel rispetto dei limiti lavoristici e privacy applicabili.

Nei processi AI applicati a caselle email operative e documenti amministrativi (inclusa estrazione dati fattura e riconciliazione con ordini/fornitori), la governance impone censimento del fornitore AI nel registro fornitori privacy, verifica delle basi giuridiche, definizione delle categorie dati in input/output, controllo umano obbligatorio sugli esiti e tracciamento audit delle correzioni effettuate. Ogni estensione di perimetro richiede riesame legale/privacy prima del rilascio in produzione.

Per la sincronizzazione TeamSystem dei soli giustificativi, la governance richiede formalizzazione del perimetro minimo (tipologia giustificativo, data/intervallo, stato, metadati tecnici), segregazione dei permessi di avvio sync ai ruoli autorizzati e tracciamento completo dei run. Qualsiasi ampliamento del set dati acquisito deve essere bloccato fino a completamento di riesame ROPA, verifica basi giuridiche e aggiornamento documentale.

8. Controlli periodici, audit e miglioramento continuo

Il programma di controllo prevede verifiche ricorrenti su completezza dei registri, validita dei riferimenti contrattuali, coerenza retention-cleanup, corretto funzionamento dei flussi DSAR, allineamento dei permessi per ruolo e robustezza dei log di sicurezza. Gli esiti delle verifiche devono essere documentati con piano di remediation, responsabilita assegnate e scadenze di chiusura.

Il ciclo di miglioramento continuo richiede che ogni non conformita significativa determini revisione del processo, aggiornamento documentale e, se necessario, adeguamento tecnico del portale prima della chiusura formale del rilievo.

9. Documentazione ufficiale e repository di evidenze

La documentazione legale originale (DPA, SCC, subprocessor list, nomine, approvazioni, verbali di review) deve essere conservata fuori dal codice applicativo in un repository documentale aziendale dedicato, con politiche di accesso basate su ruolo e tracciamento delle consultazioni. Il portale CMP mantiene i metadati di collegamento e i riferimenti strutturati necessari alla governance operativa, evitando deposito indiscriminato di documenti sensibili nel layer applicativo.

10. Aggiornamento della policy di governance

La presente policy e soggetta a revisione periodica e viene aggiornata in caso di novita normative, evoluzioni tecnologiche o mutamenti organizzativi che incidano sul perimetro dei trattamenti. Ogni versione deve riportare data di efficacia e riferimento temporale dell'ultimo aggiornamento, con conservazione dello storico secondo regole interne di governance documentale.

11. Assetto dei ruoli interni e catena decisionale

L'efficacia della governance dipende da una catena decisionale chiara tra owner di trattamento, funzione legale/privacy, funzione security, referenti operation e management. Ogni decisione con impatto sui dati personali deve avere owner nominativo, motivazione, data di approvazione e riferimento alla documentazione probatoria, in modo da consentire verifica indipendente e ricostruzione storica.

La separazione dei compiti riduce conflitti di interesse e aumenta affidabilita dei controlli, evitando che la stessa funzione possa progettare, approvare e validare autonomamente interventi ad alto rischio senza contro-verifica.

12. Matrice controlli e verifiche di primo e secondo livello

Il modello prevede controlli di primo livello effettuati dagli owner operativi sui propri processi e controlli di secondo livello svolti da funzioni di governance/privacy/security su coerenza normativa e robustezza tecnica. Le verifiche includono campionamenti documentali, test di configurazione, analisi dei log, controllo scadenze retention, congruita dei permessi per ruolo e revisione delle eccezioni autorizzate.

Gli esiti sono tracciati con piano di remediation formale, indicazione delle priorita, assegnazione di owner e data target di chiusura; la mancata chiusura entro i termini deve essere riportata ai livelli decisionali competenti con motivazione circostanziata.

13. KPI di compliance e reporting direzionale

Il presidio governance include indicatori periodici su completezza ROPA, stato DPA/subprocessor list, puntualita risposte DSAR, conformita retention-cleanup, copertura audit log e tempo medio di remediation delle non conformita. I KPI devono essere misurabili, comparabili nel tempo e accompagnati da soglie di attenzione che attivino escalation preventiva quando superate.

Il reporting direzionale deve distinguere tra conformita formale e conformita sostanziale, evidenziando non solo presenza documentale ma anche efficacia reale dei controlli nel ridurre il rischio operativo e legale.

14. Governance dei cambiamenti applicativi

Ogni change che impatta trattamenti personali richiede valutazione preventiva di impatto privacy/security, aggiornamento dei registri, verifica dei testi informativi pubblici e controllo di allineamento con i parametri runtime di produzione. Nessun rilascio ad alto impatto dovrebbe essere considerato completo senza evidenza di chiusura del controllo legale e tecnico associato.

Le modifiche urgenti in risposta a incidenti sono ammesse con procedura accelerata, ma devono essere regolarizzate ex post con documentazione completa entro tempi definiti dalla governance interna.

Per i cambiamenti su wizard documentali e integrazione con repository aziendale, il fascicolo di change deve includere almeno: validazione dei campi obbligatori/minimizzazione, verifica ruoli autorizzati alla generazione e pubblicazione, controllo coerenza tra metadati applicativi e file archiviato, test di permessi cartella/link su storage aziendale e verifica del tracciamento audit per le azioni critiche.

Per i cambiamenti che coinvolgono il Password Manager (Passbolt) devono essere verificati, prima del rilascio, almeno i seguenti presidi: isolamento gruppi per progetto, ereditarieta dei permessi cartella, flussi di onboarding/offboarding, revoca automatizzata degli accessi e coerenza tra audit log applicativo e policy pubbliche. Le evidenze di test e validazione devono essere conservate nel fascicolo di change.

Devono inoltre essere verificati i presidi di backup e ripristino: cifratura forte dei backup, separazione tra chiavi di cifratura e infrastruttura applicativa, restrizione degli accessi al bucket di conservazione, tracciamento delle operazioni di restore e test periodici documentati di recupero. Per il perimetro Passbolt, la governance deve considerare che nei backup possono rientrare anche segreti personali caricati volontariamente dagli utenti e deve quindi garantire limitazione di finalita, need-to-know e autorizzazione formale del restore.

15. Formazione, consapevolezza e responsabilizzazione utenti

Il modello di conformita richiede formazione periodica degli utenti autorizzati su principi privacy, sicurezza operativa, gestione incidenti, uso corretto delle esportazioni e divieti di divulgazione non autorizzata. La formazione deve essere calibrata per ruolo, con approfondimenti specifici per funzioni che trattano dati sensibili o svolgono attivita di amministrazione del sistema.

La consapevolezza non e considerata adempimento formale isolato: deve tradursi in comportamenti verificabili e nel rispetto concreto delle procedure operative stabilite dal Titolare.

16. Conservazione delle evidenze di governance e audit readiness

Le evidenze di governance (verbali, approvazioni, riferimenti DPA, esiti review, changelog, prove di controllo) devono essere conservate in forma ordinata, reperibile e cronologicamente coerente, con criteri di accesso controllato e protezione della riservatezza. Tale impianto consente audit readiness continua e supporta la difendibilita dell'organizzazione in sede ispettiva o contenziosa.

La qualita della documentazione e considerata parte integrante della sicurezza giuridica dell'azienda: registrazioni incomplete, prive di data o non riconducibili a un responsabile nominativo sono da considerarsi non conformi e richiedono immediata regolarizzazione.

17. Gestione delle eccezioni e deroghe controllate

Qualunque deroga ai controlli ordinari di governance deve essere eccezionale, temporalmente limitata, formalmente autorizzata e accompagnata da motivazione documentata. La deroga deve indicare perimetro, rischio residuo, misure compensative, owner responsabile e data di scadenza oltre la quale la condizione eccezionale cessa automaticamente salvo rinnovo esplicito.

Le deroghe scadute o prive di motivazione adeguata sono considerate non conformita e richiedono intervento immediato di regolarizzazione con segnalazione ai livelli decisionali competenti.

18. Allineamento tra policy pubbliche e configurazione runtime

La conformita sostanziale richiede che i contenuti delle policy pubbliche siano coerenti con il comportamento effettivo del sistema in produzione. Ogni aggiornamento testuale deve quindi essere accompagnato da verifica tecnica dei parametri runtime, dei job schedulati di retention, dei vincoli server-side e delle regole di autorizzazione applicate ai dataset interessati.

Il mancato allineamento tra testo e configurazione costituisce rischio di non conformita e deve attivare immediato piano di remediation con priorita alta.

19. Presidi su filiera documentale legale e contrattuale

La governance impone tracciabilita della filiera documentale relativa a DPA, SCC, subprocessor list, nomine, approvazioni e verbali di review. Ogni documento deve essere identificabile con versione, data, owner e stato di validita, evitando riferimenti incompleti o non verificabili nei registri operativi del portale.

L'accesso ai documenti originali resta confinato ai repository documentali dedicati con permessi controllati, mentre nel portale CMP sono mantenuti metadati minimi necessari alla gestione operativa e alla prova di avvenuta verifica.

20. Criteri di maturita della compliance

Il livello di maturita della compliance non e misurato solo sulla presenza di policy, ma sulla capacita dell'organizzazione di dimostrare esecuzione coerente, tempestivita dei controlli, qualita delle evidenze, efficacia delle remediation e riduzione progressiva del rischio residuo. Tale approccio consente di distinguere adempimento formale da presidio reale della conformita.

Le funzioni di governance devono promuovere indicatori orientati agli esiti e non esclusivamente alle attivita, con reporting periodico ai livelli direzionali.

21. Clausola finale di presidio continuo

La presente policy costituisce riferimento dinamico e non statico: il Titolare si impegna a mantenerla allineata all'evoluzione normativa, tecnologica e organizzativa, con revisione strutturata e audit di efficacia. In caso di conflitto interpretativo prevale la soluzione che assicura maggiore tutela dei diritti degli interessati e maggiore robustezza del presidio aziendale.

Le richieste di chiarimento interpretativo possono essere indirizzate al canale privacy@justbit.it, con gestione tracciata delle risposte.

22. Accountability rafforzata e onere della prova organizzativa

Il modello di governance e orientato al principio di accountability sostanziale: non e sufficiente dichiarare il rispetto delle regole, ma occorre poter dimostrare in ogni momento la concreta applicazione dei controlli con evidenze verificabili, datate e riconducibili a responsabili nominativi. La prova organizzativa comprende decisioni, istruttorie, verifiche tecniche, remediation e motivazioni giuridiche sottostanti.

L'assenza di tracciabilita adeguata e trattata come rischio compliance prioritario e richiede intervento immediato di riallineamento.

23. Segregazione dei ruoli e controllo dei conflitti di interesse

La governance richiede chiara separazione tra ruoli operativi, ruoli di controllo e ruoli autorizzativi, evitando concentrazioni eccessive di potere decisionale sul medesimo processo. Nei casi in cui un soggetto partecipi a piu fasi della filiera, devono essere previsti controbilanciamenti documentati, riesami indipendenti o approvazioni aggiuntive idonee a ridurre il rischio di conflitti di interesse.

Tale assetto tutela sia gli interessati sia l'azienda, migliorando affidabilita delle decisioni e difendibilita delle scelte in sede ispettiva.

24. Due diligence continuativa su fornitori e subfornitori

I processi di onboarding e monitoraggio dei fornitori devono includere valutazione periodica di adeguatezza privacy e sicurezza, verifica dei presupposti contrattuali, coerenza delle finalita trattate, localizzazione dei trattamenti e conformita delle misure tecniche dichiarate. Le risultanze di due diligence devono essere archiviate con versionamento e data certa, in modo da dimostrare continuita del controllo nel tempo.

In caso di esito non soddisfacente, il Titolare attiva remediation contrattuale o tecnica e, se necessario, piano di sostituzione del fornitore entro tempi compatibili con il rischio residuo.

25. Governance delle modifiche ad alto impatto privacy

Ogni cambiamento architetturale, funzionale o contrattuale con potenziale impatto rilevante sui trattamenti deve essere soggetto a change governance formale, con valutazione preventiva dei rischi, definizione delle misure mitigative e approvazione esplicita del rilascio. Il processo di change management deve garantire allineamento tra codice, configurazione runtime, informative pubbliche e registri interni.

Rilasci in produzione privi di tale allineamento sono considerati non conformi e devono essere corretti con priorita alta, includendo analisi delle cause organizzative che hanno consentito la deviazione.

26. Clausola finale di protezione integrata dell'azienda

La presente policy e finalizzata a garantire presidio integrato di conformita normativa, resilienza tecnica, sostenibilita operativa e tutela giuridica del Titolare. Le sue disposizioni devono essere applicate con criterio sostanziale, privilegiando la soluzione che riduce in modo misurabile il rischio complessivo per interessati, clienti, partner e patrimonio informativo aziendale.

Eventuali richiami interpretativi sono trattati tramite il canale ufficiale privacy@justbit.it, con registrazione delle risposte per finalita di governance e miglioramento continuo.

27. Obbligo di attestazione interna delle attivita critiche

Le attivita ad alta rilevanza privacy o sicurezza devono essere accompagnate da attestazione interna del responsabile di processo, con indicazione della base decisionale, dei controlli eseguiti e dell'esito ottenuto. L'attestazione costituisce presidio di accountability e consente verifica ex post della correttezza operativa, riducendo il rischio di decisioni non motivate o non allineate alla governance formalizzata.

Attivita critiche prive di attestazione sono considerate non conformi e soggette a remediation prioritaria.

28. Registro delle decisioni strategiche di compliance

Il Titolare mantiene registro strutturato delle decisioni strategiche in materia di protezione dati, incluse scelte su retention, basi giuridiche, trasferimenti, controlli anti-abuso, verifiche identitarie e gestione incidenti. Il registro include razionale, data, owner, ambito di applicazione e pianificazione delle revisioni.

Tale presidio rafforza continuita decisionale e difendibilita dell'azienda in sede ispettiva o contenziosa.

29. Gestione del rischio residuo e accettazione formale

Quando non sia tecnicamente o organizzativamente possibile azzerare un rischio entro tempi immediati, il Titolare puo procedere con accettazione formale del rischio residuo, previa valutazione documentata della probabilita, dell'impatto, delle misure compensative e della data di riesame obbligatorio. L'accettazione non equivale a rinuncia al miglioramento, ma a gestione controllata e temporanea della deviazione.

I rischi residui non rivalutati alle scadenze previste devono essere automaticamente riportati in escalation.

30. Clausola conclusiva di opponibilita del modello di governance

Il modello descritto nella presente policy, se applicato con evidenze coerenti e aggiornate, costituisce presidio opponibile a tutela del Titolare in relazione a verifiche esterne, reclami e contenziosi. Le regole devono essere interpretate in modo da preservare integrita del sistema di controllo e certezza delle responsabilita.

Ogni funzione coinvolta e tenuta a cooperare in buona fede al mantenimento della governance, secondo ruoli e competenze formalmente assegnati.