Justbit CMP
Governance Privacy
Modello di governance per ROPA, DPA, subprocessor list e versioning informative.
1. Registro trattamenti (ROPA)
Ogni trattamento deve avere finalita, base giuridica, categorie dati/interessati, retention, owner, responsabili e revisione periodica.
2. DPA e fornitori privacy
Per ogni fornitore che tratta dati personali devono essere tracciati: stato DPA, versione DPA, eventuali SCC, ruolo privacy e data review.
3. Subprocessor list
Ogni fornitore deve avere un riferimento aggiornato alla lista sub-responsabili, con verifica periodica e gestione impatti su trasferimenti extra SEE.
4. Versioning informative
Ogni informativa deve essere versionata con data di efficacia, owner legale, riferimento approvazione e changelog.
5. Workflow e controlli
- Creazione record con campi obbligatori.
- Review owner di processo.
- Validazione legale/privacy.
- Audit periodico su completezza e scadenze.
6. Retention formalizzata
- DSAR richieste chiuse: 1095 giorni.
- DSAR export: 180 giorni.
- DSAR action log: 365 giorni.
- Cookie consent log: 180 giorni.
- Audit log portale: 90 giorni.
Ogni variazione retention richiede approvazione Legal/Privacy, aggiornamento ROPA e allineamento della configurazione runtime.
7. Documentazione di supporto
I documenti legali originali (DPA, SCC, subprocessor list, nomine, approvazioni) devono essere conservati in un repository documentale aziendale dedicato (SharePoint/Drive/DocMS), non nel codice applicativo.
Nel portale CMP vanno registrati solo i riferimenti nei campi dei registri privacy
(subprocessorListRef, legalApprovalRef, approvalRef,
changeLogRef, evidenceRef, authorityProtocol).
Per dati legacy tecnici (es. consensi cookie storici) usare script di migrazione controllata con dry-run e
report finale, come indicato in docs/privacy/PRIVACY_GOVERNANCE.md.
Policy interna completa: docs/privacy/PRIVACY_GOVERNANCE.md.