Incident Response Plan

L'azienda si è dotata di una specifica procedura per gestire la violazione dei dati, sia in qualità di titolare che in qualità di responsabile.

Rispetto alla stessa, si specifica che:
a) qualsiasi evento riconducibile ad una violazione di dati viene registrata in un apposito documento;
b) se agisce in qualità di titolare del trattamento, verrà coinvolto il responsabile della protezione dei dati di concerto con il comitato di crisi per verificare se la violazione sia tale da dover procedere alla notifica all'Autorità garante per la protezione dei dati personali (art. 33 GDPR) ed alla comunicazione agli interessati (art. 34 GDPR); se agisce in qualità di responsabile, la violazione verrà sempre comunicata al titolare del trattamento e fornirà tutte le informazioni necessarie affinché il titolare possa prendere le opportune decisioni.

Nell'elaborazione della procedura si è tenuto di conto che il termine previsto dalla norma per un'eventuale notifica al Garante è, salvo proroghe, di 72 ore dal momento in cui ne abbia avuto conoscenza.

Qualora l'azienda subisse una violazione in qualità di responsabile del trattamento, dovrà avvertire nel più breve tempo possibile – e comunque non oltre 24 ore dal momento in cui ne abbia avuto conoscenza – il titolare del trattamento.

Attendi...