H-IO-0030 Edizione: 03

COMUNICAZIONE DELLE EMERGENZE, DEGLI INCIDENTI

E VIOLAZIONE DEI DATI PERSONALI

Emesso da:

Security, IT Security, Privacy

(A.Napoli), (M.Azzarini), (D.Granata)

Verificato da:

Responsabile dell'Ente Emittente

(A.Mureddu, G.Almondo, N.Assirelli)

Approvato da:

Responsabile dell’Ente Emittente

(A.Mureddu; G.Almondo, N.Assirelli)

Data: 21.05.2018 Comunicazione delle Emergenze, degli Incidenti e violazione dei dati Pagina 1 di 10
Reserved / Internal Use - Copyright © Comdata Group - All rights reserved - Tutti i diritti riservati
 H-IO-0030 Edizione: 03

REGISTRAZIONE DELLE EDIZIONI

Edizione Data Descrizione delle modifiche introdotte
01 11.04.2014 Prima edizione

02 04.07.2017 Cap. 4.1 Meglio specificato i casi di data breach

Cap. 4.2 Introduzione della gestione dei dati biometrici

03 21.05.2018 Revisione complessiva per allineare la policy a GDPR ed al NIS - CSIRT

Data: 21.05.2018 Comunicazione delle Emergenze, degli Incidenti e violazione dei dati Pagina 2 di 10
Reserved / Internal Use - Copyright © Comdata Group - All rights reserved - Tutti i diritti riservati
 H-IO-0030 Edizione: 03

INDICE

1. Scopo ............................................................................................................................................. 4
2. Campo di Applicazione .................................................................................................................. 4
3. Riferimenti – Responsabilità – Definizioni ..................................................................................... 4
3.1 Riferimenti 4
3.2 Responsabilità 4
3.3 Definizioni 5
4. Generalità ...................................................................................................................................... 5
4.1 Tipologie di Data Breach 5
4.2 Eventi (Logici e Fisici) Classificati Incidenti di Emergenza 6
4.3 Eventi (Logici e Fisici) Classificati Incidenti Puntuali 6
5. Gestione degli Incidenti di emergenza (e dei Data Breach) .......................................................... 6
5.1 Comunicazione (Notifica) all’Ente Preposto alla Gestione 6
5.2 Trasmissione dei Dati 8
5.3 Gestione dell’Evento 8
5.4 Notifica Dei Data Breaches 8
5.4.1 Notifica all’Autorità (per data breaches subiti come Titolare) ............................................. 8
5.4.2 Comunicazione agli Interessati (per Data Breaches subiti come Titolare) ........................ 9
5.4.3 Flusso di Gestione dei Data Breaches ............................................................................... 9
5.4.4 Comunicazione a CSIRT .................................................................................................... 9
5.5 Chiusura e Archiviazione degli Incidenti di Emergenza 9

Data: 21.05.2018 Comunicazione delle Emergenze, degli Incidenti e violazione dei dati Pagina 3 di 10
Reserved / Internal Use - Copyright © Comdata Group - All rights reserved - Tutti i diritti riservati
 H-IO-0030 Edizione: 03

1. SCOPO

Il presente documento ha lo scopo di definire gli standard generali per:

• la gestione di eventi che possono pregiudicare la sicurezza nazionale e le conseguenti modalità di

comunicazione alle Autorità competenti NIS – CSIRT;
• la gestione di eventi, dolosi o colposi, anche con carattere di emergenza, che possono pregiudicare
la riservatezza, l’integrità o la disponibilità di dati personali trattati dall’Azienda quale Titolare o quale
Responsabile per conto di propri clienti.

Lo scopo del presente documento è altresì quello di assicurare che qualsiasi violazione venga
debitamente presa in considerazione e sia efficacemente risolta nel più breve tempo possibile, notificando
le violazioni alle Autorità competenti, documentando i suddetti eventi in un report al fine di tenerne traccia
e di individuare eventuali azioni correttive volte ad evitarne la ricomparsa. In altri termini l’individuazione
delle violazioni di dati personali (di seguito, anche Data Breach) ed organizzazione delle attività,
responsabilità, regole e modalità di classificazione, definizione dello stato, trattamento e analisi delle
violazioni dei dati personali per individuare, in base all’impatto e/o al danno quelli da notificare all’Autorità.

La normativa vigente prescrive, infatti, che senza ingiustificato ritardo ed, ove possibile, entro 72 ore dalla
conoscenza del fatto, i Titolari notifichino all’Autorità (Garante Privacy) tutte le violazioni dei dati che
possano avere avuto un impatto significativo sui dati personali. L’obbligo non scatta se il Titolare del
trattamento può dimostrare che la violazione dei dati personali non presenta un rischio per i diritti e le
libertà delle persone fisiche. Decorso il termine delle 72 ore, la notifica della violazione dei dati personali
deve essere corredata dalle motivazioni e dalle cause del ritardo.

La notifica all’Autorità Garante non è dovuta solo se è improbabile che dalla violazione derivi un rischio
per i diritti e le libertà degli interessati. Il presente documento definisce anche le modalità di notificazione
dei ‘Data Breach’ all’Autorità Garante.

2. CAMPO DI APPLICAZIONE

La presente procedura si applica ad ogni area aziendale e ad ogni sede in Italia, Romania e Repubblica
Ceca del gruppo Comdata (di seguito l’Azienda) ed ha validità per tutti i processi.

3. RIFERIMENTI – RESPONSABILITÀ – DEFINIZIONI

3.1 RIFERIMENTI
UNI EN ISO 9000:2015 Sistemi di gestione per la qualità - Fondamenti e Vocabolario
UNI EN ISO 9001:2015 Sistemi di gestione per la qualità - Requisiti
UNI EN 15838:2009 Centri di Contatto – Requisiti del Servizio
February 2014 Edition Comdata Group’s Code of Ethics
ISO/IEC 27001:2013 Information Security Management Systems – Requirements
ICT-IO-0002 Service Operation. Contenente la gestione degli incidenti
Direttiva 2016/1148 del
Parlamento Europeo e del Misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione
Consiglio - 06 luglio 2016
Regolamento per la protezione
Art. 33 – Notifica di una violazione dei dati personali all’autorità di controllo.
dei dati personali n. 679/2018

3.2 RESPONSABILITÀ

Le unità organizzative coinvolte nel presente documento sono responsabili della corretta applicazione
dello stesso. Eventuali richieste di variazione devono essere trasmesse tempestivamente all'unità
organizzativa emittente.

Ogni funzione Aziendale, quando rileva un’anomalia a sistema o nei processi che fa pensare ad un
avvenuto Data Breach, ha il dovere di segnalare la suddetta anomalia direttamente e
contemporaneamente al DPO e alla funzione di IT Security.

Data: 21.05.2018 Comunicazione delle Emergenze, degli Incidenti e violazione dei dati Pagina 4 di 10
Reserved / Internal Use - Copyright © Comdata Group - All rights reserved - Tutti i diritti riservati
 H-IO-0030 Edizione: 03

3.3 DEFINIZIONI
Incidente di sicurezza IdS: Ogni evento che si discosta dai requisiti prestabiliti di sicurezza e che ha provocato o avrebbe
(IdS) potuto provocare danno ai dati o ai dati personali degli interessati.
NIS - CSIRT Computer Security Incident Response Team - responsabili del monitoraggio degli incidenti a livello
nazionale
Data Breach Violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la
modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque
trattati.
Incidente Qualsiasi evento che causi danneggiamento al patrimonio aziendale, indipendentemente dalla causa
Requisiti prestabiliti di Esigenza di garantire l’esattezza, l’integrità e la disponibilità dei dati e la protezione da accessi non
sicurezza autorizzati e da trattamenti non consentiti.
Impatto Danni reali o potenziali agli interessati a causa di perdita, diffusione o modifica non autorizzata dei
propri dati o riferito a azioni di malware, intrusioni informatiche, accessi abusivi, ecc.
Azione correttiva Intervento finalizzato ad impedire il ripetersi di IdS o di situazioni capaci di provocare il ripetersi di IdS
(nei casi più complessi o sistematici).
Emergenza Qualsiasi evento di grave ed imminente pericolo che, se non gestito in maniera tempestiva, causa o
potrebbe causare danno all’incolumità delle persone e/o al patrimonio aziendale
Debolezza Una condizione che di per sé non causa danneggiamento, come applicato alla definizione di incidente,
ma potrebbe, se non rimossa, comportare un incidente
Ospiti Persone non dipendenti Comdata che, previa autorizzazione, accedono alle sedi aziendali
Dipendenti Comdata Tutte le persone assunte in Italia e all’estero da Società del Gruppo Comdata
Violazione di dati Violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica,
personali la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati
nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico

4. GENERALITÀ

Tutti i dipendenti e gli ospiti che si trovano all’interno dell’Azienda e vengono a conoscenza o sono
protagonisti diretti di situazioni o episodi che mettono in pericolo le risorse umane e il patrimonio aziendale
devono darne immediata comunicazione secondo le modalità descritte nella presente procedura.

4.1 TIPOLOGIE DI DATA BREACH

La definizione di violazione di dati personali (includendo anche dati biometrici) è potenzialmente molto
ampia in quanto comprende qualunque evento metta a rischio, anche in maniera accidentale, i dati
personali trattati dell’Azienda.

Laddove il dato è fuori del controllo dell’Azienda e può essere utilizzato dolosamente, in violazione della
riservatezza oppure il danno arrecato ai dati non è recuperabile, l’Azienda ha l’obbligo di comunicare:

• a committenti tutti gli eventi, anche di tipo accidentale, e le relative informazioni di dettaglio, che
possono essere considerati come violazioni di dati personali;
• all’Autorità tutti gli eventi, anche di tipo accidentale, e le relative informazioni di dettaglio, che
possono essere considerati come violazioni di dati personali del cui trattamento è Titolare;
• agli interessati coinvolti, se il Data Breach è suscettibile di presentare un rischio elevato per i loro
diritti e le loro libertà.

Di seguito, a titolo esemplificativo e non esaustivo, alcune tipologie di possibili violazioni sui dati:

• Distruzione di dati informatici o documenti cartacei conseguente ad eliminazione logica (es.

errata cancellazione dei dati nel corso di un intervento su di un sistema informatico) o fisica (es.
rottura di dispositivi di memorizzazione informatica, incendio/allagamento locali dove sono archiviati
i contratti ed altri documenti dei clienti);
• Perdita di dati, conseguente a smarrimento/furto di supporti informatici (es. laptop, HD, “chiavette”
USB) o di documentazione contrattuale o altri documenti cartacei (in originale o in copia),
• Accesso doloso non autorizzato o intrusione a sistemi informatici (es. sistemi di contact
management gestiti dai Call Center), tramite lo sfruttamento di vulnerabilità dei sistemi interni e delle
reti di comunicazione oppure attraverso la compromissione o rilevazione abusiva di credenziali di
autenticazione (es. user-id e password) per l’accesso ai sistemi;
• Modifica non autorizzata di dati, derivante ad esempio da un’erronea esecuzione di interventi sui
sistemi informatici o da copiatura di dati non autorizzata;
• Riservatezza in elenco: inserimento in elenco telefonico malgrado il cliente abbia chiesto la
riservatezza e conseguente possibilità di chiamate promo - commerciali indesiderate;

Data: 21.05.2018 Comunicazione delle Emergenze, degli Incidenti e violazione dei dati Pagina 5 di 10
Reserved / Internal Use - Copyright © Comdata Group - All rights reserved - Tutti i diritti riservati
 H-IO-0030 Edizione: 03

• Fornitura di dati a persona diversa dal contraente di un servizio di comunicazione elettronica o

bancario o diversa dal collaboratore che ha sottoscritto un contratto di collaborazione con firma
grafometrica o comunque divulgazione di dati personali a soggetti non autorizzati.
• Eventuali furti di identità, tutte le violazioni dei dati o gli incidenti informatici che possano avere un
impatto significativo non ricoverabile sui sistemi o sui dati personali custoditi.

4.2 EVENTI (LOGICI E FISICI) CLASSIFICATI INCIDENTI DI EMERGENZA

Si definiscono, di seguito le tipologie di eventi classificati incidenti di emergenza. L’evento è rapidamente

notificato agli organi di competenza.

Evento Fisico Evento Logico

• accesso non autorizzato o intrusione; • intrusione di hacker;
• furto, distruzione o scomparsa materiale vario • attacchi informatici;
(cartacei, elettronico, strumentazione, ecc.) • furto di dati elettronici
• sabotaggio o atto terroristico;
• telefonata minatoria;
• altro che comporti il danneggiamento degli asset fisici
aziendali.
Disastro Fisico Disastro Logico
• allagamento; • disastri informatici;
• terrmoto; • distruzione di dati informatici di intere piattaforme o interi centri
• incendio o pericolo di incendio; elaborazione dati.

• scoppio o pericolo di scoppio

Tabella 1 - Classificazione Eventi di Emergenza

4.3 EVENTI (LOGICI E FISICI) CLASSIFICATI INCIDENTI PUNTUALI

Eventi circoscritti o comunque localizzati su un'unica struttura che non presentano immediate
ripercussioni di altro genere. Si tratta di incidenti logici o strutturali per i quali è opportuno attivare
unicamente la funzione preposta alla gestione come di seguito indicato (intervento tecnico o di
manutenzione). Tipicamente sono gestiti dal Service Desk (anche tramite un Duty Manager).

Evento Fisico Evento Logico

• servizi igienici non funzionanti; • apparato informatico o telefonico fuori servizio
• arredi da sostituire; • rete informatica non accessibile
• lampadine rotte; • accesso non autorizzato ai sistemi;
• …. • ricezione di phishing ecc.
• rilevamento o presenza di virus worm;
• incidente di rete;
• incidente sui sistemi operativi e ai database;
• incidenti hardware ai sistemi;
• …..

Tabella 2 - Classificazione Eventi Puntuali

5. GESTIONE DEGLI INCIDENTI DI EMERGENZA (E DEI DATA BREACH)

5.1 COMUNICAZIONE (NOTIFICA) ALL’ENTE PREPOSTO ALLA GESTIONE

Nel momento in cui si manifesta un evento classificato incidente di emergenza è attivato immediatamente
l’ente preposto alla gestione e all’organizzazione delle attività necessarie al contenimento delle
conseguenze ed al superamento delle problematiche causate per evitare l’estendersi del danno.

Data: 21.05.2018 Comunicazione delle Emergenze, degli Incidenti e violazione dei dati Pagina 6 di 10
Reserved / Internal Use - Copyright © Comdata Group - All rights reserved - Tutti i diritti riservati
 H-IO-0030 Edizione: 03

L’attivazione avviene tramite comunicazione da parte di colui che percepisce o individua l'evento; qualora
costui è impossibilitato ad effettuare la comunicazione, contatta il proprio diretto superiore per informarlo
dei fatti, in modo che sia lui a provvedere alla comunicazione. L’evento (incidente o disastro) è
rapidamente comunicato ai diversi enti competenti, a seconda della sua tipologia, seguendo il sottostante
schema:

EVENTO COMUNICAZIONE
Tipologia Descrizione Notifica a Security, Apertura ticket al Escalation al
Information Security e DPO Service desk management
Disastro Disastri Comunicazione tramite e-mail Comunicazione al Service Si contattano i
(Fisico e infrastrutturali o all’indirizzo [email protected] desk attraverso l’applicazione propri superiori o
Logico) informatici preposta o tramite mail si fa direttamente
particolarmente all’indirizzo escalation al
importanti (Cap. servicedesk@comdatagroup. management
3.2) com o tramite telefonata allo
011.5071520
Evento Evento fisico Comunicazione a [email protected].
Fisico classificato di La comunicazione così effettuata
emergenza perviene direttamente a Information
(Cap. 3.2) Security, Security e DPO senza
Eventi che transitare dal servizio di Service desk,
causano o garantendo il giusto livello di riservatezza
possono
causare danni
per l’incolumità
di persone o
cose
Evento Evento logico Comunicazione a [email protected].
Logico classificato di La comunicazione così effettuata
emergenza perviene direttamente a Information
(Cap. 3.2) Security, Security e DPO senza
transitare dal servizio di Service desk,
garantendo il giusto livello di riservatezza

Tabella 3 - Comunicazione Emergenze

Gli altri eventi, classificati incidenti puntuali, sono trattati tramite comunicazione agli enti di supporto
preposti, secondo le modalità standard qui ricordate:

EVENTO COMUNICAZIONE
Tipologia Descrizione Notifica a Security, Apertura ticket al Service Escalation al
Information Security, desk management
Privacy e DPO
Altri eventi, Comunicazione al Service Desk
incidenti ([email protected] o
puntuali 011.5071520) o a Facility
([email protected])
attraverso l’applicazione preposta o
tramite mail all’indirizzo

Tabella 4 - Comunicazione Incidenti Puntuali

In ogni caso (di incidente di emergenza o puntuale) se l’evento è classificato anche Data Breach, cioè
appartiene anche alle casistiche di cui sopra è necessario darne evidenza, allo scopo di attivare le
opportune attività di gestione dei Data Breach, e precisamente:

• Nel caso di evento classificato incidente in emergenza si inserisce nella comunicazione a

[email protected], anche l’indicazione che si tratta di un Data Breach (e le necessarie
informazioni descrittive del medesimo) nelle tempistiche definite (4h).
• Nel caso di evento classificato incidente puntuale si procede con una ulteriore comunicazione a
[email protected], con l’indicazione che si tratta di un Data Breach (e le necessarie informazioni
descrittive del medesimo) nelle tempistiche definite (4h).

Data: 21.05.2018 Comunicazione delle Emergenze, degli Incidenti e violazione dei dati Pagina 7 di 10
Reserved / Internal Use - Copyright © Comdata Group - All rights reserved - Tutti i diritti riservati
 H-IO-0030 Edizione: 03

5.2 TRASMISSIONE DEI DATI

La modalità di trasmissione delle informazioni riservate deve garantire la confidenzialità dei dati trattati,
nel rispetto delle procedure esistenti.

5.3 GESTIONE DELL’EVENTO

La gestione è supervisionata dalla funzione competente (owner responsabile del trattamento dell’evento)
per come definito in Tabella 3, che, tramite un sistema di reperibilità, garantisce il coordinamento delle
attività per la risoluzione dell’evento.

A seconda della tipologia dell’evento e dalla gravità dello stesso, sono coinvolte ed interessate persone
di enti differenti nonché autorità esterne. Qualora l’evento sia di grave impatto in termini di costi o
d’immagine aziendale l’owner provvede ad informare il management.

Tipologia Descrizione Owner

Incidente Ogni evento con un effetto pregiudizievole Information Security e/o Referente Security. Se sono coinvolti
per la sicurezza della rete e dei sistemi dati personali, la violazione è un data breach e Information
informativi di Comdata Security avvisa tempestivamente il DPO
Data Breach Incidente che comporta la perdita, la Information Security e/o Referente Security e DPO
modifica, la rivelazione non autorizzata o Comunicazione ai clienti, notifica all’Authority (decisione in capo
l'accesso ai dati personali sia di tipo al DPO), comunicazione agli interessati nei casi più gravi
elettronico e cartaceo

Tabella 5 - Owner

L’owner ha il compito di analizzare i singoli eventi, di individuare le opportune misure di mitigazione urgenti
e di applicarle, di valutare quali siano le possibili conseguenze sulla base della natura della violazione dei
dati personali, della durata della stessa, delle categorie e del numero approssimativo di interessati in
questione nonché delle categorie e del numero approssimativo dei dati personali oggetto di violazione, di
valutare quali ulteriori azioni intraprendere per porre rimedio definitivo alla violazione dei dati personali.

In base alla correlazione tra gruppi di eventi e al danno potenziale per gli interessati, l’owner si coordina
con le funzioni aziendali interessate per individuare contromisure atte a ridurre il rischio che questi si
ripetano in futuro, valutando costi e tempi di intervento. È compito suo redigere relazioni riassuntive degli
eventi notificati da riportare alle funzioni coinvolte, corredate di dettagli e approfondimenti per gli eventi
maggiormente significativi. In caso di emergenza o incidente grave l’owner può convocare riunioni mirate
a gestire le misure correttive per lo specifico incidente.

In caso di Data Breach che riguardano dati personali trattati per conto dei clienti dell’Azienda, l’owner ha
il compito di comunicare entro i tempi previsti dal contratto con il cliente al cliente medesimo (comunque
non oltre le 24 ore) gli estremi dell’incidente secondo le modalità richieste nella normativa.

5.4 NOTIFICA DEI DATA BREACHES

5.4.1 Notifica all’Autorità (per data breaches subiti come Titolare)

Il DPO notifica all’Autorità la violazione dei dati personali subita dall’Azienda come Titolare del trattamento
entro 72 ore dalla sua scoperta, a meno che non ci siano gli estremi per ritenere improbabili i rischi per
gli interessati e che quindi l’obbligo di notifica non sussista.

In caso di particolare complessità (per numero di interessati coinvolti, numero di attacchi in lasso di tempo
breve, necessità investigative interne particolari), il DPO notifica oltre le 72 ore, e spiega le ragioni del
ritardo. Nella misura in cui non sia possibile fornire entro le 72 ore all’Autorità tutte le informazioni
obbligate, il DPO può effettuare la notifica della violazione dei dati all’Autorità in forma sintetica,
riservandosi di fornire tutti i dettagli necessari in un momento successivo, senza ritardo. In questo caso,
il DPO segue le istruzioni rese dall’Autorità nel modello di notifica pubblicato sul sito dell’Autorità.

In caso di più violazioni del medesimo insieme di dati in un arco di tempo di 3 giorni, il DPO effettua una
sola notifica per tutte le violazioni.

Data: 21.05.2018 Comunicazione delle Emergenze, degli Incidenti e violazione dei dati Pagina 8 di 10
Reserved / Internal Use - Copyright © Comdata Group - All rights reserved - Tutti i diritti riservati
 H-IO-0030 Edizione: 03

5.4.2 Comunicazione agli Interessati (per Data Breaches subiti come Titolare)

Il DPO comunica agli interessati la violazione dei loro dati personali eventualmente subita da Comdata
come Titolare del trattamento entro 5 giorni dalla scoperta della violazione (ove ritenga probabile un
rischio elevato a seguito dell’analisi effettuata tramite i parametri definiti ai precedenti punti) oppure nei
termini eventualmente indicati dall’Autorità a seguito della notifica di cui al par. precedente.

La comunicazione avviene preferibilmente su base individuale (via e-mail o lettera), salvo che sia
impossibile procedere in tal modo. In questo caso la comunicazione viene effettuata tramite il sito internet
della società, oppure32 tramite pubbliche affissioni in azienda (nel caso in cui la violazione di dati
personali riguardi i dipendenti).

La comunicazione descrive le probabili conseguenze della violazione dei dati personali e le misure
adottate e consigliate per porvi rimedio e anche, se del caso, per attenuarne i possibili effetti negativi.

5.4.3 Flusso di Gestione dei Data Breaches

Figura 6 – Flusso per i Data Breaches

5.4.4 Comunicazione a CSIRT

In caso Information Security ritenga che l’incidente ha impatti rispetto alla sicurezza nazionale provvede
a darne rapida comunicazione (entro 24 ore) al servizio CSIRT.

5.5 CHIUSURA E ARCHIVIAZIONE DEGLI INCIDENTI DI EMERGENZA

L’evento si considera chiuso con la risoluzione del problema e la eventuale compilazione dell’incident
report (anche il tramite modello Mod-ICT-IO-0002-02-Incident Report definito in ICT-IO-0002) da parte
dell’owner. Il report contiene almeno le seguenti informazioni:

• chi ha notificato l’evento e chi ha compilato il report;

• la classificazione dell’evento: emergenza, incidente o debolezza;
• una breve descrizione dell’evento;
• gli interventi e le azioni intraprese;

Data: 21.05.2018 Comunicazione delle Emergenze, degli Incidenti e violazione dei dati Pagina 9 di 10
Reserved / Internal Use - Copyright © Comdata Group - All rights reserved - Tutti i diritti riservati
 H-IO-0030 Edizione: 03

• i tempi di intervento e di soluzione dell’evento;

• i danni effettivi e potenziali al patrimonio aziendale (impatto).

Il report è classificato riservato e riposto nell’archivio incidenti della funzione responsabile del trattamento
dell’incidente.

Il report è archiviato con un numero di protocollo nel formato nnnn-aaaa, in cui:

• nnnn il numero progressivo nell’anno;

• aaaa rappresenta l’anno di riferimento.

Tutte le violazioni di dati personali significative in un’ottica di gestione della sicurezza delle informazioni
e di conformità alla normativa sulla Privacy e sulla Protezione dei Dati, anche se non rilevanti ai fini della
notifica all’Autorità (in quanto è improbabile che da essa derivi un rischio per i diritti e le libertà degli
interessati), devono essere registrate sull’incident report.

Data: 21.05.2018 Comunicazione delle Emergenze, degli Incidenti e violazione dei dati Pagina 10 di 10
Reserved / Internal Use - Copyright © Comdata Group - All rights reserved - Tutti i diritti riservati