top of page

PROCEDURA DI VIOLAZIONE DEI DATI

1.  Oggetto

La presente Procedura è istituita da JELIC, con sede in 66 Avenue des Champs-Élysées, 75008 Parigi, iscritta con il numero di registrazione, Siren: 447 820 150 (di seguito denominato "il responsabile").

 

Lo scopo della presente Procedura è descrivere le misure adottate da JELIC, di seguito titolare del trattamento, al fine di prevenire violazioni dei dati e reagire adeguatamente in caso di incidente.

 

La presente Procedura Globale copre l'intero processo, ovvero l'attuazione di misure volte a:

 

  in)  Rileva immediatamente una violazione; e

 

  B)  Arginalo rapidamente; e

 

  contro)  Analizzare i rischi generati dall'incidente e determinare se sia opportuno informare l'autorità di controllo, o anche le persone interessate.

 

Si verifica una violazione dei dati personali quando:

  in). Il titolare del trattamento ha trattato dati personali; e

 

  B)  Tali dati sono stati oggetto di violazione (perdita di disponibilità, integrità o riservatezza dei dati personali, accidentale o illegale).

 

La presente Procedura è in linea con la volontà del titolare del trattamento di agire in piena trasparenza, nel rispetto delle disposizioni nazionali e del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (di seguito "Regolamento generale sulla protezione dei dati").

 

2.  Sicurezza

Al fine di prevenire eventuali violazioni dei dati, il titolare del trattamento ha adottato rigorose misure di sicurezza.

 

Il titolare del trattamento pone particolare attenzione alla tutela della privacy dei propri utenti e si impegna pertanto ad adottare le ragionevoli precauzioni necessarie per proteggere i dati personali raccolti contro la perdita, il furto, la divulgazione o l'uso non autorizzato.

 

Il titolare del trattamento mette in atto le misure tecniche e organizzative adeguate a garantire un livello di sicurezza del trattamento e dei dati raccolti rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere adeguata al rischio. Tiene conto dello stato delle conoscenze, dei costi di attuazione e della natura, della portata, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli utenti.

 

Il titolare del trattamento utilizza sempre tecnologie di crittografia riconosciute come standard di settore nel settore informatico durante il trasferimento o la ricezione di dati sul sito web.

 

Il titolare ha adottato misure di sicurezza adeguate per proteggere e prevenire la perdita, l'abuso o l'alterazione delle informazioni ricevute sul sito web.

 

Verifica e valuta regolarmente l'efficacia delle misure tecniche e organizzative per garantire la sicurezza.

 

3.  Reazione in caso di incidente

Nel caso in cui i dati personali che il titolare del trattamento controlla dovessero essere compromessi, agirà rapidamente per identificare la causa di tale violazione, in particolare documentando l'incidente internamente e valutando il rischio, e adotterà le misure necessarie. le misure correttive, se necessario comunicando l'accaduto all'autorità di controllo e/o comunicandolo all'interessato.

4.  Documentare l'incidente internamente

Si tratta di determinare:  

 

  • La natura della violazione; e

 

  • Se possibile, le categorie e il numero approssimativo di persone interessate dalla violazione: e

 

  • Le categorie e il numero approssimativo di record di dati personali interessati; e

 

  • Descrivere le probabili conseguenze della violazione dei dati; e

 

  • Descrivere le misure adottate o previste per evitare che questo incidente si ripeta o per mitigare eventuali conseguenze negative

 

5.  Valutazione del rischio

La valutazione del rischio sarà valutata caso per caso dal titolare del trattamento e terrà conto dei seguenti elementi:

 

  in)  Il tipo di violazione (che pregiudica l'integrità, la riservatezza o la disponibilità dei dati); e

 

  B)  La natura, la sensibilità e il volume dei dati personali in questione; e

 

  contro)  La facilità di identificare le persone colpite dalla violazione; e

 

  D)  Le possibili conseguenze di questi per le persone; e

 

  e)  Le caratteristiche di queste persone (bambini, persone vulnerabili, ecc.); e

 

  F)  Il volume delle persone coinvolte; e

 

  G)  Le caratteristiche del titolare (natura, ruolo, attività).

 

6.  Notifica all'autorità di controllo

In caso di violazione dei dati personali, il titolare del trattamento notificherà la relativa violazione all'autorità di controllo competente il prima possibile e, se possibile, non oltre 72 ore dopo esserne venuto a conoscenza, a meno che la violazione in questione non sia suscettibile di creare un rischio per i diritti e le libertà delle persone fisiche. Quando la notifica all'autorità di controllo non avviene entro 72 ore, è accompagnata dai motivi del ritardo.

 

La notifica deve, come minimo:

 

  in)  Descrivere la natura della violazione dei dati personali includendo, se possibile, le categorie e il numero approssimativo di persone interessate dalla violazione e le categorie e il numero approssimativo di record di dati personali interessati; e

 

  B)  Comunicare il nome e i dati di contatto del responsabile della protezione dei dati o altro punto di contatto dal quale ottenere ulteriori informazioni; e

 

  contro)  Descrivere le probabili conseguenze della violazione dei dati personali; e

 

  D)  Descrivere le misure adottate o che il titolare del trattamento propone di adottare per porre rimedio alla violazione dei dati personali, comprese, ove applicabile, misure per attenuare eventuali conseguenze negative.

 

 

7.  Comunicazione all'interessato

Quando è probabile che una violazione dei dati personali crei un rischio elevato per i diritti e le libertà di una persona fisica, il responsabile del trattamento comunica la violazione dei dati personali all'interessato il prima possibile.

 

La comunicazione all'interessato descrive in termini chiari e semplici la natura della violazione dei dati personali e contiene almeno le seguenti informazioni:

 

  in)  La natura della violazione; e

 

  B)  Il nome e i dati di contatto del responsabile della protezione dei dati o altro punto di contatto da cui ottenere ulteriori informazioni; e

 

  contro)  Una descrizione delle probabili conseguenze della violazione dei dati personali; e

 

  D)  Una descrizione delle misure adottate o che il titolare del trattamento propone di adottare per porre rimedio alla violazione, comprese, se del caso, le misure per mitigare eventuali conseguenze negative.

 

La comunicazione all'interessato non è necessaria se ricorre una delle seguenti condizioni:

 

  in)  Il titolare del trattamento ha implementato le misure di protezione tecniche e organizzative adeguate e tali misure sono state applicate ai dati personali interessati dalla suddetta violazione, in particolare le misure che rendono i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, come la crittografia; Dove

 

  B)  Il responsabile del trattamento ha adottato misure successive che garantiscono che l'elevato rischio per i diritti e le libertà degli interessati non possa più materializzarsi; Dove

 

  contro)  Richiederebbe uno sforzo sproporzionato. Piuttosto, in questo caso, viene effettuata una comunicazione pubblica o un provvedimento analogo che consente di informare gli interessati in modo altrettanto efficace.

bottom of page