SEGNALAZIONE AL TITOLARE VIOLAZIONE DEI DATI - DATA BREACH
L’articolo 4 p.12 del GPDR definisce la “violazione dei dati personali” come una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
L’art. 33 del GDPR prevede che “in caso di violazione dei dati personali, il Titolare del trattamento notifica la violazione all’Autorita` di controllo competente a norma dell’art. 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne e` venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le liberta` delle persone fisiche. Qualora la notifica all’Autorita` di controllo non sia effettuata entro 72 ore, e` corredata dei motivi del ritardo”.
Le violazioni possono essere classificate in tre macro categorie che, a seconda dei casi, possono riguardare contemporaneamente la riservatezza, l’integrita` e la disponibilita` dei dati personali (anche in combinazione):
- “violazione della riservatezza” in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali
- “violazione dell’integrita` del dato” in caso di modifica non autorizzata o accidentale dei dati personali
- “violazione della disponibilita` del dato”, in caso di perdita o distruzione accidentali o non autorizzati di dati personali
A seconda dei casi, una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione delle stesse.
A seconda delle circostanze in cui si verifica, la violazione puo` richiedere o meno la notifica all’Autorita` di controllo e la comunicazione alle persone fisiche coinvolte.
Il titolare del trattamento, riscontrata una violazione, dovra` pertanto di volta in volta valutare la probabilita` e la gravita` del conseguente impatto sui diritti e sulle liberta` delle persone fisiche e:
- documentare la violazione nel proprio Registro delle violazioni (sempre)
- effettuare la notifica al Garante (a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le liberta` delle persone fisiche)
- comunicare la violazione ai soggetti interessati (laddove possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte
La rilevazione/segnalazione di un data breach puo` essere di fonte interna o esterna all’Ente.
POSSONO ESSERE
FONTI INTERNE: notizie ricevute da parte del personale dipendente; da parte del personale convenzionato/stagisti/tirocinanti; dall’Amministratore di Sistema (ove presente); dalle figure preposte alla manutenzione degli impianti informatici o alla gestione degli archivi; dagli utenti dei servizi.
SONO
FONTI ESTERNE: notizie ricevute da parte delle forze dell’ordine; da parte dei responsabili del trattamento; da parte del DPO; da parte degli interessati; da parte di terzi.
La segnalazione, qualunque sia la forma, deve essere immediatamente messa a conoscenza del legale rappresentante dell’Ente, della Direzione, dell’amministratore di sistema (soggetti che compongono il “gruppo di gestione del data breach aziendale”) attraverso canali di posta elettronica (privacy@apsp-pergine.it - amministrazione@pec.apsp-pergine.it) e avvertimento verbale/telefonico.
Modulo segnalazione violazione dei dati
| 
|