Procedura di notifica di violazione dei dati personali
Data Breach Policy
Una violazione di dati personali è ogni infrazione alla sicurezza degli stessi che comporti - accidentalmente o in modo illecito - la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati dal Titolare del trattamento.
Le violazioni di dati personali possono accadere per un ampio numero di ragioni che possono includere:
divulgazione di dati confidenziali a persone non autorizzate;
perdita o furto di dati o di strumenti nei quali i dati sono memorizzati;
perdita o furto di documenti cartacei;
infedeltà del dipendente (ad esempio: data breach causato da una persona interna che avendo autorizzazione ad accedere ai dati ne produce una copia distribuita in ambiente pubblico);
accesso abusivo (ad esempio: data breach causato da un accesso non autorizzato ai sistemi informatici con successiva divulgazione delle informazioni acquisite);
casi di pirateria informatica;
banche dati alterate o distrutte senza autorizzazione rilasciata dal relativo “owner”;
virus o altri attacchi al sistema informatico o alla rete;
violazione di misure di sicurezza fisica (ad esempio: forzatura di porte o finestre di stanze di
sicurezza o archivi, contenenti informazioni riservate);
smarrimento di pc portatili, devices o attrezzature informatiche;
invio di e-mail contenenti dati personali e/o particolari a erroneo destinatario.
Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali.
Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d'identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.
Procedura di notifica di violazione dei dati personali EDITABILE IN WORD
È di fondamentale importanza predisporre azioni da attuare nell’eventualità in cui si presentino violazioni concrete, potenziali o sospette di dati personali, ciò al fine di evitare rischi per i diritti e le libertà degli interessati, nonché danni economici all’ente e per poter riscontrare nei tempi e nei modi previsti dalla normativa europea l’Autorità Garante e/o gli interessati.
Le sanzioni previste dal GDPR per omessa notifica di Data Breach all’Autorità di Controllo o omessa comunicazione agli interessati o entrambi gli adempimenti, nei casi in cui siano soddisfatti i requisiti di cui agli artt. 33 e 34 GDPR, può comportare l’applicazione in capo all’ente di una sanzione amministrativa pecuniaria fino a 10 milioni di euro o fino al 2% del “fatturato” annuo totale dell’esercizio precedente,
anche accompagnata da una misura correttiva ai sensi dell’art. 58 c. 2.
Lo scopo di questa procedura è di disegnare un flusso per la gestione delle violazioni dei dati personali trattati dall’ ente in qualità di Titolare del trattamento (di seguito “Titolare del trattamento”). Queste procedure sono ad integrazione delle procedure adottate dal Titolare del trattamento in materia di
protezione dei dati personali ai sensi della legislazione vigente.
INDICE
1. PREMESSA
2. SCOPO
3. COS’È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)
4. A CHI SONO RIVOLTE QUESTE PROCEDURE?
5. A QUALI TIPI DI DATI SI RIFERISCONO QUESTE PROCEDURE
6. GESTIONE COMUNICAZIONE DI DATA BREACH
7. GESTIONE DELLA VIOLAZIONE DEIDATI PERSONALI
Step 1: Identificazione e indagine preliminare
Step 2: Contenimento, Recovery e risk assessment
Step 3: Eventuale notifica all’Autorità Garante competente
Step 4: Eventuale comunicazione agli interessati
Step 5: Documentazionedella violazione