HomePubblica Amministrazione[:it]Procedura da applicare in caso di data Breach[:]
2 Dicembre 2020

[:it]Procedura da applicare in caso di data Breach[:]

[:it]

artt. 33 e 34 Regolamento UE 2016/679

 

DEFINIZIONI

Ai fini della presente procedura si intendono per:

– “Titolare del Trattamento”: l’Azienda Territoriale per l’Edilizia Residenziale Pubblica.

– “Responsabile del Trattamento”: il soggetto giuridico che tratti dati per conto del Titolare del Trattamento;

– “Interessati”: le persone fisiche cui si riferiscono i dati personali oggetto di un data breach subito dal Titolare del Trattamento o da un suo Responsabile;

– per “data breach” la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Il data breach è un evento che può riguardare il sistema informatico, o gli archivi cartacei, dell’Azienda Territoriale quale titolare del Trattamento.

Il data breach può riguardare anche il sistema informatico, o gli archivi cartacei, dei Responsabili del Trattamento che trattino dati per conto dell’Azienda territoriale medesima. La presente procedura si applica anche in tale ipotesi, a seguito dell’intervenuta comunicazione della violazione al Titolare del Trattamento, da parte del Responsabile del Trattamento.

 

ADEMPIMENTI RICHIESTI IN CASO DI RILEVAZIONE DI UN DATA BREACH

Il data breach è un fatto rilevante dal punto di vista giuridico, in ragione degli obblighi al cui adempimento è tenuta l’Azienda Territoriale in caso di sua verificazione.

Tali obblighi sono descritti, agli articoli 33 e 34 del Regolamento.

In particolare:

  1. a) l’art. 33 paragrafo 1) del GDPR prevede che “in caso di violazione dei dati personali, il Titolare del trattamento notifica la violazione all’Autorità di controllo competente a norma dell’art. 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’Autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”.
  2. b) l’art. 34 paragrafo 1 del GDPR prevede che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.”

 

TIPOLOGIE DI VIOLAZIONI

 

L’Azienda territoriale, verificate le proprie attività di trattamento, ha classificato le violazioni possibili in tre macro categorie che, a seconda dei casi, possono riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità̀ dei dati personali (anche in combinazione):

1) “violazione della riservatezza” in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali;

2) “violazione dell’integrità del dato” in caso di modifica non autorizzata o accidentale dei dati personali;

3) “violazione della disponibilità del dato”, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali.

A seconda dei casi, una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione delle stesse.

A seconda delle circostanze in cui si verifica la violazione può̀ richiedere o meno la notifica all’autorità di controllo e la comunicazione alle persone fisiche coinvolte.

Il titolare del trattamento, riscontrata una violazione, è tenuto di volta in volta a valutare la probabilità e la gravità del conseguente impatto sui diritti e sulle libertà delle persone fisiche e:

  1. documentare la violazione nel proprio Registro delle violazioni (sempre);
  2. effettuare la notifica al Garante (a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche);
  3. comunicare la violazione ai soggetti interessati (laddove possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte).

 

SCOPO e CAMPO DI APPLICAZIONE

La presente procedura definisce le modalità di gestione del data breach che l’Azienda Territoriale, in qualità di Titolare del Trattamento, è tenuta ad osservare e far rispettare al proprio interno.

 

RESPONSABILITÀ

La responsabilità legata alla presente procedura è del Titolare del trattamento.

 

GRUPPO DI LAVORO PRIVACY

Definisce le funzioni aziendali coinvolte nella gestione del data breach. In particolare compongono il gruppo di lavoro privacy

(indicare tutti i soggetti coinvolti nella gestione del data breach. Si raccomanda, in particolare che all’interno di esso sia ricompreso:

1) il Capo settore/ufficio/unità all’interno del quale è stata registrata, provocata o in altro modo originata, la violazione die dati personali;

2) la figura aziendale addetta alla supervisione sulla struttura informatica;

3) un dirigente con poteri decisionali, in conformità a quanto disposto dallo statuto aziendale)

 

RIFERIMENTI NORMATIVI

REGOLAMENTO (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali;

DECRETO LEGISLATIVO 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” (in G.U. 4 settembre 2018 n.205) e modifica il d.lgs 196/03.

 

RIFERIMENTI INTERPRETATIVI

Ai fini della valutazione circa l’opportunità di notificare al Garante, oltre che agli Interessati, l’intervenuta verificazione di un data breach, l’Azienda Territoriale fa riferimento alle “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento UE 679/2016”, nella versione aggiornata al 6 febbraio 2018 e allegate al presente documento (d’ora innanzi anche, per brevità le “Linee Guida”).

 

MODALITÀ’ OPERATIVE E GESTIONE DELL’EVENTO

In caso di accertamento di violazione che rientra nella definizione di “data breach” il titolare del trattamento procede come di seguito dettagliato:

  1. provvede all’acquisizione e all’immediata gestione della notizia;
  2. compie un’analisi dell’evento;
  3. adotta le misure di riduzione del danno;
  4. valuta la gravità dell’evento;
  5. notifica il “data breach” al Garante Privacy (laddove necessario);
  6. procede con la comunicazione agli interessati (se necessario);
  7. inserisce l’evento nel proprio Registro delle Violazioni;
  8. attiva tutte le azioni correttive per ridurre il ripetersi dell’evento.

 

Si descrivono di seguito le modalità operative per dare esecuzione a quanto sopra:

1) Acquisizione e immediata gestione della notizia

La rilevazione/segnalazione di un data breach può provenire da fonti interne o esterne all’Azienda Territoriale.

POSSONO ESSERE FONTI INTERNE: notizie ricevute da parte del personale dipendente; da parte del personale convenzionato/stagisti/tirocinanti; dall’amministratore di sistema (ove presente); dalle figure preposte alla manutenzione degli impianti informatici o alla gestione degli archivi; dagli utenti dei servizi.

SONO FONTI ESTERNE: notizie ricevute da parte delle forze dell’ordine; da parte dei responsabili del trattamento; da parte del DPO; da parte degli interessati; da parte di terzi.

La segnalazione, qualunque sia la forma, deve essere immediatamente messa a conoscenza del legale rappresentante dell’Ente, della Direzione, dell’amministratore di sistema (soggetti che compongono il “gruppo di gestione del data breach”) attraverso canali di posta elettronica (pec all’indirizzo……………….. e mail ordinaria all’indirizzo………………….) e avvertimento verbale/telefonico.

 

2) Analisi dell’evento

Il “gruppo di gestione del data breach” è tenuto a compiere un’immediata analisi della segnalazione dell’evento riscontrato e/o segnalato per verificare se l’episodio rappresenti effettivamente un “data breach” e mettere in atto, laddove possibile, tutte le appropriate misure per l’immediato contenimento del danno.

L’attività di analisi riguarderà:

  • la verifica se la segnalazione dell’episodio riguardi un’ipotesi di violazione dei dati trattati (se di riservatezza, di integrità o di disponibilità);
  • l’identificazione dei dati personali violati/distrutti/compromessi e dei relativi trattamenti coinvolti;
  • l’identificazione degli interessati;
  • il livello di gravità dell’evento;
  • le misure di sicurezza presenti sul trattamento coinvolto;
  • le immediate azioni che possono essere adottate per ridurre le conseguenze dannose.

 

Tutte le operazioni effettuate devono essere verbalizzate e la rilevazione della violazione deve contenere almeno i seguenti elementi:

 

Breve descrizione della violazione dei dati personali  
Quando si è verificata la violazione dei dati personali  
Dove è avvenuta la violazione dei dati  
Dispositivo oggetto della violazione  
Sintetica descrizione dei sistemi di elaborazione o di memorizzazione dei dati coinvolti, con indicazione della loro ubicazione  
Quante persone sono state colpite dalla violazione dei dati personali  
Che tipo di dati sono oggetto di violazione  
Livello di gravità della violazione dei dati personali  
Quali misure tecnologiche e organizzative sono state assunte per contenere la violazione dei dati e prevenire simili violazioni future  

 

Senza ingiustificato ritardo e non oltre 12 ore dall’evento il “Gruppo di lavoro privacy” (costituto dai tre Dirigenti delegati al trattamento, di cui il Dirigente dell’Area Amministrativo-Gestionale con funzioni di Coordinatore, e dal Responsabile del Settore servizi informatici, qualità e trasparenza, in qualità di Amministratore di Sistema) comunicherà l’episodio e la risultanza della prima analisi al DPO mediante le coordinate di posta elettronica pec e avvertimento verbale/telefonico.

Nello stesso termine il Gruppo di lavoro privacy comunicherà l’intervenuta violazione anche agli eventuali consulenti esterni che ritenga possano offrire indicazioni utili ai fini dell’analisi dell’evento.

 

3) Valutazione della gravità dell’evento

Il gruppo di gestione del data breach, con il massimo grado di scrupolo e il coinvolgimento di tutte le risorse competenti dovrà appurare se l’evento debba essere notificato al Garante considerando la probabilità o meno che l’evento stesso possa comportare dei rischi per i diritti e la libertà delle persone.

La notifica al Garante è necessaria laddove si sia verificata una violazione (distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trasmessi, conservati o comunque trattati, sia che questi dati siano trattati all’interno che all’esterno dell’Ente) caratterizzata da effetti negativi significativi sulle persone fisiche, che possa causare danni fisici, materiali o immateriali (ad esempio la perdita del controllo da parte degli interessati sui loro dati personali), la limitazione dei loro diritti, la discriminazione, il furto o l’usurpazione d’identità, perdite finanziarie, la decifratura non autorizzata della pseudonimizzazione, il pregiudizio alla reputazione e la perdita di riservatezza dei dati personali protetti da segreto professionale, nonché qualsiasi altro danno economico o sociale significativo alle persone fisiche interessate.

 

Nella attività di valutazione dell’episodio si devono prendere in considerazione tanto la probabilità quanto la gravità del rischio per i diritti e le libertà degli interessati. La ponderazione terrà conto dei criteri ed orientamenti espressi all’interno delle Linee Guida e dovrà in particolare basarsi sui seguenti elementi di valutazione:

  • natura, carattere e volume dei dati personali violati;
  • facilità di identificazione delle persone fisiche coinvolte;
  • gravità delle conseguenze per le persone fisiche interessate;
  • caratteristiche particolari dell’interessato (es. minori, anziani, disabili, ecc.);
  • caratteristiche particolari del titolare del trattamento;
  • numero delle persone fisiche interessate;
  • aspetti generali della violazione.

 

All’esito dell’analisi, il titolare effettua la notifica al Garante nei termini prescritti (72 ore) mediante il modello di notifica in allegato alla presente procedura.

Quando la verifica dei fatti renda “improbabile” che la violazione subita comporti un rischio per i diritti e le libertà delle persone fisiche, la notifica non è obbligatoria ed il titolare deve riportare l’episodio occorso e l’attività di gestione dello stesso nel proprio Registro delle violazioni.

 

4) Notifica della violazione al Garante

La notifica, effettuata dal legale rappresentante o da persona a ciò delegata verrà portata a compimento nei termini di legge mediante la procedura ed il modello resi disponibili dall’autorità Garante.

 

5) Comunicazione agli interessati

In caso di elevato rischio per la libertà e i diritti degli individui, si provvederà ad informare gli interessati nella modalità di volta in volta ritenuta più opportuna, anche in considerazione del numero degli interessati dalla violazione. (Al riguardo, rammento che secondo le Linee Guida, in linea di principio, la violazione dovrebbe essere comunicata direttamente agli interessati coinvolti, a meno che ciò richieda uno sforzo sproporzionato. In tal caso, si procede a una comunicazione pubblica o a una misura simile che permetta di informare gli interessati con analoga efficacia (articolo 34, paragrafo 3, lettera c).) sul fatto avvenuto, sui dati violati e sulle procedure adottate o adottande per ridurre il rischio.

Nel contesto di tale comunicazione il titolare del trattamento deve fornire agli interessati almeno le seguenti informazioni: una descrizione della natura della violazione; il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto; una descrizione  delle probabili conseguenze della violazione; una descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione e anche, se del caso, per attenuarne i possibili effetti negativi.

La comunicazione agli interessati non è richiesta laddove il titolare del trattamento ha applicato misure tecniche e organizzative adeguate per proteggere i dati personali prima della violazione, in particolare misure atte a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi; immediatamente dopo una violazione, il titolare del trattamento ha adottato misure destinate a garantire che non sia più probabile che si concretizzi l’elevato rischio posto ai diritti e alle libertà delle persone fisiche; laddove contattare gli interessati richiederebbe uno sforzo sproporzionato.

Copia di ogni comunicazione agli interessati dovrà essere conservata nel Registro delle violazioni.

 

6) Inserimento dell’evento nel Registro delle violazioni

Il Titolare documenta qualsiasi violazione dei dati personali, al fine di consentire all’Autorità di controllo di verificare il rispetto della norma.

Il gruppo di gestione del data breach è responsabile dell’inserimento di tutte le attività indicate sopra nel Registro delle violazioni, che devono essere documentate, tacciabili, e in grado di fornire evidenza nelle sedi competenti.

[:]

Tags:, ,

Related Posts

About The Author

Alessandro Perrone

Add a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *