Data Breach

Il regolamento generale sulla protezione dei dati  UE 2016/679 (c.d. Gdpr) prescrive per il titolari del trattamento un nuovo adempimento generalizzato che consiste nella violazione dei dati personali (c.d. data breach), in precedenza e in base alla normativa italiana tale adempimento era infatti limitato solo ad alcuni specifici settori e contesti. In tale contesto la Fondazione Enpaia in qualità di titolare del trattamento dei dati personali ritiene necessario di dotarsi di una procedura interna per la corretta gestione delle violazione dei dati personali. In base al considerando 85 del Gdpr, una violazione dei dati personali (c.d. data breach) potrebbe, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali e immateriali alle persone fisiche.

A seguito di un violazione di dati personali possono derivare pregiudizi di varia natura dalla perdita di controllo dei dati personali alla limitazione diritti degli interessati compreso il furto o usurpazione di identità, pregiudizio alla propria reputazione e perdita di riservatezza, ma più in generale qualsiasi danno economico o sociale anche significativo agli interessati. Al fine prevenire o mitigare tali pregiudizi, il titolare del trattamento ho l’obbligo, senza ingiustificato ritardo e ove possibile entro le 72 ore da quando ne è venuta a conoscenza, di notificare la violazione occorsa all’Autorità di Controllo competente. Il titolare viene ritenuto esente da tale obbligo qualora ritenga sotto la propria responsabilità che la violazione dei dati personali presenti un rischio improbabile in termini di pregiudizio per i diritti e le libertà delle persone fisiche.

La presente procedura ha lo scopo di indicare le corrette modalità operative adottate da parte del titolare del trattamento dei dati personali, nel rispetto dei principi previsti dalle disposizioni del Regolamento UE 2016/679, per la gestione delle violazione dei dati personali ed in particolare:

• assicurare la migliore tutela per i diritti e libertà degli interessati;
• garantire una effettiva conformità rispetto al quadro normativo applicabile in materia di protezione dei dati personali;
• salvaguardare il proprio patrimonio informativo aziendale.

Le politiche descritte nel presente documento si applicano a tutte a tutti i dipendenti e collaboratori della società i quali durante lo svolgimento delle loro attività possono venire a conoscenza di una violazione dei dati personali. Le presenti politiche si applicano anche ai fornitori nella misura in cui sono da considerarsi responsabile del trattamento ai sensi dell’articolo 28 del Gdpr e compatibilmente con procedure adottate e applicate dagli stessi.

In tal contesto è fatto obbligo loro di segnalare la violazione secondo le modalità indicate nelle presente procedura.

I responsabili della elaborazione, diffusione, del recepimento e dell’applicazione del presente documento sono:

• per l’elaborazione e la diffusione: tutti i compenti del Gruppo di Lavoro Privacy;
• per il recepimento e l’applicazione: il Componente del Gruppo di lavoro privacy delegato per la gestione della violazione dei dati (si rinvia al par. 7 per maggiori dettagli).

Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (art. 4, punto 1).

Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (art. 4, punto 2).

Archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia digitalizzato o meno, centralizzato, decentralizzato o ripartito in modo funzionale o geografico (art. 4, punto 6).

 Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri (art. 4, punto 7).

Data Protection Officer (DPO): la persona fisica individuata come Responsabile della protezione dei dati personali ai sensi del GDPR (in particolare artt. 37, 38, 39).

Gdpr: Regolamento Generale per la protezione dei dati personali.

Componente del Gruppo di lavoro Privacy delegato per la violazione dei dati ( articolo 29 del Regolamento UE 2016/679)

: la persona fisica che, secondo l’organizzazione aziendale, ricopre un ruolo gestionale e di responsabilità all’interno di …  che determina specifiche modalità organizzative rispetto ad uno o più trattamenti.

Autorizzato al trattamento: la persona fisica, espressamente designata, che opera sotto l’autorità del titolare del trattamento, con specifici compiti e funzioni connessi al trattamento dei dati personali (art. 4, punto 10).

Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4, punto 8).

Violazione dei dati personali (c.d. Data breach):la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (art. 4, punto 12)

CDVD: Componente del Gruppo di lavoro privacy delegato per la gestione della violazione dei dati che coordina e supervisiona la corretta applicazione della procedura di gestione delle violazioni dei dati personali

• Regolamento UE 679/2016, considerando n. 85, 86, 87, 88 artt. 33 e 34  del Gdpr
• Decreto legislativo 196/2003 come modificato dal decreto legislativo del 10 agosto 2018, n. 101
• Linee Guida “on Personal data breach notification under Regulation 2016/679 –  WP article 29  (Adottate il 3 Ottobre  2017 – Revisionate il 6 Febbraio 2018)
• Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali, Garante per la protezione dei dati personali (ed. aggiornata –Febbraio 2018)

Ogni soggetto autorizzato al trattamento dei dati personali ai sensi dell’articolo 29 del GDPR e dell’art. 2 quaterdecies del d.lgs. 196/2003 (come modificato dal d.lgs. 10 agosto 2018, n. 101), qualora venga a conoscenza di un potenziale caso di una violazione dei dati personali, è tenuto ad avvisare tempestivamente il Componente del Gruppo di lavoro privacy delegato per la gestione della violazione dei dati che coordina e supervisiona la corretta applicazione della procedura di gestione delle violazioni dei dati personali  (in seguito indicato anche con l’acronimo CDVD), tale figura coordina le attività di comunicazione al Garante e al DPO utilizzando il modulo allegato (All. 1)

Il CDVD formalmente incarico che riceve una segnalazione su un potenziale violazione dei dati personali è tenuto  

1. La segnalazione viene inoltrata al Gruppo di lavoro privacy e viene immediatamente informato il DPO;
2. Si avviano gli accertamenti dovuti per comprendere il contesto del trattamento, la natura dei dati personali coinvolti e qualunque informazione utile per una completa valutazione dell’episodio;
3. Conclusi gli accertamenti e comunque non appena vengano individuati elementi chiari per la valutazione dell’episodio, si procederà a seconda dei casi a:

C.1) chiudere l’accertamento senza annotazione nel registro delle notificazioni qualora sia esclusa in modo chiaro una violazione dei dati personali (Vedi tabelle: 1. Modulo di accertamento e ispezione interna e 2. Modulo di valutazione del Rischio inerente il trattamento dei dati personali);

C.2) annotare la violazione dei dati personali nel Registro, senza effettuare alcuna notificazione qualora vi sia un rischio improbabile per i diritti e le libertà degli interessati;

C.3) annotare la violazione dei dati personali nel Registro ed effettuare la notificazione all’Autorità di Controllo nonché la comunicazioni agli interessati.

Nei casi indicati ai punti C.2 e C.3 è fatto obbligo al CDVD e al Gruppo di Lavoro Privacy coinvolgere immediatamente i vertici organizzativi del Titolare  del trattamento anche al fine di valutare il coinvolgimento delle altre professionalità necessarie per l’ analisi dell’accaduto.

Il CDVD e il Gruppo di Lavoro Privacy sono tenuti a consultare la Tabella di valutazione del rischio della violazione di dati personali, allegata alla presente procedura per decidere, sulla scorta delle determinazioni raggiunte, se effettuare l’eventuale comunicazione all’Autorità Garante.

Tale comunicazione, che sarà sottoscritta dal legale rappresentante del titolare del titolare del trattamento, deve essere inviata senza ingiustificato ritardo e, ove possibile, entro 72 ore; tale termine  decorre dal momento in cui il titolare ne è venuto a conoscenza, cioè quando abbia un ragionevole grado di certezza dal verificarsi della violazione.

Si specifica inoltre che nel caso in cui la comunicazione di cui al punto 3 sia effettuata successivamente al termine delle 72 ore, questa deve essere corredata delle ragioni del ritardo. E’ comunque fatta salva la possibilità di fornire successivamente all’Autorità Garante informazioni aggiuntive o dettagli rilevanti sulla violazione, anche a seguito di ulteriori indagini e attività di follow-up (c.d. notificazione in fasi)

Il CDVD coordina e verifica lo svolgimento della procedura di documentazione nell’apposito registro dell’episodio di violazione e che venga riportata anche la scelta e le motivazioni relative alle decisioni sulla necessità di notificare o meno l’evento.

Nel caso in cui dal data breach possa derivare un rischio elevato per i diritti e le libertà delle persone, anche queste devono essere informate senza ingiustificato ritardo, al fine di consentire loro di prendere provvedimenti per proteggersi da eventuali conseguenze negative della violazione. Il soggetto predispone l’eventuale comunicazione all’interessato/agli interessati, a firma del titolare, da inviarsi nei tempi e nei modi che lo stesso, anche attraverso la funzione consulenziale del DPO, individuerà come più opportuna come specificato nell’art. 34 del GDPR e tenendo conto di eventuali indicazioni fornite dall’Autorità per la protezione dei dati personali.

Per facilitare l’individuazione della violazione dei dati evidenzia di seguito le diverse tipologie come indicate dalle Linee Guida W29. Il Presente paragrafo descrive alcune possibile violazioni dei dati personali ed utile alla compilazione della Tabelle A e B indicate al paragrafo 10.

Tipi di Violazioni (Data Breach)

a- Violazione della disponibilità, in caso di perdita o distruzione dei dati personali a seguito di accesso non autorizzato ai dati personali

b- Violazione dell’integrità, in caso di alterazione non autorizzata o accidentale dei dati personali

c- Violazione della riservatezza, in caso di divulgazione o accesso non autorizzato o accidentale ai dati personali.

Il CDVD coordina e supervisiona l’aggiornamento del registro delle violazioni, ai sensi dell’art. 33,comma 5 del GDPR, verificando che siano state annotate tutte le informazione utili e necessarie per la gestione della possibile violazione dei dati personali (MOD 3).

In questo paragrafo si riportano le tabelle relative alle informazioni minime che devono essere acquisite per l’accertamento o l’ispezione preliminare in caso si sospetti che sia avvenuta una violazione di dati personali (Tabella A), mentre l’altra tabella contiene una check list per una valutazione ai fini del rischio inerente il trattamento dei dati personali in termini di pregiudizio sui diritti e le libertà degli interessati.

Tabella 1: Accertamenti e ispezioni preliminari in caso di violazione dei dati personali 

Tabella 2: Check List per una valutazione ai fini del rischio inerente il trattamento dei dati personali

Spettabile dipendente o collaboratore, la Fondazione ENPAIA, in qualità di Titolare del trattamento, ha adottato una politica specifica volta alla prevenzione e contenimento degli incidenti di sicurezza e più specificatamente alle eventuali violazioni di dati personali.

Al riguardo si dispone che:
Qualora il dipendente o il collaboratore abbia notizia di un furto o smarrimento o di documentazione che riporta dati personali e sensibili o di dispositivo di memoria, e quindi della eventuale possibilità che terzi possano aver avuto accesso non autorizzato a tali dati è obbligatoria la immediata comunicazione/segnalazione all’índirizzo mail databreach@enpaia.it  impiegando i moduli descritti nella presente politica di sicurezza.

Analoga attività deve essere assicurata in caso di:
– eventuali comunicazioni di dati, anche via mail, a soggetti diversi dagli autorizzati al trattamento dei dati, di specifico riferimento o nel caso in cui i dati personali non siano più disponibili a causa di  distruzione, cancellazione o di altri problemi di natura anche automatizzata, come ad esempio un virus;

-ricezione, anche tramite l´Ufficio relazioni con il pubblico, di notizia di possibile Data Breach, ad esempio  nel caso in cui un terzo informi di aver ricevuto dalla struttura sanitaria una comunicazione non destinata a lui contenente dati personali.

Clicca qui per visualizzare/scaricare il modulo relativo alla segnalazione di violazione dei dati da inviare a : databreach@enpaia.it