Titolare del trattamento dati: Università degli Studi di Urbino Carlo Bo
Responsabile della Protezione dei dati (RPD): Ing. Mauro Raimondi – rpd@uniurb.it – tel.: +39 0722 305234
Premessa
La violazione dei dati personali (*) consiste nella violazione di sicurezza che comporta, in modo accidentale o illecito, la distruzione, la perdita, la modifica, la divulgazione o l'accesso non autorizzati ai dati personali trasmessi, conservati o comunque trattati. (*) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
L’art. 33 del Regolamento UE dispone che la notifica di violazione dei dati personali all’autorità di controllo debba essere effettuata dal Titolare del trattamento entro 72 ore dal momento in cui ne ha avuto conoscenza (sia in caso di conoscenza diretta, sia in caso di comunicazione da parte del responsabile esterno o dell’interessato o da qualunque altro soggetto), a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Il termine di 72 ore non è puramente indicativo ma categorico, il suo mancato rispetto se non adeguatamente motivato, integra una situazione sanzionabile.
Il Titolare, ricevuta tale segnalazione, nel rispetto della procedura sotto riportata, notifica al Garante la violazione fornendogli tutte le informazioni previste nell’art. 33 del GDPR e indicando, inoltre, tutte le conseguenze che potrebbero derivare dalla violazione dei dati. Il titolare del trattamento deve, inoltre, comunicare (senza ingiustificato ritardo) a ciascun interessato l’avvenuta violazione a meno che:
- non siano state adottate adeguate ed efficaci misure per mettere in sicurezza i dati (ad esempio cifratura);
- non si siano adottate misure per scongiurare il pericolo di limitazione per le libertà e i diritti delle persone fisiche;
- la comunicazione individuale sia troppo onerosa.
Se la violazione si verifica per trattamenti riguardanti attività svolte dalle Aree dell’Amministrazione, chi ne viene a conoscenza deve immediatamente segnalarla al Referente privacy individuato nella struttura ovvero al Responsabile amministrativo della struttura di riferimento (Dirigente, Direttore Dipartimento, Direttore Tecnico) attraverso al modulistica predisposta (vedi allegato A); questi ultimi a loro volta entro le 24 ore successive, dovranno trasmettere la notizia via e-mail al RPD, all’indirizzo rpd@uniurb.it.
Se la violazione si verifica per trattamenti inerenti alle attività svolte dai Dipartimenti, chi ne viene a conoscenza deve immediatamente segnalarla al Referente individuato nel Dipartimento o al Direttore del Dipartimento stesso; questi ultimi a loro volta entro le 24 ore successive dovranno trasmettere la notizia via e-mail al RPD, all’indirizzo rpd@uniurb.it.
Flusso Organizzativo per la Rilevazione e Segnalazione di Violazione Dati (Data Breach)
Attività di segnalazione, raccolta informazioni, valutazione notifica della violazione
| Step | Attività | Chi | A chi | Quando | Come |
| 1 | Rilevazione e segnalazione di data breach | Tutto il personale, collaboratori, fornitori, responsabili | Al Responsabile amministrativo della struttura di riferimento (Dirigente, Direttore Dipartimento, Direttore Tecnico) o al suo sostituto o al referente privacy se nominato |
Appena se ne viene a conoscenza | Utilizzando le vie più brevi (telefono, di persona, e‐mail) |
| 2 | Raccolta informazioni sulla violazione | Il responsabile della struttura o il sostituto o il referente privacy insieme ai soggetti coinvolti nella violazione ( il responsabile della struttura nel caso non possa essere immediatamente disponibile, deve dare istruzioni precise alla persona che l’ha contattato per iniziare subito la raccolta delle informazioni, indicando dove reperire il modello predisposto a tale scopo) | Appena ricevuta la comunicazione | Utilizzando il modello fornito e raccogliendo informazioni dai soggetti coinvolti nella segnalazione e nel trattamento dei dati violati | |
| 3 | Comunicazione del data breach | Il responsabile amministrativo della struttura (Dirigente, Direttore Dipartimento, Direttore Tecnico) o il sostituto o il referente privacy (in mancanza di tali figure la stessa persona che ha rilevato la violazione) |
Al Titolare, RPD, esperti ICT | Appena ottenute informazioni di base sulla violazione | Utilizzando le vie più brevi |
| 4 | Valutazione d’impatto | Titolare, RPD, esperti ICT, soggetti coinvolti | Appena ricevuta la comunicazione | Utilizzando la metodologia indicata | |
| 5 | Individuazione delle azioni correttive | RPD, esperti ICT, soggetti coinvolti | Appena terminata la valutazione d’impatto | Analizzando i risultati della valutazione d’impatto | |
| 6 | Comunicazione delle valutazioni effettuate e delle azioni da Intraprendere | RPD, responsabile della struttura o sostituto o referente privacy | Al Titolare | Tramite una breve relazione anche orale | |
| 7 | Notifica della violazione (se è necessaria) | Titolare | Al Garante | Entro 72 ore dalla rilevazione | Mediante la modulistica predisposta dal Garante |
| 8 | Comunicazione agli interessati coinvolti (se è necessaria) | Titolare | Alle persone fisiche i cui dati sono stati violati | Nei termini indicati nella valutazione d’impatto | Comunicazione diretta alle singole persone o mediante pubblicazione in sito a loro accessibile delle eventuali conseguenze della violazione sulle categorie di persone fisiche interessate |
| 9 | Disposizioni per l’attuazione delle misure correttive (se individuate) | Responsabili delle strutture coinvolte | Ai soggetti incaricati di svolgere le attività | Nei termini indicati nella valutazione d’impatto | Devono essere indicate in dettaglio le operazioni da svolgere, chi è l’incaricato, i tempi di attuazione; prevedere eventuali operazioni di verifica dell’efficacia delle misure correttive |
| 10 | Recepimento della risposta del Garante alla notifica (se effettuata) | Titolare, RPD, responsabili delle strutture coinvolte, esperti ICT | Disposizioni per l’attuazione delle eventuali misure correttive indicate dal Garante; effettuazione di ulteriori indagini per approfondire le informazioni raccolte |
Attività relative alla registrazione dell’incidente
| Step | Attività | Chi | A chi | Quando | Come |
|
1 |
Registrazione della violazione/aggiornamenti |
Gruppo di lavoro RPD |
|
Appena ricevuta la comunicazione |
Compilando l’apposito registro con la descrizione della violazione, delle azioni intraprese e annotando i successivi aggiornamenti |
|
2 |
Registrazione della risposta del Garante |
Gruppo di lavoro RPD |
|
Al momento della ricezione |
Annotando sul registro gli estremi della risposta del Garante e le eventuali prescrizioni in essa contenute |
|
3 |
Registrazione della prosecuzione/chiusura dell’incidente |
Gruppo di lavoro RPD |
|
In seguito alle indicazioni del RPD |
Registra la chiusura dell’incidente se non necessita di ulteriori indagini o riporta le istruzioni per le ulteriori indagini |
Attività inerenti la prosecuzione delle indagini
Da eseguire nel caso sia necessario acquisire ulteriori informazioni.
| Step | Attività | Chi | A chi | Quando | Come |
| 1 | Prosecuzione delle indagini | RPD, responsabile della struttura o sostituto o referente privacy, soggetti coinvolti nella violazione e nei trattamenti di dati violati, esperti ICT | A seguito di indicazione da parte del Garante o del titolare; se previsto nella prima valutazione d’impatto; nel caso che le informazioni raccolte risultino incomplete o mancanti | Raccogliendo le informazioni mancanti, o approfondendo quelle note per rilevare eventuali impatti non riscontrati nella prima indagine | |
| 2 | Esecuzione di una nuova valutazione d’impatto | Titolare, RPD, esperti ICT, soggetti coinvolti | Al momento che si ritiene di aver raccolto tutte le informazioni possibili sulla violazione | ||
| 3 | Comunicazione dei risultati del proseguimento delle indagini | RPD, responsabile della struttura o sostituto o referente privacy | Al Titolare | appena terminato il lavoro | Tramite relazione sintetica sui risultati della valutazione d’impatto e sulle azioni necessarie, allegando il materiale informativo raccolto |
| 4 | Aggiornamento della notifica al Garante (se necessario) | Titolare | Al Garante | Appena sono disponibili i nuovi dati o secondo i termini stabiliti dal Garante | Mediante la modulistica predisposta o come indicato dal Garante |
| 5 | Comunicazioni agli interessati (se necessario) | Titolare | Nei tempi stabiliti nella valutazione d’impatto | Contattando direttamente gli interessati oppure rendendo nota la violazione e le possibili conseguenze mediante pubblicazione accessibile alle categorie di interessati |
Schema riassuntivo delle tempistiche appena se ne ha conoscenza
| Schema Riassuntivo | Entro 24 ore | Entro 72 ORE | Senza giustificato ritardo |
| Rilevazione e segnalazione della violazione dati | Raccolta informazioni sulla violazione dati. Comunicazione della violazione dati. | Valutazione d’impatto. Individuazione delle azioni correttive. Notifica della violazione dati (se è necessaria). |
Comunicazione agli interessati coinvolti (se è necessaria) |
Descrizione dei soggetti richiamati nelle procedure
- Titolare ‐ è il titolare del trattamento dei dati personali, cioè l’Università degli Studi di Urbino Carlo Bo
- RPD – è il Responsabile della protezione dati dell’Ateneo (detto anche DPO ‐ Data Protection Officer). L’incarico è stato assegnato all’ing. Mauro Raimondi
- Responsabile della struttura – a seconda della struttura può essere il dirigente, il Direttore del Dipartimento, il direttore tecnico, il presidente, il direttore, il responsabile amministrativo. In sua assenza segue la procedura il sostituto o il referente privacy.
- Referente privacy – è colui che ha avuto specifico incarico per gestire gli adempimenti in materia di protezione dei dati personali all’interno della propria struttura.
- Garante – è l’autorità garante in Italia (http://www.garanteprivacy.it/) alla quale i titolari si rivolgono per gli adempimenti previsti dal GDPR (Regolamento UE 2016/679 del Parlamento Europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati).
- Interessato – è la persona fisica alla quale si riferiscono i dati personali. Gli interessati possono essere raggruppati in categorie, quali ad esempio studenti, personale dipendente, collaboratori, ecc.
| Documento | Aggiornamento | Scarica |
|---|---|---|
| Allegato A - Form per raccolta informazioni | 26/11/2019 | rtf |
