Università degli Studi di Urbino Carlo Bo / Portale Web di Ateneo


Titolare del trattamento dati: Università degli Studi di Urbino Carlo Bo 
Responsabile della Protezione dei dati (RPD): Ing. Mauro Raimondi – rpd@uniurb.it – tel.: +39 0722 305234

Premessa

La violazione dei dati personali (*) consiste nella violazione di sicurezza che comporta, in modo accidentale o illecito, la distruzione, la perdita, la modifica, la divulgazione o l'accesso non autorizzati ai dati personali trasmessi, conservati o comunque trattati. (*) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

L’art. 33 del Regolamento UE dispone che la notifica di violazione dei dati personali all’autorità di controllo debba essere effettuata dal Titolare del trattamento entro 72 ore dal momento in cui ne ha avuto conoscenza (sia in caso di conoscenza diretta, sia in caso di comunicazione da parte del responsabile esterno o dell’interessato o da qualunque altro soggetto), a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Il termine di 72 ore non è puramente indicativo ma categorico, il suo mancato rispetto se non adeguatamente motivato, integra una situazione sanzionabile.

Il Titolare, ricevuta tale segnalazione, nel rispetto della procedura sotto riportata, notifica al Garante la violazione fornendogli tutte le informazioni previste nell’art. 33 del GDPR e indicando, inoltre, tutte le conseguenze che potrebbero derivare dalla violazione dei dati. Il titolare del trattamento deve, inoltre, comunicare (senza ingiustificato ritardo) a ciascun interessato l’avvenuta violazione a meno che:

  • non siano state adottate adeguate ed efficaci misure per mettere in sicurezza i dati (ad esempio cifratura);
  • non si siano adottate misure per scongiurare il pericolo di limitazione per le libertà e i diritti delle persone fisiche;
  • la comunicazione individuale sia troppo onerosa.

Se la violazione si verifica per trattamenti riguardanti attività svolte dalle Aree dell’Amministrazione, chi ne viene a conoscenza deve immediatamente segnalarla al Referente privacy individuato nella struttura ovvero al Responsabile amministrativo della struttura di riferimento (Dirigente, Direttore Dipartimento, Direttore Tecnico) attraverso al modulistica predisposta (vedi allegato A); questi ultimi a loro volta entro le 24 ore successive, dovranno trasmettere la notizia via e-mail al RPD, all’indirizzo rpd@uniurb.it.

Se la violazione si verifica per trattamenti inerenti alle attività svolte dai Dipartimenti, chi ne viene a conoscenza deve immediatamente segnalarla al Referente individuato nel Dipartimento o al Direttore del Dipartimento stesso; questi ultimi a loro volta entro le 24 ore successive dovranno trasmettere la notizia via e-mail al RPD, all’indirizzo rpd@uniurb.it.


Flusso Organizzativo per la Rilevazione e Segnalazione di Violazione Dati (Data Breach)

Attività di segnalazione, raccolta informazioni, valutazione notifica della violazione

Step Attività Chi A chi Quando Come
1 Rilevazione e segnalazione di data breach Tutto il personale, collaboratori, fornitori, responsabili  Al Responsabile amministrativo della struttura di riferimento (Dirigente, Direttore Dipartimento,
Direttore Tecnico) o al suo sostituto o al referente privacy se nominato
Appena se ne viene a conoscenza Utilizzando le vie più brevi (telefono, di persona, e‐mail)
2 Raccolta informazioni sulla violazione Il responsabile della struttura o il sostituto o il referente privacy insieme ai soggetti coinvolti nella violazione ( il responsabile della struttura nel caso non possa essere immediatamente disponibile, deve dare istruzioni precise alla persona che l’ha contattato per iniziare subito la raccolta delle informazioni, indicando dove reperire il modello predisposto a tale scopo)   Appena ricevuta la comunicazione Utilizzando il modello fornito e raccogliendo informazioni dai soggetti coinvolti nella segnalazione e nel trattamento dei dati violati
3 Comunicazione del data breach Il responsabile amministrativo della struttura (Dirigente, Direttore Dipartimento,
Direttore Tecnico) o il sostituto o il referente privacy (in mancanza di tali figure la stessa persona che ha rilevato la violazione)
Al Titolare (da specificare quale organo di UNIURB è incaricato della notifica della violazione al Garante), RPD, esperti ICT Appena ottenute informazioni di base sulla violazione   Utilizzando le vie più brevi
4 Valutazione d’impatto   Titolare, RPD, esperti  ICT, soggetti coinvolti   Appena ricevuta la comunicazione Utilizzando la metodologia indicata
5 Individuazione delle azioni correttive RPD, esperti  ICT, soggetti coinvolti   Appena terminata la valutazione d’impatto Analizzando i risultati della valutazione d’impatto 
6 Comunicazione delle valutazioni effettuate e delle azioni da Intraprendere RPD, responsabile della struttura o sostituto o referente privacy Al Titolare   Tramite una breve relazione anche orale
7 Notifica della violazione (se è necessaria) Titolare Al Garante Entro 72 ore dalla rilevazione Mediante la modulistica predisposta dal Garante
8 Comunicazione agli interessati coinvolti (se è necessaria) Titolare Alle persone fisiche i cui dati sono stati violati Nei termini indicati nella valutazione d’impatto Comunicazione diretta alle singole persone o mediante pubblicazione in sito a loro accessibile delle eventuali conseguenze della violazione sulle categorie di persone fisiche interessate
9 Disposizioni per l’attuazione delle misure correttive (se individuate) Responsabili delle strutture coinvolte Ai soggetti incaricati di svolgere le attività Nei termini indicati nella valutazione d’impatto   Devono essere indicate in dettaglio le operazioni da svolgere, chi è l’incaricato, i tempi di attuazione; prevedere eventuali operazioni di verifica dell’efficacia delle misure correttive
10 Recepimento della risposta del Garante alla notifica (se effettuata) Titolare, RPD, responsabili delle strutture coinvolte, esperti ICT     Disposizioni per l’attuazione delle eventuali misure correttive indicate dal Garante; effettuazione di ulteriori indagini per approfondire le informazioni raccolte

Attività relative alla registrazione dell’incidente

Step Attività Chi A chi Quando Come

1

Registrazione della violazione/aggiornamenti

Gruppo di lavoro RPD

 

Appena ricevuta la comunicazione

Compilando l’apposito registro con la descrizione della violazione, delle azioni intraprese e annotando i successivi aggiornamenti

2

Registrazione della risposta del Garante

Gruppo di lavoro RPD

 

Al momento della ricezione

Annotando sul registro gli estremi della risposta del Garante e le eventuali prescrizioni in essa contenute

3

Registrazione della prosecuzione/chiusura dell’incidente

Gruppo di lavoro RPD

 

In seguito alle indicazioni del RPD

Registra la chiusura dell’incidente se non necessita di ulteriori indagini o riporta le istruzioni per le ulteriori indagini

Attività inerenti la prosecuzione delle indagini

Da eseguire nel caso sia necessario acquisire ulteriori informazioni.

Step Attività Chi A chi Quando Come
1 Prosecuzione delle indagini RPD, responsabile della struttura o sostituto o referente privacy, soggetti coinvolti nella violazione e nei trattamenti di dati violati, esperti ICT   A seguito di indicazione da parte del Garante o del titolare; se previsto nella prima valutazione d’impatto; nel caso che le informazioni raccolte risultino incomplete o mancanti Raccogliendo le informazioni mancanti, o approfondendo quelle note per rilevare eventuali impatti non riscontrati nella prima indagine
2 Esecuzione di una nuova valutazione d’impatto Titolare, RPD, esperti ICT, soggetti coinvolti   Al momento che si ritiene di aver raccolto tutte le informazioni possibili sulla violazione  
3 Comunicazione dei risultati del proseguimento delle indagini RPD, responsabile della struttura o sostituto o referente privacy Al Titolare appena terminato il lavoro Tramite relazione sintetica sui risultati della valutazione d’impatto e sulle azioni necessarie, allegando il materiale informativo raccolto
4 Aggiornamento della notifica al Garante (se necessario) Titolare Al Garante Appena sono disponibili i nuovi dati o secondo i termini stabiliti dal Garante Mediante la modulistica predisposta o come indicato dal Garante
5 Comunicazioni agli interessati (se necessario) Titolare   Nei tempi stabiliti nella valutazione d’impatto Contattando direttamente gli interessati oppure rendendo nota la violazione e le possibili conseguenze mediante pubblicazione accessibile alle categorie di interessati

Schema riassuntivo delle tempistiche appena se ne ha conoscenza

Schema Riassuntivo Entro 24 ore Entro 72 ORE Senza giustificato ritardo
Rilevazione e segnalazione della violazione dati Raccolta informazioni sulla violazione dati. Comunicazione della violazione dati. Valutazione d’impatto. Individuazione delle azioni correttive.
Notifica della violazione dati (se è necessaria).
Comunicazione agli interessati coinvolti (se è necessaria)

Descrizione dei soggetti richiamati nelle procedure

  • Titolare ‐ è il titolare del trattamento dei dati personali, cioè l’Università degli Studi di Urbino Carlo Bo
  • RPD – è il Responsabile della protezione dati dell’Ateneo (detto anche DPO ‐ Data Protection Officer). L’incarico è stato assegnato all’ing. Mauro Raimondi 
  • Responsabile della struttura – a seconda della struttura può essere il dirigente, il Direttore del Dipartimento, il direttore tecnico, il presidente, il direttore, il responsabile amministrativo. In sua assenza segue la procedura il sostituto o il referente privacy.
  • Referente privacy – è colui che ha avuto specifico incarico per gestire gli adempimenti in materia di protezione dei dati personali all’interno della propria struttura.
  • Garante – è l’autorità garante in Italia (http://www.garanteprivacy.it/) alla quale i titolari si rivolgono per gli adempimenti previsti dal GDPR (Regolamento UE 2016/679 del Parlamento Europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati).
  • Interessato – è la persona fisica alla quale si riferiscono i dati personali. Gli interessati possono essere raggruppati in categorie, quali ad esempio studenti, personale dipendente, collaboratori, ecc.
Documento File
Allegato A - Form per raccolta informazioni

Condividi


Questo contenuto ha risposto alla tua domanda?


Il tuo feedback è importante

Raccontaci la tua esperienza e aiutaci a migliorare questa pagina.

Il tuo 5x1000 per sostenere le attività di ricerca

L'Università di Urbino destina tutte le risorse che deriveranno da questa iniziativa alla ricerca scientifica ed al sostegno di giovani ricercatori.

Numero Verde

800 46 24 46

Richiesta informazioni

informazioni@uniurb.it

Posta elettronica certificata

amministrazione@uniurb.legalmail.it

Social

Performance della pagina

Università degli Studi di Urbino Carlo Bo
Via Aurelio Saffi, 2 – 61029 Urbino PU – IT
Partita IVA 00448830414 – Codice Fiscale 82002850418
2019 © Tutti i diritti sono riservati

Top