manuzzi noci

  1. Home
  2. Azienda
  3. Procedura Data Breach

Procedura di gestione adottata dall'azienda in presenza di un data breach


Definizione

Il Data Breach è una violazione della sicurezza, che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione, accesso, copia o consultazione non autorizzate di dati personali trasmessi, conservati o comunque trattati.

Ciò può avvenire a seguito di un attacco informatico, di un accesso abusivo, di un incidente (es. incendio, allagamento, etc.) o per la perdita di un supporto informatico (smartphone, notebook, chiavetta USB, etc.) o per la sottrazione di documenti con dati personali (furto, etc.).

 
La violazione dei dati personali può essere suddivisa in tre categorie:

– “Confidentiality breach”: divulgazione o accesso non autorizzato o accidentale a dati personali;

– “Availability breach”: alterazione non autorizzata o accidentale di dati personali;

– “Integrity breach”: modifica non autorizzata o accidentale di dati personali.



Procedura da seguire in caso di data breach

Step 1

Individuazione del tipo di violazione e comunicazione immediata della violazione al Titolare del Trattamento.

Chiunque rilevi una qualsiasi violazione o compromissione di dati personali ne dà immediata comunicazione al Titolare del Trattamento, specificando i dati coinvolti e descrivendo l’evento secondo la tipologia (R.I.D.):

R. Violazione di riservatezza (divulgazione o accesso a dati personali non autorizzato o accidentale);

I. Violazione di integrità (alterazione di dati personali non autorizzata o accidentale);

D. Violazione di disponibilità (perdita, inaccessibilità, o distruzione, accidentale o non autorizzata, di dati personali)

Step 2

Avvio dell’azione correttiva per gestire tecnicamente la violazione e per ripristinare, se necessario, tempestivamente la disponibilità e l’accesso dei dati personali

Step 3

Analisi dei rischi conseguenti alla violazione. In particolare, si deve valutare se la violazione dei dati personali presenta un rischio per i diritti e le libertà delle persone fisiche

Step 4

In conseguenza ad una violazione dei dati è necessario, in ogni caso, porre in essere le seguenti attività:

1. In caso di assenza di rischi per i dati personali: 

  • procedere alla registrazione della violazione nell’apposito Registro delle violazioni;
  • conservare il Registro delle violazioni: pur non essendo obbligatoria la notifica al Garante della Privacy è comunque necessario comprovare l’assenza dei rischi.



 2. In caso di presenza di rischi per i dati personali: 

  • raccogliere tutte le informazioni inerenti alla violazione (data breach) per la notifica al Garante della Privacy;
  • entro 72 ore dalla scoperta della violazione, procedere alla notifica al Garante della Privacy, tramite apposito modulo scaricabile dal sito http://www.garanteprivacy.it
  • registrare la violazione nell’apposito Registro delle violazioni;
  • conservare il Registro delle violazioni.


 3. In caso di presenza di un ELEVATO RISCHIO, cioè quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche):

  • raccogliere tutte le informazioni inerenti alla violazione (data breach) per la notifica al Garante della Privacy e ai diretti interessati del trattamento;
  • entro 72 ore inviare la notifica al Garante della Privacy;
  • senza ingiustificato ritardo inviare la notifica agli interessati (per consentire loro l’adozione di ogni precauzione per ridurre al minimo il potenziale danno derivante dalla violazione dei dati);
  • gestire i riscontri da parte degli interessati;
  • registrare la violazione nell’apposito Registro delle violazioni;
  • conservare il Registro delle violazioni.

 

Non è richiesta la comunicazione all'interessato se:

  • sono state messe in atto tutte le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
  • sono state successivamente adottate misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
  • la comunicazione richiederebbe sforzi sproporzionati: in tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. 



Cesena, il 25 maggio 2018.

Manuzzi srl