1 SCOPO E AMBITO DI APPLICAZIONE
La presente procedura è preordinata alla gestione delle violazioni di dati personali trattati da San Martino Progetto Autonomia Società Cooperativa Sociale, in qualità di Titolare del Trattamento. Al fine di rendere effettivo ed efficace il processo di accertamento ed eventuale notifica dell’evento, il presente documento è reso noto ai soggetti che nell’ambito dell’attività lavorativa sono individuati come “autorizzati al trattamento”, i quali sono tenuti a segnalare tempestivamente qualsivoglia caso di incidente informatico e/o ad archivio cartaceo del quale siano venuti a conoscenza.
2 NORMATIVA DI RIFERIMENTO
- D. Lgs. 10 agosto 2018 n. 101;
- Reg. UE 679/2016;
- D. Lgs. 196/2003;
- Linee guida in materia di notifica delle violazioni di dati personali – WP250.
3 DEFINIZIONE DI DATA BREACH
La locuzione “DATA BREACH” identifica una violazione di dati personali, ovvero una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a dati personali detenuti da un’Organizzazione.
Le Linee Guida in materia di notifica delle violazioni di dati personali classifica tali eventi come violazioni che possono riguardare la riservatezza, l’integrità o la disponibilità dei dati.
Un data breach dunque non si configura solamente come attacco informatico, ma può consistere anche in un accesso abusivo, un incidente (incendio o calamità naturale), ovvero nella perdita o furto di dispositivi di archiviazione (memorie USB, hard disk, pc portatili, smartphone, tablet) o
documenti cartacei.
L’art. 33 del Reg. UE 679/2016 sancisce che “in caso di violazione dei dati personali, il Titolare del trattamento notifica la violazione all’Autorità di controllo competente a norma dell’art. 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, salvo che sia improbabile che la violazione dei dati personali presentiun rischio peri diritti e le libertà delle persone fisiche. Qualora la notifica all’Autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”.
È buona norma documentare tutti gli eventi di data breach, compresi quelli che non necessitano di notificazione, attraverso la tenuta di un Registro delle Violazioni.
4 SOGGETTI COINVOLTI
La presente procedura è rivolta a tutti i soggetti individuati dal Titolare al trattamento quali “autorizzati al trattamento”, qualsivoglia sia la carica ricoperta all’interno dell’Organizzazione.
5 GESTIONE DELL’EVENTO
Con l’obiettivo di consentire una tempestiva ed efficace azione di controllo dell’evento dannoso, il Titolare del Trattamento ha definito i seguenti passaggi operativi, che prevedono:
-
Rilevazione e segnalazione dell’evento: nel caso in cui un soggetto venga a conoscenza di un evento potenzialmente o concretamente dannoso in tema di protezione dati è tenuto a comunicarlo senza indugio al referente interno privacy mediante comunicazione, anche scritta, all’indirizzo cooperativaopla@cooperativaopla.edu.it
-
Analisi dell’incidente: in questa fase il referente o il gruppo di gestione effettua una valutazione tecnica dell’evento, rilevando la categoria della violazione (riservatezza, integrità o disponibilità), la tipologia di dati violati (comuni, particolari, giudiziari), i soggetti Interessati (utenti, dipendenti, fornitori). Nell’ambito di tale analisi vengono altresì individuate le azioni di contenimento da intraprendere nel breve periodo, al fine di limitare l’impatto dell’incidente, nonché identificate le informazioni riguardanti l’identificabilità degli Interessati, le misure di sicurezza attive al momento dell’incidente, eventuali ritardi nel flusso informativo. Alla luce degli elementi raccolti si effettua una stima della gravità dell’incidente relativamente ai diritti e alle libertà dei soggetti Interessati.
-
Registrazione dell’incidente: le informazioni raccolte in merito alla violazione e le relative comunicazioni vengono annotate all’interno del Registro delle Violazioni;
-
Eventuale notifica al GPDP: qualora sia improbabile che l’incidente presenti rilevanti rischi per i diritti e le libertà degli interessati, non sussiste obbligo di segnalazione all’Autorità Garante. Tale valutazione è condivisa con il DPO. Diversamente, il Titolare del Trattamento predispone la notifica all’Autorità Garante secondo il modello allegato al presente documento.
-
Comunicazione agli Interessati: nei soli casi di rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del Trattamento comunica, senza ingiustificato ritardo, la violazione all’Interessato, con linguaggio semplice e chiaro ai sensi e per gli effetti di cui all’art 34 Reg. UE 679/2016.
Si specifica che la valutazione di opportunità in merito alla comunicazione ai soggetti Interessati è effettuata verificando se:
- Il trattamento comporta furto di identità, danni patrimoniali, danni reputazionali, danni sociali, discriminazioni;
- È stato impedito l’esercizio dei diritti dell’Interessato stesso;
- I dati violati appartengono alla categoria dei dati particolari, giudiziari, ovvero riguardano minori o persone svantaggiate;
- La violazione ha coinvolto una massa di dati notevole e/o un vasto numero di Interessati.
La comunicazione all’Interessato non è richiesta qualora siano state applicate adeguate misure di cifratura e protezione del dato, ovvero se il Titolare ha successivamente adottato misure atte a scongiurare un rischio elevato per le libertà e i diritti degli interessati, o se la comunicazione richiederebbe sforzi sproporzionati.
-
Azioni di miglioramento: in conseguenza della violazione subita e dell’attività di analisi e registrazione della stessa, si prevedono azioni finalizzate a diminuire il rischio futuro, definendo relazioni dettagliate sugli incidenti avvenuti, valutazioni circa l’efficacia della procedura, revisione periodica di quest’ultima, verifica dell’adeguatezza del sistema di protezione dei dati dell’Organizzazione, formazione e informazione del personale.
REDAZIONE 00 di GENNAIO 2026
