Procedura di segnalazione per le violazioni di dati personali (data breach)

CONTENUTO DELL’OBBLIGO

In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo senza giustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dai motivi del ritardo.

Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

La notifica deve contenere i seguenti elementi fondamentali:

-  descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

-  il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

-  descrizione delle probabili conseguenze della violazione dei dati personali;

-  descrizione delle misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Il titolare del trattamento è tenuto a documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto delle prescrizioni normative.

La violazione dei dati personali deve essere prontamente comunicata all’interessato dal titolare del trattamento quando è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. La comunicazione deve essere resa con un linguaggio semplice e chiaro atto a far comprendere la natura della violazione dei dati personali e deve contiene almeno le informazioni e le misure necessarie a descrivere le probabili conseguenze e le misure adottate per porre rimedio alla violazione.

Non è richiesta la comunicazione all'interessato solamente qualora il titolare del trattamento abbia messo in atto le misure tecniche e organizzative adeguate di protezione oppure abbia adottato successivamente misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati.

E’ altresì possibile procede a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia, se la comunicazione agli interessati richieda sforzi sproporzionati.

PROCEDURA

Schema delle diverse fasi da osservare da parte dei dipendenti e/o collaboratori, consulenti e fornitori che vengono a conoscenza di un’ipotesi di violazione dei dati personali nel contesto dell’attività lavorativa o professionale per conto del Consorzio.

 

Fase

Attività

 

Chi

 

A chi

 

Quando

 

Come

 

1

 

Rilevazione e segnalazione di violazione dei dati Tutto il personale, collaboratori, fornitori Al Direttore generale o al referente privacy, che attiva la procedura

Appena se ne viene a conoscenza

 

Utilizzando le vie più brevi (telefono, di persona, e‐mail)

 

2

 

Raccolta informazioni sulla violazione

 

Il Direttore generale o il referente privacy insieme ai soggetti coinvolti nella violazione  

Appena ricevuta la comunicazione

 

Raccogliendo informazioni dai soggetti coinvolti nella segnalazione e nel trattamento dei dati violati

 

3

Comunicazione della violazione dati

 

Il Direttore generale o il referente privacy

 

Al Responsabile della protezione dei dati (RPD) Appena ottenute informazioni di base sulla violazione

Utilizzando le vie più brevi o la mail dell’RPD

 

4

Valutazione d’impatto

 

 

 

RPD, soggetti coinvolti   Appena ricevuta la comunicazione

Utilizzando le metodologie standard

 

5

 

Individuazione delle azioni correttive

 

RPD, soggetti coinvolti

 

  Appena terminata la valutazione d’impatto

Analizzando i risultati della valutazione d’impatto

 

6

 

Comunicazione delle valutazioni effettuate e delle azioni da intraprendere RPD, Direttore generale o referente privacy

Al Titolare

 

 

Tramite una relazione

 

7 Notifica della violazione Titolare Al Garante Entro 72 ore dalla rilevazione

Mediante la modulistica predisposta dal Garante

 

8

 

Comunicazione agli interessati coinvolti Titolare

Alle persone fisiche i cui dati sono stati violati

 

Nei termini indicati nella valutazione d’impatto

 

Comunicazione diretta alle singole persone o mediante pubblicazione in sito a loro accessibile delle eventuali conseguenze della violazione sulle categorie di persone fisiche interessate

                                                                                                                        

Venerdì, 14 Dicembre 2018

Questionario di valutazione