Circolare 57

Circolare n. 57

Procedura gestione violazione dati personali (data breach)

Il Regolamento Europeo 679/2016 (GDPR) impone al titolare del trattamento di dati personali la definizione delle misure tecniche ed organizzative atte a garantire la protezione dei dati personali trattati. Il dirigente scolastico, rappresentante legale dell’istituzione scolastica titolare del trattamento, per garantire le misure organizzative più idonee a tutelare i dati personali trattati ha definito le linee guida per la gestione delle violazioni privacy di cui il presente documento è un estratto con la sintesi delle procedure adottate per la gestione dei data breach.

Cosa è una violazione di dati personali (data breach)
All’articolo 4, punto 12, il regolamento definisce il data breach come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso aidati personali trasmessi, conservati o comunque trattati”.

Esempi di data breach:

• sottrazione o copia non autorizzata di un documento cartaceo od informatico contenente dati personali
• perdita o furto di una pen drive, di un notebook o di qualunque altro dispositivo contenente dati personali
• l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
• dati e documenti criptati da un ransomware (malware del riscatto)
• dati e documenti criptati dal titolare del trattamento mediante una chiave non più in suo possesso
• la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
• la divulgazione non autorizzata dei dati personali
• Una e-mail che viene inviata ai destinatari nei campi “a:” o “cc:”, consentendo così a ciascun destinatario di vedere l’indirizzo e- mail di altri destinatari.

Cosa deve fare l’amministrazione in caso di violazione

L’art. 33 del Regolamento Europeo 679/2016 (GDPR) impone al titolare del trattamento di notificare all’autorità di controllo (Garante privacy) la violazione di dati personali entro 72 ore dal momento in cui ne viene a conoscenza. L’obbligo di notifica scatta se la violazione, ragionevolmente, comporta un rischio per i diritti e le libertà delle persone fisiche, qualora, poi, il rischio fosse elevato, allora, oltre
alla notifica, il titolare è tenuto a darne comunicazione all’interessato.

La valutazione dell’opportunità della comunicazione al Garante o agli interessati spetta al titolare del trattamento (nella persona del dirigente scolastico) sentito il parere del Responsabile Protezione Dati e di altre eventuali figure che forniscono servizi di assistenza e consulenza.

Cosa deve fare il personale della scuola in caso di violazione

Il contenimento dei rischi associati ad una violazione di dati personali è strettamente legato alla tempestività e all’adeguatezza degli interventi atti a limitare ogni possibile conseguenza. È allora necessario che qualora un dipendente dell’amministrazione rilevi una possibile violazione dei dati personali ne dia immediata comunicazione al Dirigente Scolastico o, qualora esso non sia immediatamente disponibile, al Responsabile della Protezione dei Dati o ad altre eventuali figure che gestiscono i sistemi informatici o che forniscono servizi di assistenza e consulenza informatica e normativa in modo da consentire la massima tempestività di intervento. La mancata comunicazione della violazione di dati personali di cui è venuto a conoscenza il dipendente può comportare provvedimenti disciplinari nei confronti del medesimo. La diffusione o l’uso improprio, da parte di chiunque, di dati personali acquisiti a seguito della violazione, oltre a costituire violazione del regolamento d’istituto, può configurarsi come una violazione di legge che può avere conseguenze sia civili che penali.

Cosa devono fare i genitori e gli alunni

Anche gli alunni ed i loro genitori possono venire a conoscenza di una violazione di dati personali acquisiti o trattati dall’istituto scolastico. Questo può accadere ad esempio quando questi vengono in possesso di un documento cartaceo lasciato incustodito o quando ricevono, per errore, delle comunicazioni via mail o su piattaforma cloud ad essi non destinate. È allora necessario che anche alunni e loro genitori, riconosciuta una potenziale violazione di dati personali, ne diano immediata comunicazione al Dirigente Scolastico o, qualora esso non sia immediatamente disponibile, al Responsabile della Protezione dei Dati. La segnalazione tempestiva dovrà avvenire previa comunicazione
telefonica, in orario di servizio della segreteria, e comunque anche via mail (vedere contatti al punto successivo). La segnalazione tempestiva ha lo scopo di mettere in condizioni l’istituto di porre termine o di minimizzare le conseguenze di un potenziale data breach. È il caso di rilevare che la mancata comunicazione all’istituto della violazione di cui è venuto a conoscenza un alunno può comportare provvedimenti disciplinari nei confronti del medesimo. La diffusione l’uso improprio, da parte di chiunque, di dati personali acquisiti a seguito della violazione, oltre a costituire violazione del regolamento d’istituto, può configurarsi come una violazione di legge che può avere conseguenze sia civili che penali.

A chi fare la segnalazione della violazione

Di seguito i riferimenti del Titolare del trattamento e del Responsabile Protezione Dati da utilizzare per fare le segnalazioni di violazioni di dati personali:

I.C. Rita Levi-Montalcini
email: tpic82400t@istruzione.it
tel. 092488350
Responsabile Protezione Dati:
Vargiu Scuola Srl – referente Ing. Antonio Vargiu
Email: dpo@vargiuscuola.it
tel. 070271526

Attività successive alla segnalazione

Il dirigente scolastico, di concerto con il RPD ed altre eventuali figure tecniche o consulenziali di cui si avvale la scuola per la gestione della privacy e dei sistemi informatici, provvederà ad effettuare una prima indagine interna e a definire la gravità dell’eventuale violazione. In particolare procederà a identificare i possibili rischi derivanti dalla violazione e a definire qualunque azione da intraprendere per la loro minimizzazione. In questa fase il dirigente scolastico dovrà valutare l’opportunità o la necessità di fare la comunicazione al Garante, che dovrà intervenire entro le 72 ore dalla conoscenza del fatto, ed eventualmente alle persone fisiche minacciate nei loro diritti dall’evento. In merito alla scelta dovranno essere coinvolti ed esprimeranno il proprio parere il RPD ed eventuali altri consulenti informatico/normativi ma la decisione finale dovrà essere del dirigente scolastico che sarà responsabile in base al principio della responsabilizzazione.

La comunicazione al Garante

Qualora il dirigente scolastico ritenga di dover fare la segnalazione al Garante dovrà effettuarla entro le 72 dalla venuta a conoscenza della violazione salvo motivare opportunamente il ritardo. A partire dal 1° luglio 2021, la notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità, e raggiungibile all’indirizzo https://servizi.gpdp.it/databreach/s/.

Il registro delle violazioni

La violazione, che sia o no comunicata al Garante o agli interessati, dovrà essere annotata nel registro delle violazioni che dovrà essere tenuto costantemente aggiornato dall’amministrazione.

Partanna, 7 novembre 2024
Il Dirigente Scolastico
Prof. Filippo Barbera

Documenti

Circolari, notizie, eventi correlati

Scarica la nostra app ufficiale su: