Salta al contenuto principale
Passa alla visualizzazione normale.

Protezione dati personali

Data Breach

Ascolta

Il data breach è una violazione della sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. 

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. 

Il Titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, deve notificare la violazione al Garante per la protezione dei dati personali, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche. 

Il Responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi. Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

Il Titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa. 

Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali. Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d'identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione  e qualsiasi altro significativo svantaggio economico o sociale.

Il Garante per la protezione dei dati personali ha adottato il provvedimento - 30 luglio 2019 [9126951] che fissa per le amministrazioni pubbliche l’obbligo di comunicazione nei casi in cui, a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità, si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati.

Il personale interno all'Ateneo che viene a conoscenza di una violazione dei dati personali (concreta, potenziale o sospetta) deve contattare in via preliminare il Responsabile del trattamento della struttura di appartenenza. Quest'ultimo, all'esito dei controlli di rito, provvede a informare tempestivamente il Titolare per l'eventuale notifica al Garante.

Le segnalazioni di possibili violazioni dei dati personali da parte di soggetti esterni all’Ateneo (studenti, cittadini, imprese e altri enti pubblici) devono essere inviate tramite email ai seguenti indirizzi: dpo@unipa.it, dpo@cert.unipa.itIl soggetto segnalante è tenuto a fornire le proprie generalità e i dati di contatto e a collaborare durante le fasi istruttorie dell'accertamento.

A partire dal 1° luglio 2021, la notifica di una violazione di dati personali deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità, e raggiungibile all’indirizzo https://servizi.gpdp.it/databreach/s/ (provvedimento - 27 maggio 2021 [9667201]).

Nella stessa pagina è disponibile un modello facsimile, da non utilizzare per la notifica al Garante, ma utile per vedere in anteprima i contenuti che andranno comunicati al Garante. 

Per semplificare gli adempimenti previsti per i titolari del trattamento, il Garante ha ideato e messo disposizione un apposito strumento di autovalutazione (self assessment) che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza.

Sull'argomento è raccomandata la consultazione dei seguenti documenti: