DATA BREACH. Procedura da seguire in caso di data breach

Documenti analoghi
Gazzetta Ufficiale - Serie Generale n. 127 del

Assenze del personale

Regione Lazio PROCEDURE DI GESTIONE DEI CORSI PRESENTI NEL CATALOGO INTERREGIONALE ALTA FORMAZIONE

REGOLAMENTO PER L'EROGAZIONE DEL SERVIZIO DI ILLUMINAZIONE LAMPADE VOTIVE NEI CIMITERI COMUNALI

COMUNE DI LIMBADI Provincia di Vibo Valentia PROPOSTA DI PIANO TRIENNALE PER LA TRASPARENZA E L INTEGRITA

Art. 492 bis c.p.c. (Ricerca con modalità telematiche dei beni da pignorare)

PARTE SPECIALE Sezione II. Reati informatici

Il nuovo codice in materia di protezione dei dati personali

CON IL SUD PROPOSTA DI PROGETTO

CONDIZIONI GENERALI DI VENDITA

QUESITO 1. n Cliente conferisce incarico ad un CED per la tenuta della contabilità.

PROGRAMMA FORMATIVO E LEARNING 2016

Strumenti digitali e privacy. Avv. Gloria Galli

EVENTO EMERGENZIALE IN DATA / / MODULO PER ATTIVITÀ PRODUTTIVE RICHIESTA DI CONTRIBUTO A SEGUITO DEI DANNI RIPORTATI DA BENI IMMOBILI E MOBILI

DELIBERA N. 134/13/CSP

La normativa italiana

REGOLAMENTO COMUNALE PER LA GESTIONE DELL ALBO PRETORIO

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre Sicurezza dei dati

Organismo di Mediazione iscritto presso il Registro degli Organismi di Mediazione del Ministero della Giustizia al n. 788

SOMMINISTRAZIONE DI ALIMENTI E BEVANDE SEGNALAZIONE CERTIFICATA DI INIZIO ATTIVITA

Identità e autenticazione

COMUNE DI POGGIO TORRIANA PROVINCIA DI RIMINI

SCHEDA REQUISITI PER LA QUALIFICAZIONE DEL CORSO PER NEGOTIATION MANAGER

REGOLAMENTO PER L'UTILIZZO DELLE RISORSE INFORMATICHE E TELEFONICHE

CONVENZIONE QUADRO DI TIROCINIO DI FORMAZIONE E ORIENTAMENTO

FIRST/CISL TUTELA LEGALE

Allegato 4. Trattamento del rischio

Comune di SOVERE Provincia di BERGAMO CRITERI. gestione ed aggiornamento Sito Web Istituzionale

Informativa Privacy Privacy Policy di

martedì 23 febbraio 16 Gestione contenzioso pazienti L esperienza della Fondazione Poliambulanza

COMUNE DI PIATEDA Prov. di Sondrio

IL DIRETTORE GENERALE DELLA BANCA CENTRALE DELLA REPUBBLICA DI SAN MARINO

TUTELA DEI DATI PERSONALI

Il provvedimento e le linee guida del Garante privacy in materia di biometria

DISPOSIZIONI IN MATERIA DI PRESTITI CONTRATTI DAI PENSIONATI ESTINGUIBILI CON CESSIONE FINO AD UN QUINTO DELLE PENSIONI

VERSIONE 1.2 PROT- D

Procedura automatizzata per la gestione del prestito - FLUXUS

Nucleo di Valutazione UNIVERSITÀ DEGLI STUDI DELL INSUBRIA

La sicurezza del sistema informativo dello studio professionale e la normativa sulla privacy

Mod. SCIA adeguato alla L.122/2010 SOMMINISTRAZIONE DI ALIMENTI E BEVANDE SEGNALAZIONE CERTIFICATA DI INIZIO ATTIVITA

INFORMATIVA PRIVACY E POLICY PRIVACY

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

Istruzioni per le notifiche telematiche di atti/provvedimenti informatici del PCT

Bollettino Ufficiale della Regione Puglia - n. 72 del

REGOLAMENTO INTERNO PER LA GESTIONE E LA COMUNICAZIONE ALL ESTERNO DI INFORMAZIONI RISERVATE E PRIVILEGIATE

Saes Getters S.p.A. REGOLAMENTO PER IL VOTO MAGGIORATO

LA PRESIDENZA DEL CONSIGLIO DEI MINISTRI L UNIVERSITA DEGLI STUDI DI ROMA TOR VERGATA

ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY.

Il responsabile della prevenzione della corruzione. Ai collaboratori del Consorzio Ai rappresentanti degli organi di indirizzo politico del Consorzio

Aspetti legali. Tutela legale del software

REGOLAMENTO ALBO PRETORIO ON LINE

DICHIARA Ai sensi art. 21 comma 1, art. 38 comma 2 e 3, art. 47 del DPR 445/2000

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

Strutture sanitarie private: informativa chiara e consenso specifico per trattare i dati dei pazienti - 9 febbraio 2012

Comune di Monvalle - Provincia di Varese -

Ci si riferisce, in particolare, all'abuso della qualità di operatore di

(articolo 1, comma 1)

REGOLAMENTO 5 TERRE CARD E CINQUE TERRE TRENO. Art. 1 Oggetto

TESTO DEL PRODOTTO RC PROFESSIONALE DELLO PSICOLOGO

Tel. fisso. Tel. cellulare

REGOLAMENTO DI ATTUAZIONE DELLE NORME IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

La Carta dei Servizi è presente in ogni punto di accesso al pubblico ed è scaricabile dalla pagina web: nella sezione SERVIZI.

REGOLAMENTO COMUNALE

UTILIZZO NELL EDILIZIA

Regolamento al trattamento dati per la piattaforma "Sofia" e Misure di Sicurezza adottate

Roma 30 Novembre 2011 Organizzazione Sviluppo Risorse Umane e Qualità

DOMANDA D ISCRIZIONE al Concorso #GiraLeMarche

P08 -FS-Vendita presso il domicilio dei consumatori - rev

CONDIZIONI GENERALI DI ADESIONE AL SERVIZIO DI CONSULTAZIONE DEL CASSETTO

COMUNE DI GAETA Provincia di Latina II Dipartimento Settore Urbanistica e Assetto del Territorio

lo svolgimento di servizi socio educativi per la prima infanzia individuati nel nido d infanzia ( o Asilo Nido )

Fornitura di dispositivi di protezione individuale e collettiva

Gestione Trasporti Metropolitani S.p.A. Via Aterno n Pescara P.I

Ci prendiamo cura dei tuoi dati. NetGuru S.r.l. - Si.Re. Informatica

REGOLAMENTO SULLA TENUTA DEGLI ARCHIVI STORICO, DI DEPOSITO E CORRENTE

REGOLAMENTO COMUNALE n. 68 REGOLAMENTO SULLA PROGRAMMAZIONE COMUNALE DEGLI ESERCIZI DI SOMMINISTRAZIONE DI ALIMENTI E BEVANDE

Protocollo d Intesa. Per lo sviluppo della conciliazione nel settore delle telecomunicazioni

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

Servizio per la fatturazione elettronica

Al Comune di SIANO (SA)

CENSIMENTO AMIANTO 2016


REGOLAMENTO GENERALE PER L'UTILIZZO DELLA RETE TELEMATICA DI SAPIENZA UNIVERSITA DI ROMA #

PRIVACY.NET. La soluzione per gestire gli adempimenti sulla tutela dei dati in azienda

CAMERA DEI DEPUTATI PROPOSTA DI LEGGE

OFFERTA IN OPZIONE DI AZIONI ORDINARIE GreenergyCapital S.p.A. EX ART C.C.

PROCEDURA AZIENDALE. Modalità di utilizzo dei dati delle spese sanitarie ai fini della elaborazione della dichiarazione dei redditi precompilata

Riservato Sezione Autogrù

- Istruzioni per la prenotazione e l uso delle auto

C O M U N E DI IGLESIAS

SOMMARIO. Presentazione... Note sugli autori... Parte Prima IL NUOVO CODICE E GLI ADEMPIMENTI Antonio Ciccia

OBBLIGHI DI MONITORAGGIO FISCALE PER INVESTIMENTI E ATTIVITA FINANZIARIE ESTERI

DENUNCIA DI SINISTRO INFORTUNI (DA INVIARE AL PIÙ PRESTO REDATTA IN MODO COMPLETO)

LEP laboratorio di economia e produzione

REGOLAMENTO PER LA DISCIPLINA DELL ORGANIZZAZIONE DEI CORSI DI FORMAZIONE PRESSO ENTI ED ORGANISMI ESTERNI

La soluzione software per Commercialisti e Consulenti Fiscali

ORDINE DEI MEDICI CHIRURGHI E DEGLI ODONTOIATRI DELLA PROVINCIA DI GROSSETO AVVISO DI PROCEDURA DI MOBILITÀ ESTERNA VOLONTARIA

REGOLAMENTO PER L UTILIZZO DEI SISTEMI DI VIDEOSORVEGLIANZA ED ACCESSO

GUIDA OPERATIVA AL PROCEDIMENTO DISCIPLINARE NEI CONFRONTI DEGLI STUDENTI DELL UNIVERSITA IUAV DI VENEZIA

COMUNE DI... EVENTO EMERGENZIALE IN DATA 1.' SEGNALAZIONE DANNI

Transcript:

DATA BREACH Per violazione dei dati personali (data breach) si intende la divulgazione (intenzionale o meno), la distruzione, la perdita, la modifica o l'accesso non autorizzato ai dati trattati da una pubblica amministrazione (art. 4, comma 2 del Regolamento UE 679/2016, d ora in poi GDPR). Un data breach, quindi, non è solo un attacco informatico, ma può essere anche un accesso abusivo, un incidente (es. un incendio o una calamità naturale), la semplice perdita di una chiavetta USB o la sottrazione di documenti con dati personali. Procedura da seguire in caso di data breach Ogni incaricato del trattamento che si accorga o rilevi (cd. scoperta ) che si è verificato un evento tra quelli prima descritti ne dà immediata comunicazione via mail al DPO (dpo.privacy@uniparthenope.it) e per conoscenza al Responsabile della struttura coinvolta, indicando i dati coinvolti e descrivendo l evento secondo la seguente tipologia: - Violazione di riservatezza, ovvero quando si verifica una divulgazione o un accesso a dati personali non autorizzato o accidentale; - Violazione di integrità, ovvero quando si verifica un alterazione di dati personali non autorizzata o accidentale; - Violazione di disponibilità, ovvero quando si verifica perdita, inaccessibilità, o distruzione, accidentale o non autorizzata, di dati personali; 1

- La comunicazione deve altresì: a) descrivere la natura della violazione dei dati personali indicando, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare, se ne è a conoscenza, il nome e i dati di contatto del responsabile del trattamento o di chiunque altro possa fornire elementi utili alla valutazione; c) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del Il DPO inoltra al gruppo di lavoro la comunicazione della violazione al fine di avviare la conseguente valutazione delle conseguenze dell evento sulla tutela dei diritti e delle libertà delle persone alle quali i dati appartengono. Entro 72 ore dalla scoperta dell evento, il DPO e il gruppo di lavoro possono: - Decidere l archiviazione della segnalazione, dandone contezza in ogni caso nel registro delle violazioni; - Chiedere al Rettore, nella sua qualificazione di Titolare del trattamento, di notificare al Garante privacy l avvenuta violazione di dati personali (art. 33 GDPR). Nel caso in cui la violazione venga qualificata dal DPO come suscettibile di produrre un rischio elevato per i diritti e le libertà delle persone, ne viene data contestuale comunicazione agli interessati, al fine di consentire a questi ultimi l adozione di ogni precauzione per ridurre al minimo il potenziale danno derivante dalla violazione dei dati (art. 34 del GDPR). 2

Tutto il processo che va dalla scoperta dell incidente all eventuale notifica al Garante Privacy può essere riassunto nel seguente schema: Si raccomanda a tutti gli incaricati del trattamento di provvedere con la massima sollecitudine alla comunicazione al DPO dell evento dal momento che, qualora la notifica all autorità di controllo non sia effettuata entro 72 ore dalla scoperta dell evento, dovranno essere esplicitati i motivi del ritardo, anche al fine di non incorrere nelle sanzioni previste dal DGPR. 3

La notifica al Garante Privacy deve contenere, ai sensi dell art. 33 del GDPR: a) la descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione, nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) la comunicazione del nome e dei dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) la descrizione delle probabili conseguenze della violazione dei dati personali; d) la descrizione delle misure adottate o di cui si propone l'adozione da parte del titolare del La comunicazione agli interessati, ai sensi dell art. 34 del GDPR, contiene le seguenti informazioni: a) il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; b) la descrizione delle probabili conseguenze della violazione dei dati personali; c) la descrizione delle misure adottate o di cui si propone l'adozione da parte del titolare del Non è richiesta la comunicazione all'interessato se: a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui sopra; c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. 4

E istituito il registro dei data breach nel quale verranno documentate le violazioni di dati personali eventualmente verificatesi, anche se non comunicate alle autorità di controllo, l esito delle ulteriori verifiche nonché le conseguenze e i provvedimenti adottati. Nel registro verranno documentate anche le ragioni delle decisioni assunte, al fine di poterle produrre, su richiesta al Garante, nei casi in cui non ha proceduto alla notifica, l ha ritardata e nei casi in cui non ha ritenuto necessaria la comunicazione della violazione agli interessati. La tenuta del registro dei data breach, così come quella del registro dei trattamenti, è a cura del DPO di Ateneo. 5

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back