Applicabilità
Questa procedura descrive il processo di gestione della violazione dei dati personali presso la Impresa Coromano srl
L’articolo 4 comma 12 definisce «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
L’articolo 33 del suddetto regolamento afferma che, “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.
- Tali violazioni possono essere relative alla Impresa Coromano Srl
- In tal caso, si effettuerà la notifica secondo le proprie procedure al Garante nazionale.
Responsabilità
I ruoli coinvolti sono:
Annalisa Coromano |
|
Attività operative
Raccolta segnalazione
La segnalazione, è quella fase in cui la potenziale violazione viene intercettata automaticamente o manualmente dal sistema di controllo interno o esterno della Società Impresa Coromano srl
Alcuni esempi concreti possono essere: la denuncia di furto di un PC con dati personali a bordo, la rilevazione di un avvenuta intrusione, la perdita (definitiva e comprensiva di backup) di dati personali.
Tutti i collaboratori devono essere informati sulle modalità di segnalazione di eventi e che, anche potenzialmente, possono indicare una violazione di dati personali.
Rilevazione e analisi
La rilevazione/analisi, è la fase in cui si acquisiscono quante più informazioni di dettaglio sulla potenziale violazione.
Valutazione
La valutazione, in cui si valutano gli impatti della violazione e le possibili attività di comunicazione da svolgere successivamente.
Oggetto della valutazione deve essere:
a)la natura della violazione dei dati personali comprese, ove possibile, le categorie e il numero approssimativo di interessati;
b)la tipologia di dati violati;
c)il rischio derivante dalla violazione riguardo i diritti e le libertà delle persone fisiche.
È opportuno notare che violazioni di dati aziendali (come disegni, informazioni di prodotto o di processo, contratti e fatture) NON sono soggette alla presente procedura.
Resta inteso, però, che comunque per i predetti dati sarà comunque obbligo del dipendente comunicare eventuali furti, smarrimenti o distruzioni accidentali.
La valutazione deve essere verbalizzata in apposito documento, da inviare al garante e da conservare adeguatamente.
L’insieme di questi documenti opportunamente archiviati costituisce l’inventario delle violazioni, (art, 33 comma 5) i cui si raccolgono tutte le violazioni occorse, a prescindere dall’impatto e dalle decisioni prese successivamente.
Comunicazioni
La comunicazione verso l’Autorità Garante, è obbligatoria, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche (per esempio i dati personali sono criptati, o sono già di pubblico dominio.
Deve essere corredata dalle specifiche informazioni sul data breach occorso (verbalizzate al punto precedente), e deve essere fatta entro 72 ore dal momento in cui si è venuto a conoscenza della violazione.
- La comunicazione della Impresa Coromano srl
deve contenere:
- il nome e i dati di contatto del responsabile per il trattamento;
- una descrizione delle probabili conseguenze della violazione dei dati personali;
- le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali
La comunicazione verso gli interessati (art. 34 GDPR), deve essere effettuata quando la violazione può rappresentare un rischio elevato per i diritti e le libertà delle persone coinvolte. A titolo di esempio, quando sono state violate credenziali di accesso ad applicazioni/ informazioni personali, o informazioni di tipo sanitario, giudiziario.