DATA BREACH POLICY
DATA BREACH POLICY
Ai sensi e per gli effetti dell’art. 4 del regolamento europeo definisce la violazione dei dati personali (data breach) come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati“.
Quindi, un data breach non è solo un evento doloso come un attacco informatico, ma può essere anche un evento accidentale come un accesso abusivo, un incidente (es. un incendio o una calamità naturale), la semplice perdita di una chiavetta USB o la sottrazione di documenti con dati personali (furto di un notebook di un dipendente). La normativa richiede che i titolari del trattamento predispongano le misure tecniche e organizzative adeguate per impedire tali evenienze e quindi per garantire un livello di sicurezza commisurato al rischio cui sono esposti i dati trattati.
Le violazioni possono essere classificate in base ai seguenti tre principi della sicurezza delle informazioni:
– violazione della riservatezza, in caso di divulgazione dei dati personali o accesso agli stessi non autorizzati o accidentali;
– violazione dell’integrità, in caso di modifica non autorizzata o accidentale dei dati personali;
– violazione della disponibilità, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali.
A seconda dei casi, una violazione può riguardare contemporaneamente la riservatezza, l’integrità e la disponibilità dei dati personali, nonché qualsiasi combinazione delle stesse.
Vengono elencati, si seguito, alcuni casi tipici di “Data Breach”:
- Furto di credenziali di autenticazione a seguito di un attacco di phishing
- Furto o smarrimento di un pc o di un dispositivo di memoria con conseguente perdita di documenti contenenti dati personali propri o di terzi
- Eliminazione, anche accidentale, o la pubblicazione indesiderata su internet di un database
- Accesso ad informazioni riservate da parte di utenti non autorizzati
- Personale Dell’azienda e collaboratori
Il Regolamento europeo stabilisce una apposita procedura in caso di violazioni dei dati personali, visionabile sul sito www.garanteprivacy.it Inoltre, è reputato essenziale, ai fini della conformità alle norme europee, che le aziende redigano una procedura interna per la gestione delle violazioni dei dati personali e che dimostrino di applicarla correttamente.
Criteri di valutazione
Per valutare i fattori che determinano il rischio per le libertà e i diritti degli interessati, il Gruppo di lavoro Articolo 29 (ora EDPB) ha fissato i seguenti parametri:
– tipo di “breach”
– natura, numero e grado di sensibilità dei dati personali violati
– facilità di associare i dati violati ad una persona fisica
– gravità delle conseguenze per gli Interessati
– numero di Interessati esposti al rischio
– caratteristiche del titolare del trattamento
Comunque, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che il titolare provveda alla comunicazione o può decidere che una delle condizioni si verifchi, con ciò imponendo la comunicazione agli interessati.
La comunicazione agli interessati non deve essere generica, ma deve contenere tutte le informazioni per consentire alle persone di comprendere il rischio e proteggere i loro dati. In particolare dovrà contenere una descrizione della natura della violazione delle sue possibili conseguenze, e dovrà fornire precise indicazioni sugli accorgimenti da adottare per proteggersi da usi illeciti dei dati (es. furto di identità) e per evitare ulteriori rischi, Ad esempio potrebbe essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare le password utilizzate per l’accesso ad altri servizi online se uguali o simili a quella violata (Garante Privacy: Provvedimento su data breach – 30 aprile 2019)
Valutazione del rischio
Per stabilire cosa fare in caso di violazione dei dati personali occorre una valutazione del rischio, cioè dei possibili effetti dannosi in grado di produrre sui diritti e le libertà delle persone coinvolte. Il rischio viene valutato tenendo in considerazione la gravità, cioè la rilevanza degli effetti dannosi, e la probabilità, cioè il grado di possibilità che si verifichino gli effetti. Ai fini dell’identificazione dei valori da attribuire ai due parametri si devono considerare i seguenti fattori:
– tipo di violazione (violazione della riservatezza, violazione dell’integrità, violazione della disponibilità);
– natura, sensibilità e volume dei dati personali;
– facilità nella identificazione degli interessati;
– gravità delle conseguenze per gli interessati;
– particolarità degli interessati (es. minori);
– particolarità dei responsabili del trattamento (es. personale sanitario);
– numero degli interessati.
Operatività interna ed esterna in caso di data breach
Il personale strutturato (tecnici-amministrativi) sono tenuti a segnalare al DPO, il possibile data breach utilizzando come forma di comunicazione la via più breve (telefono, di persona o via mail).
Il personale dell’azienda, senza ingiustificato ritardo e, ove possibile, entro 24 ore dal momento, ove possibile, in cui ne è venuto a conoscenza, è tenuto a:
- raccogliere le informazioni necessarie all’individuazione della violazione;
- inviare all’indirizzo e-mail: dpo@campaniagas.it il modulo compilato e scansionato mettendo in copia conoscenza il referente di struttura a tal fine designato o il proprio responsabile.
Soggetti esterni:
I soggetti esterni che volessero segnalare una violazione di dati personali che coinvolge la Campania Gas S.r.l. devono effettuare la segnalazione inviando una mail a dpo@campaniagas.it dichiarando il maggior numero di informazioni relative alla violazione e ai dati coinvolti come la tipologia e natura e fornendo un contatto e un orario per gli approfondimenti del caso.
Ricevuta la comunicazione di violazione dei dati personali, di concerto con il Responsabile della Protezione dei dati (RDP), valuta la segnalazione e provvede a comunicare tramite e-mail al segnalante le indicazioni operative più opportune.