MENU
 

Policy Data Breach

  1. Scopo della Presente Procedura
  2. Team Crisi 

2.1       Formazione del Team crisi 

2.2       Verbalizzazione delle attività del Team Crisi 

2.3       Disponibilità e Posizione del Rappresentante Legale rispetto al Team Crisi 

2.4       Rendicontazione delle attività del Team Crisi

2.5       Tempistica delle comunicazioni in caso di Data Breach

2.6       Esempio di Data Breach Policy

  1. Nomina di Responsabili / Sub Responsabili esterni 

3.1       Ruolo di eventuali esperti esterni 

  1. Gestione evento di data Breach.

4.1       Segnalazione

4.2       ID segnalazione

4.3       Valutazione di pertinenza della segnalazione

4.4       Analisi del rischio

4.4.1      Tipologia di dato violato

4.4.2      Dati violati oggetto di DPIA..

4.5       Esito della analisi del rischio e decisioni 

4.6       Azioni a seguito delle decisioni 

4.7       Trattamento dell’evento

4.8       Azione correttiva

4.9       Comunicazione al Garante ed agli Interessati 

4.9.1      Comunicazioni al Garante

4.9.2      Comunicazione agli Interessati 

4.10         Comunicazione all’Organo di governo della Società. 

4.11         Situazioni anomale o di emergenza

 

 

 

 

Premessa

Ai fini del presente documento il Titolare del Trattamento è identificato con la figura del Rappresentante Legale della società o un Suo delegato in considerazione delle decisioni e degli interventi che devono essere posti in essere in breve tempo.

 

 

  1. Scopo della Presente Procedura

La presente procedura regolamenta la gestione degli eventi di Data Breach o quelli che vengono, in prima battuta, considerati come tali. Si considerano eventi di Data Breach quelli che comportano in modo accidentale o illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso non autorizzato ai Dati Personali trattati dalla Società. Tali eventi comportano rischi per i diritti e le libertà degli Interessati.

In apposita sezione della rete Intranet è disponibile in modo evidente, in apposita sezione dedicata alla Privacy, la policy di Data Breach al fine di favorirne la consultazione da parte degli Interessati[1]. La policy è predisposta dall’Organo di Governo della Società e verificata ad intervalli a cura del Rappresentante Legale/Data Manager.

La finalità della policy è quella di comunicare all’esterno della Società la presenza di una modalità strutturata di gestione delle segnalazioni che possono portare a situazioni anomale/sospette se non addirittura a veri e propri Data Breach.

La mail di contatto/di segnalazione infoedatabreach@salumificiopanzeri.com messa a disposizione degli Interessati è reindirizzata nella casella di posta elettronica dei componenti del Team Crisi.

La violazione dei Dati Personali può consistere nella distruzione, perdita, modifica, divulgazione non autorizzata o nell’accesso, accidentale od illegale, a Dati Personali trasmessi, conservati o comunque trattati.

Riteniamo opportuno informare il lettore sui rischi che potrebbero derivare dalle violazioni sopra elencate. Ai sensi del Regolamento Europeo, infatti, i principali rischi per i diritti e le libertà di tutti gli Interessati, a seguito dell’avvenuta violazione dei dati sono:

  • danni fisici, materiali o immateriali alle persone fisiche;
  • perdita del controllo dei dati degli Interessati;
  • limitazioni dei diritti/discriminazione;
  • furto o usurpazione di identità;
  • perdite finanziarie/danno economico o sociale o reputazionale (sia per l’Interessato che per il Rappresentante Legale);
  • decifratura non autorizzata della pseudonimizzazione, ove applicata;
  • perdita di riservatezza dei dati personali protetti da segreto professionale (sanitari, giudiziari);
  • altri…

Le cause che possono portare a tali situazioni possono essere:

  • errore umano volontario o involontario;
  • circostanze impreviste come incendio, alluvione, terremoto, ecc… ;
  • attacco hacker;
  • mancato funzionamento delle misure di mitigazione previste;
  • reati “blagging” in cui le informazioni sono ottenute ingannando l’organizzazione che le detiene;
  • altre… .

La presente procedura è condivisa con i membri del Team Crisi all’atto della loro nomina.

 

 

  1. Team Crisi

Il Team Crisi di della Società è composto da:

  • Data Manager di Gruppo: Dott. Tarcisio Zacchetti;
  • Data Manager: Marco Meggiolaro;
  • Privacy Officer It di Gruppo: Lorenzo Zanardini;
  • Privacy Officer area legale di Gruppo: Dott. Paolo Usuelli;
  • Privacy Officer area interessata dal Data Breach.

Possono essere ammessi a far parte del Team Crisi, al variare della gravità della natura e dell’area interessata dalla violazione, in via temporanea, altri Privacy Officer piuttosto che collaboratori, consulenti, Contitolari, Responsabili, Sub Responsabili ed in generale qualunque soggetto sia reputato dal Titolare “utile” per la rapida ed efficace risoluzione della violazione verificatasi.

Questo Team si occupa di analizzare la gravità dell’evento prendendo in considerazione i dati oggetto di data Breach, gli Interessati coinvolti, la portata e l’arco temporale secondo precisi parametri individuati dalla Società.

Il Team Crisi o soggetti da questo delegati, sono i soli autorizzati a trattare con il Garante e con gli Interessati.

 

2.1 Formazione del Team crisi

Almeno annualmente il Team Crisi effettua una formazione mirata sulla applicazione della presente procedura; tale formazione è comunque effettuata nel caso di introduzione di un nuovo membro nel Team. Nel corso della formazione, si valuta anche la necessità/opportunità di modificare integrare la procedura sulla base degli eventi eventualmente verificatisi nel corso dell’anno. La formazione e la verifica dell’adeguatezza della procedura debbono essere verbalizzate, il documento viene archiviato nell’archivio “privacy” della Società.

 

2.2 Verbalizzazione delle attività del Team Crisi

Tutte le attività e le riunioni del Team Crisi debbono essere verbalizzate.

I Verbali sono conservati dal Data Manager nell’archivio “privacy” della Società per almeno 10 anni (o in relazione agli effetti che il Data Breach può avere sui diritti degli Interessati). In ogni verbale (sottoscritto dai partecipanti alla riunione) deve essere indicato:

  • chi partecipa (membro del Team/invitato all’incontro);
  • decisioni assunte nel corso dell’incontro;
  • stato di avanzamento delle decisioni assunte nel corso di incontri precedenti.

 

2.3 Disponibilità e Posizione del Rappresentante Legale rispetto al Team Crisi

Il Rappresentante Legale è tenuto informato degli sviluppi e delle decisioni del Team in ogni fase dell’indagine ed ha potere di imporre misure più restrittive a tutela dei diritti degli Interessati. Qualora il Rappresentante Legale non fosse disponibile a fornire il contributo richiesto, il Data Manager ha l’Autorità per procedere autonomamente nelle decisioni prese.

Qualora il Rappresentante Legale non condividesse la decisione presa dal Team e la valutasse eccessiva piuttosto che tale da impattare negativamente sulla reputazione/immagine della società o ledere gli interessi economici della stessa, si assume la responsabilità di imporre la sua decisione. In questo caso il Team Crisi verbalizzerà la decisione del Rappresentante Legale e la posizione del Team nel MODULO Gestione del Data Breach, Sezione S9, ed archivierà la documentazione senza procedere ulteriormente, tramite comunicazioni con data certa (es. tramite PEC) al Rappresentante Legale.

In ogni caso il Data Manager è autonomo nel valutare, in caso di contrasto con il Rappresentante Legale, di comunicare l’evento occorso direttamente al Garante nelle forme e modi che ritiene opportuni.

 

2.4 Rendicontazione delle attività del Team Crisi

Almeno annualmente il Dpo/Data Manager predispone una relazione sulla attività svolte dal Team Crisi nel corso dell’anno, tale relazione viene trasmessa all’Organo di governo della Società.

La relazione, per quanto possibile, è integrata da dati numerici per comprendere l’entità degli eventi ed i tempi di reazione.

 

2.5 Tempistica delle comunicazioni in caso di Data Breach

Il calcolo della tempistica (considerando che il GDPR fornisce 72 ore al Rappresentante Legale per la eventuale notifica al Garante e la comunicazione all’Interessato dell’evento dannoso) decorre dal ricevimento della segnalazione.

 

2.6 Esempio di Data Breach Policy

  1. Il Team Crisi si occupa di analizzare la gravità dell’evento prendendo in considerazione i dati oggetto di data Breach, gli Interessati coinvolti, la portata e l’arco temporale secondo precisi parametri individuati dalla Società.
  2. A seguito di tale analisi la Società realizza un’approfondita valutazione del rischio al fine di comprendere l’effettiva sussistenza o meno della violazione nonché gli effettivi impatti che detta violazione ha sugli Interessati.
  3. In caso di esito positivo, ovvero nel caso venga riscontrata una violazione, il Team Crisi procederà alla risoluzione del problema.
  4. È necessario sapere che in caso di violazione di Dati Personali la Società deve comunicare al Garante Privacy entro 72 ore dal fatto, l’evento. Per tale ragione, qualora della violazione ne sia venuto a conoscenza un Responsabile o Sub Responsabile esterno, essi sono tenuti a comunicarci la violazione, il primo entro 24 ore, il secondo entro 12 ore dalla scoperta del fatto.
  5. Qualora la violazione di Dati Personali abbia cagionato un rischio elevato per i diritti degli Interessati e le loro libertà fondamentali, la Società è tenuta a darne opportuna comunicazione al fine di consentire agli Interessati coinvolti di adottare idonee precauzioni volte a ridurre al minimo il potenziale danno derivante dalla violazione. Nella comunicazione fornita la Società è tenuta a includere le seguenti informazioni:
  • il nome e i dati di contatto del Responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
  • le probabili conseguenze della violazione dei Dati Personali;
  • le misure adottate o di cui si propone l’adozione da parte del Rappresentante Legale per porre rimedio alla violazione dei Dati Personali e anche, se del caso, per attenuarne i possibili effetti negativi.
  1. La Società non è obbligata ad informare gli Interessati nel caso in cui:
  • abbia messo in atto misure tecniche ed organizzative adeguate di protezione sui dati oggetto della violazione;
  • o quando abbia successivamente adottato misure atte a scongiurare nuovi rischi elevati per i diritti degli interessati;
  • ed inoltre, quando la comunicazione richiederebbe sforzi sproporzionati. In questo caso la Società può procedere con una comunicazione pubblica o misura simile. In ogni caso valuterà l’opportunità, anche se non strettamente obbligatoria, di tenere aggiornati gli Interessati.
  1. Se un Interessato viene a conoscenza di una violazione dei dati personali può comunicarla alla Società scrivendo al seguente indirizzo mail:

infoedatabreach@salumificiopanzeri.com tale comunicazione verrà presa in esame dal Team Crisi che procederà come sopra descritto.

 

 

  1. Nomina di Responsabili / Sub Responsabili esterni

Come emerso dal precedente paragrafo 2.6 può rendersi necessaria la nomina, da parte del Titolare, di Responsabili esterni. Nell’atto della nomina di Responsabili e/o Sub Responsabili deve essere indicato:

  • la richiesta di valutazione delle loro procedure di Data Breach;
  • la specificazione dei tempi di comunicazione alla Società che deve tener conto delle 72 ore a capo del Rappresentante legale per la segnalazione;
  • le conseguenze nel caso di mancata o ritardata comunicazione;
  • il riferimento di contatto.

 

3.1 Ruolo di eventuali esperti esterni

Per le azioni previste dalla procedura possono essere coinvolti eventuali esperti esterni che saranno incaricati previa sottoscrizione di un vincolo di riservatezza.

 

 

  1. Gestione evento di data Breach

Alla gestione di un evento di Data Breach deve essere dedicata la massima attenzione e sensibilità da parte di tutte le funzioni coinvolte.

 

4.1 Segnalazione

La segnalazione di un evento può provenire da:

  • Interno => ogni Autorizzato al Trattamento deve, nel caso abbia anche il solo sospetto di una violazione dei dati (compiuta dall’interno o dall’esterno) o sia a conoscenza di una comunicazione da parte di un Interessato/terzo (anche esterno), effettuare una segnalazione ad uno dei membri del Team Crisi in modo da attivare la procedura di valutazione dell’evento; la segnalazione deve essere preferibilmente effettuata in forma scritta mediante mail da indirizzarsi all’apposito indirizzo a tale scopo dedicato:

infoedatabreach@salumificiopanzeri.com

tuttavia

in mancanza di accesso alla rete internet o a caselle di posta elettronica, la segnalazione può essere fatta con qualsiasi strumento ed in qualsiasi forma, purché avvenga nel minor tempo possibile.

Anche un solo sospetto deve essere comunicato al fine di consentire di procedere con la valutazione.

  • Esterno Interessato/Garante/stampa/ecc … => in questo caso la procedura risulta maggiormente articolata ovvero:
    • il Data Manager raccoglie le segnalazioni di possibile Data Breach provenienti dall’esterno, in qualsiasi forma esse giungano;
    • il Data Manager consulta regolarmente il sito del Garante e gli organi di stampa specializzata per verificare eventuali situazioni di potenziale rischio che potrebbero riguardare anche la Società.

In entrambi i casi il Data Manager comunica via mail con gli altri membri del Team Crisi utilizzando la loro casella di posta personale aziendale e quella a tale scopo dedicata:

infoedatabreach@salumificiopanzeri.com (al fine di lasciare una traccia della segnalazione) e procede quindi ad una ulteriore comunicazione telefonica.

  • Esterno Contitolare/Responsabile/Sub Responsabile => il Data Manager raccoglie le segnalazioni di possibile Data Breach provenienti da figure esterne che hanno ricevuto adeguata nomina al Trattamento, con le quali è in essere pertanto un contratto di Responsabile/Sub Responsabile esterno attraverso i canali definiti in tali contratti (generalmente anche se non esclusivamente alla mail a tale scopo dedicata infoedatabreach@salumificiopanzeri.com).

Tutte le comunicazioni, indipendentemente dalla provenienza devono essere identificate (ID segnalazione-vedere paragrafo successivo) riportando quando possibile il relativo documento (es. mail che l’attesta in modo univoco data, ora e contenuto della comunicazione).

Nel caso in cui la comunicazione non avvenga via mail è comunque necessario annotare la fonte, la data, l’ora ed il contenuto della comunicazione.

 

4.2 ID segnalazione

Ad ogni segnalazione è assegnato un numero univoco (ID) formato dal numero progressivo/anno. Questo sistema di codifica permette di identificare in modo univoco tutta la documentazione che riguarda l’incidente pertanto deve essere sempre indicato.

Appena ricevuta la segnalazione deve essere aggiornato, da parte del Data Manager, il REGISTRO degli incidenti.

 

4.3 Valutazione di pertinenza della segnalazione

Raccolta la segnalazione, attraverso le forme sopra indicate, il Data Manager convoca, massimo entro 12 ore dalla segnalazione[2], una riunione coinvolgendo tutti i membri del Team Crisi ed eventuali altri soggetti potenzialmente coinvolti sulla base delle informazioni disponibili. Qualora qualche membro non fosse disponibile si procede comunque con la riunione.

Il Team Crisi procede nella compilazione del MODULO Gestione del Data Breach nella sezione S1;

se necessario il Team Crisi procede nella raccolta di eventuali ulteriori informazioni (es. tramite organi di stampa, richieste di approfondimento, ecc …) al fine di approfondire e chiarire la veridicità, la portata e la reale sussistenza dell’evento segnalato.

Il Team Crisi valuta prioritariamente eventuali azioni mirate a contenere gli effetti dell’evento, le mette in atto attivando le risorse necessarie e documenta tali azioni nel MODULO Gestione del Data Breach nella sezione S2.

Qualora venisse accertata, anche dopo eventuali approfondimenti, la non sussistenza di situazioni che mettono a rischio i dati degli Interessati, il Team Crisi compila il MODULO Gestione del Data Breach nella sezione S6;

Successivamente il Team Crisi comunica la decisione al Rappresentante Legale (che potrebbe comunque richiedere un ulteriore approfondimento). Il Team valuta la necessità di procedere nella identificazione ed attuazione di una eventuale Azione correttiva come indicato nella sezione S8 del MODULO Gestione del Data Breach;

Procede pertanto nell’aggiornamento del Registro degli incidenti.

Negli altri casi, ovvero in tutti i casi in cui sia accertata sussistenza di situazioni che mettono a rischio i dati degli Interessati, il Team Crisi procede a:

  • informare il Rappresentante Legale;
  • valutare le conseguenze dell’evento sulla base dei dati personali colpiti, della categoria di Interessati colpita, della portata e del numero e/o % di Interessati coinvolti, della mole di dati interessati, dell’arco temporale interessato dell’evento.

Sulla base degli elementi raccolti il Team Crisi valuta la presenza o meno della violazione o presunta tale, tenendo presente che, in caso di dubbio, deve assumere un atteggiamento prudenziale a difesa dei diritti dell’Interessato.

In ogni caso l’esito della valutazione di pertinenza della segnalazione deve essere riportato, a cura del Data Manager, nel REGISTRO degli incidenti. Se la segnalazione non risulta pertinente il Data Manager traccerà una riga per annullare la compilazione degli altri campi previsti dal REGISTRO.

 

4.4 Analisi del rischio

Il Team Crisi procede all’analisi del rischio ed alla sua documentazione compilando il MODULO Gestione del Data Breach nella sezione S3.

Nella compilazione del modulo devono tenere conto del significato associato al concetto di:

  • Riservatezza: stima del danno/impatto che la perdita di riservatezza riguardante l’asset comporterebbe per il business della Società/la tutela interessato (1-3);
  • Integrità: stima del danno/impatto che la perdita di integrità riguardante l’asset comporterebbe per il business della Società/la tutela interessato (1-3);
  • Disponibilità: stima del danno/impatto che la perdita di disponibilità riguardante l’asset comporterebbe per il business della Società/la tutela interessato (1-3).

Per la valutazione della stima della perdita di Riservatezza, Integrità e Disponibilità viene utilizzata la seguente tabella.

 

Liv[3]. R- Riservatezza I – Integrità D- Disponibilità
1 – Basso Organizzazione
I dati non presentano particolari requisiti di riservatezza.
I dati sono pubblici.Interessati
La mancanza di riservatezza ha impatti lievi (p.e. fastidio) sulla vita sociale o personale degli interessati in termini di:
– perdita di autonomia;
– esclusione;
– perdita di liberta;
– danni fisici;
– stigmatizzazione;
– squilibrio di potere;
– perdita di fiducia;
– perdita economica.
Organizzazione
I dati non presentano particolari requisiti di integrità.
I dati gestiti non fanno parte di transazioni economiche, finanziarie o sanitarie.Interessati
La mancanza di integrità ha impatti lievi (p.e. fastidio) sulla vita sociale o personale degli interessati in termini di:
– perdita di autonomia;
– esclusione;
– perdita di liberta;
– danni fisici;
– stigmatizzazione;
– squilibrio di potere;
– perdita di fiducia;
– perdita economica.
Organizzazione
L’indisponibilità dei dati oltre i tempi stabiliti contrattualmente non comporta multe o penali rilevanti.Interessati
La mancanza di disponibilità ha impatti lievi (p.e. fastidio) sulla vita sociale o personale degli interessati in termini di:
– perdita di autonomia;
– esclusione;
– perdita di liberta;
– danni fisici;
– stigmatizzazione;
– squilibrio di potere;
– perdita di fiducia;
– perdita economica.
2 – Medio Organizzazione
I dati devono essere riservati per ragioni di business (concorrenza sleale, danni all’immagine), ma un’eventuale loro diffusione non ha elevati impatti sul business dell’organizzazione, sul rispetto della normativa vigente o sull’immagine dell’organizzazione.Interessati
La mancanza di riservatezza ha impatti, non critici (p.e. perdita di tempo, perdita limitata di serenità), sulla vita sociale o personale degli interessati in termini di:
– perdita di autonomia;
– esclusione;
– perdita di liberta;
– danni fisici;
– stigmatizzazione;
– squilibrio di potere;
– perdita di fiducia;
– perdita economica.
Organizzazione
I dati non sono oggetto di transazioni di tipo economico,  finanziario o sanitarie con impatti sul business di un’impresa.
La mancanza di integrità dei dati non ha elevati impatti sulle attività operative o sul rispetto della normativa vigente.Interessati
La mancanza di integrità ha impatti, non critici (p.e. perdita di tempo, perdita limitata di serenità), sulla vita sociale o personale degli interessati in termini di:
– perdita di autonomia;
– esclusione;
– perdita di liberta;
– danni fisici;
– stigmatizzazione;
– squilibrio di potere;
– perdita di fiducia;
– perdita economica.
Organizzazione
L’indisponibilità dei dati oltre i tempi stabiliti contrattualmente comporta multe o penali non particolarmente rilevanti.Interessati
La mancanza di disponibilità ha impatti, non critici (p.e. perdita di tempo, perdita limitata di serenità), sulla vita sociale o personale degli interessati in termini di:
– perdita di autonomia;
– esclusione;
– perdita di liberta;
– danni fisici;
– stigmatizzazione;
– squilibrio di potere;
– perdita di fiducia;
– perdita economica.
3 – Alto Organizzazione
I dati devono essere riservati per ragioni di business (concorrenza sleale, danni all’immagine) e un’eventuale loro diffusione ha elevati impatti sul business dell’organizzazione, sul rispetto della normativa vigente o sull’immagine dell’organizzazione.Interessati
La mancanza di riservatezza ha elevato impatto sulla vita sociale (p.e. sconvolgendola) o personale degli interessati in termini di:
– perdita di autonomia;
– esclusione;
– perdita di liberta;
– danni fisici;
– stigmatizzazione;
– squilibrio di potere;
– perdita di fiducia;
– perdita economica.
Organizzazione
I dati non sono oggetto di transazioni di tipo economico,  finanziario o sanitarie con impatti sul business di un’impresa.
La mancanza di integrità dei dati ha elevati impatti sulle attività operative o sul rispetto della normativa vigente.Interessati
La mancanza di integrità ha elevato impatto sulla vita sociale (p.e. sconvolgendola) o personale degli interessati in termini di:
– perdita di autonomia;
– esclusione;
– perdita di liberta;
– danni fisici;
– stigmatizzazione;
– squilibrio di potere;
– perdita di fiducia;
– perdita economica.
Organizzazione
L’indisponibilità dei dati oltre i tempi stabiliti contrattualmente comporta multe o penali rilevanti.Interessati
La mancanza di disponibilità ha elevato impatto sulla vita sociale (p.e. sconvolgendola) o personale degli interessati in termini di:
– perdita di autonomia;
– esclusione;
– perdita di liberta;
– danni fisici;
– stigmatizzazione;
– squilibrio di potere;
– perdita di fiducia;
– perdita economica.
4 – Critico Organizzazione
La diffusione delle informazioni ha elevati impatti sul business dell’organizzazione o sul rispetto della normativa vigente o sull’immagine dell’organizzazione tali da compromettere la sostenibilità dell’organizzazione.Interessati
La mancanza di riservatezza ha impatto sulla sopravvivenza degli interessati in termini di:
– perdita di autonomia;
– esclusione;
– perdita di liberta;
– danni fisici;
– stigmatizzazione;
– squilibrio di potere;
– perdita di fiducia;
– perdita economica.
Organizzazione
La mancanza di integrità delle informazioni ha elevati impatti sul business aziendale o sul rispetto della normativa vigente tali da compromettere la sostenibilità dell’organizzazione.Interessati
La mancanza di integrità ha impatto sulla sopravvivenza degli interessati in termini di:
– perdita di autonomia;
– esclusione;
– perdita di liberta;
– danni fisici;
– stigmatizzazione;
– squilibrio di potere;
– perdita di fiducia;
– perdita economica.
Organizzazione
L’indisponibilità dei dati oltre i tempi stabiliti contrattualmente comporta multe o penali che mettono in pericolo la sostenibilità economica e di immagine o hanno impatti sulla sicurezza delle persone fisiche.Interessati
La mancanza di disponibilità ha impatto sulla sopravvivenza degli interessati in termini di:
– perdita di autonomia;
– esclusione;
– perdita di liberta;
– danni fisici;
– stigmatizzazione;
– squilibrio di potere;
– perdita di fiducia;
– perdita economica.

 

4.4.1 Tipologia di dato violato

Si indicano i valori da attribuire in base alle tipologie di dato violato

  • Dati sanitari: 0 se non sono oggetto di violazione oppure 3 se lo sono;
  • Documenti di identità: 0 se non sono oggetto di violazione e 2 se lo sono;
  • carta di credito: 0 se non sono oggetto di violazione e 2 se lo sono;
  • Reddito, fatturato: 0 se non sono oggetto di violazione e 1 se oggetto di violazione;
  • Brevetti, strategie di marketing, segreti professionali: 0 se non sono oggetto di violazione e 2 se violati;
  • Biometria es. impronte digitali, riconoscimento vocale ecc… : 0 se non sono oggetto di violazione e 3 se sono oggetto di violazione;
  • Facilità di identificazione degli interessati: 0 se non presente e 1 se sussiste;
  • Gravità delle conseguenze degli individui: 0 se non presente e 3 se sussiste;
  • Dati giudiziari: 0 se non oggetto della violazione e 3 se presenti;
  • Dati sui minori: 0 se non oggetto della violazione e 3 se lo sono;
  • Dati sulla geolocalizzazione: 0 se oggetto di violazione e 3 se presenti;
  • Dati su abitudini dell’Interessato, dati comportamentali: 0 se non oggetto della violazione e 3 se presenti;
  • Violazione massiva o individuale in base all’universo di riferimento: 0 se non sussiste, 1 se individuo singolo, 2 se gruppo limitato e 3 violazione massiva;
  • Criptazione: 0 se presente e 3 se non presente;
  • Copia back up: 0 se presente e 3 se non presente.

 

4.4.2 Dati violati oggetto di DPIA

Nel caso in cui il Trattamento oggetto di violazione sia stato in precedenza sottoposto ad una DPIA tenendo conto sia dell’art. 35 GDPR nonché di quanto indicato nelle “Linee-guida concernenti la valutazione di impatto sulla protezione dei dati[4] pubblicate dal WP 29, il punteggio base da attribuire, al fine di valutare la sussistenza di un “rischio elevato”, ai sensi del regolamento 2016/679”, è pari a 6.

In tal caso, considerato che il punteggio minimo associato ad ogni evento è pari a 3, ne consegue che in caso di almeno una DPIA il punteggio minimo associato all’evento di Data Breach è pari a 9 (vedi punto C del paragrafo “2.4 – Esito della analisi del rischio e decisioni”), quindi è necessario procedere con la notifica al Garante.

Posto che un’unica DPIA può avere ad oggetto più trattamenti che presentino analogie in termini di natura, ambito, contesto, finalità e rischi, il punteggio da associare (valore 6) riguarda il numero di trattamenti e non quello delle DPIA effettuate.

In ogni caso, qualora il trattamento oggetto della violazione non fosse stato sottoposto ad una DPIA, ma nel corso dell’analisi emergesse un’errata valutazione sulle ragioni che avevano determinato l’omessa valutazione d’impatto del rischio ex art. 35 GDPR o  qualora si prendesse semplicemente atto della mancanza di una DPIA nel calcolo del rischio si ritiene di applicare la posizione più prudenziale, quindi, risulta necessario associare al trattamento oggetto della valutazione il punteggio massimo (valore 6).

 

4.5 Esito della analisi del rischio e decisioni

Il risultato del calcolo del rischio deve essere interpretato come segue considerando che, in base ai criteri assegnati, il valore minimo è 3 ed il valore massimo è 56, valore massimo che in caso di più DPIA può essere anche superiore:

  • caso 1 da 0 a 6 => nessun rischio calcolato (non fare NOTIFICA e COMUNICAZIONE ma valutare eventuale AC vedi S8);
  • caso 2 da 7 a 18 => rischio che implica l’adozione di un trattamento dell’evento, vedi sezione S7, ed eventuale AC, vedi sezione S8, del MODULO Gestione del Data Breach;
  • caso 3 da 19 a 34 => rischio che implica l’adozione di un trattamento dell’evento, vedi S7, la NOTIFICA obbligatoria all’autorità di controllo del trattamento dell’evento, vedi S4, e l’AC, vedi S8 del MODULO Gestione del Data Breach;
  • caso 4 oltre 35 => rischio che implica quanto previsto al caso 3 oltre alla COMUNICAZIONE obbligatoria agli Interessati coinvolti vedi S5.

I risultati dell’esito dell’analisi del rischio vanno riportati nel MODULO Gestione del Data Breach nella sezione S3, massimo entro 4 ore[5] dall’inizio della riunione del Team Crisi. Dell’esito della decisione si informa il Rappresentante legale.

L’esito della casistica in cui cade la segnalazione deve essere riportato, a cura del Data Manager, nel REGISTRO degli incidenti.

 

4.6 Azioni a seguito delle decisioni

Sulla base della casistica in cui si ricade, debbono essere svolte le seguenti azioni:

  • caso 1 – si aggiorna il MODULO Gestione del Data Breach Sezione 3; l’evento si chiude; non vengono effettuate ulteriori comunicazioni;
  • caso 2 e 3 – si aggiorna il MODULO Gestione del Data Breach Sezione 3, si procede con le eventuali AC, si comunica internamente al Responsabile dell’area interessata dall’evento l’adozione di trattamento dell’evento;
  • caso 4 – si aggiorna il MODULO Gestione del Data Breach Sezione 3 ed il REGISTRO degli incidenti, si procede nell’adozione del trattamento dell’evento con le AC, si comunica internamente al Responsabile dell’area interessata dall’evento sia l’accaduto che l’azione intrapresa, si NOTIFICA l’evento all’autorità di controllo. Il Data Manager prepara un comunicato stampa che verifica con il Titolare ed il Titolare comunica all’Organo di governo della Società la situazione.
  • caso 5 – implica, oltre a quanto previsto dal caso 4, anche la COMUNICAZIONE obbligatoria agli Interessati coinvolti. La comunicazione è preparata a cura del Data Manager secondo il Modello in uso e verificata dal Titolare, il Titolare comunica la situazione all’Organo di governo della Società.

Il caso 4 ed il caso 5, per le comunicazioni (NOTIFICA e COMUNICAZIONE obbligatorie agli Interessati) debbono avvenire massimo entro 8 ore[6] dalla decisione presa.

Per le comunicazioni agli Interessati ed al Garante si vedano le specifiche sezioni.

Da considerare che il trattamento dell’evento senza l’avvio della AC deve considerarsi una situazione eccezionale.

 

4.7 Trattamento dell’evento

Quando è previsto un trattamento dell’evento, ovvero una o più azioni volte a minimizzare gli impatti per gli Interessati e ripristinare la situazione precedente all’evento (laddove possibile), il Team Crisi definisce

  • modalità;
  • responsabilità;
  • tempi.

Il Team Crisi tiene sotto controllo lo stato di avanzamento delle azioni di Trattamento previste e tiene aggiornato il MODULO Gestione del Data Breach Sezione 7 ed il REGISTRO degli incidenti.

 

4.8 Azione correttiva

Quando sono previste una o più azioni correttive volte a rimuovere la causa dell’evento, il Team Crisi definisce:

  • modalità;
  • responsabilità;
  • tempi.

Il Team Crisi tiene sotto controllo lo stato di avanzamento delle azioni e l’efficacia delle stesse.

Viene valutata la necessità di aggiornare l’analisi dei rischi, ed eventualmente la PIA se prevista per tale Trattamento e l’eventuale ulteriore documentazione (es. procedure di riferimento, nomina a Responsabile del Trattamento), Il Team crisi tiene aggiornato il MODULO Gestione del Data Breach Sezione 8 ed il REGISTRO degli incidenti.

 

4.9 Comunicazione al Garante ed agli Interessati

A seguito di un evento di Data Breach deve essere effettuata la comunicazione al Garante ed agli Interessati. La comunicazione è coordinata dal Team Crisi e le evidenze di tutte le comunicazioni debbono essere conservate.

 

4.9.1 Comunicazioni al Garante

La comunicazione al Garante deve contenere almeno i seguenti elementi:

  • riferimenti dell’azienda e del Rappresentante Legale;
  • indirizzo PEC e/o EMAIL per eventuali comunicazioni;
  • recapito telefonico per eventuali comunicazioni;
  • eventuali ulteriori contatti;
  • natura della comunicazione;
  • breve descrizione della violazione dei Dati Personali trattati;
  • indicazione di quando si è verificata la violazione dei Dati Personali trattati, specificando l’arco temporale in cui si è verificata e se la violazione è ancora in corso;
  • dove è avvenuta la violazione dei dati (es. se avvenuta a seguito di smarrimento di dispositivi o di supporti portatili);
  • tipo di violazione, a titolo esemplificativo e non esaustivo;
    • lettura (presumibilmente i dati non sono stati copiati);
    • copia (i dati sono ancora presenti sui sistemi del Rappresenta Legale);
    • alterazione (i dati sono presenti sui sistemi ma sono stati alterati);
    • cancellazione (i dati non sono più sui sistemi del Rappresenta Legale e non li ha neppure l’autore della violazione);
    • furto (i dati non sono più sui sistemi del Rappresenta Legale e li ha l’autore della violazione).
  • dispositivo oggetto della violazione ed eventuale ubicazione (es. computer, rete, dispositivo mobile, archivio/file o parte di un archivio/file, strumento di backup, documento cartaceo, ecc …);
  • informazioni di altra natura atte a dara una miglior comprensione dell’evento:
    • quanti interessati sono stati colpiti dalla violazione dei Dati Personali;
    • portata dell’evento, ovvero l’incidenza % degli interessati sull’universo della popolazione;
    • la stima dell’eventuale numero ancora sconosciuto di interessati potenzialmente coinvolti.
  • tipo di dati oggetto di violazione;
  • misure tecniche e organizzative applicate ai dati oggetto di violazione;
  • eventuali azioni già intraprese per contenere la violazione;
  • eventuali azioni già intraprese per ripristinare lo status quo (quando possibile);
  • eventuali azioni correttive intraprese o da intraprendere;
  • avvenuta comunicazione della violazione agli Interessati:
    • se comunicata, il mezzo di comunicazione utilizzato allegando il testo della comunicazione effettuata;
    • se non comunicata, le ragioni della mancata comunicazione.

allegare alla comunicazione al Garante l’analisi del rischio estrapolata dal MODULO Gestione del Data Breach.

 

4.9.2 Comunicazione agli Interessati

La comunicazione agli Interessati può avvenire con modalità diverse tra cui:

  • comunicazione diretta agli Interessati;
  • comunicato stampa;
  • comunicazione tramite sito WEB/social media;
  • altre forme;

La comunicazione deve essere congruente con quanto indicato nella Data Breach Policy.

Il Data Manager ha la responsabilità per:

  • individuare la/le forma/e di comunicazione da utilizzare;
  • la responsabilità per la stesura ed approvazione delle comunicazioni;
  • il livello di coinvolgimento del Team Crisi nella comunicazione verso l’esterno, in ogni caso il Team Crisi non può essere escluso.

Il Team Crisi decide la strategia di “crisis communication” da mettere in atto da quando è a conoscenza dell’evento di Data Breach ed anche successivamente, quando l’evento è stato risolto.

Di seguito le linee guida da considerare per la redazione delle comunicazioni verso gli Interessati

 

Aspetti generali:

  • definire il tono della comunicazione che può essere più informale (comunicato) o più formale (dichiarazione ufficiale);
  • fornire un titolo “giornalistico” che per quanto possibile rassicuri gli Interessati o perlomeno riduca il livello di allarme, utilizzare parole chiave facilmente rintracciabili sui motori di ricerca qualora venissero ricercate informazioni sui motori di ricerca;
  • le comunicazioni potrebbero non riguardare solo il Data Breach (rilevazione) ma anche le informazioni sull’andamento dello stesso nel tempo;
  • assicurare forme di comunicazione oneste, concrete e trasparenti;
  • fare riferimento al Team Crisi, il suo ruolo ed il suo impegno;
  • mettere in evidenza la storia, l’impegno della azienda nell’assicurare l’attenzione al tema, gli investimenti fatti, le misure applicate;
  • descrivere l’evento in modo facilmente comprensibile indicando;
    • quale impatto ha avuto o potrà avere sui dati;
    • quali Dati Personali sono stati persi (natura) piuttosto che violati, comunicati a terzi non autorizzati o comunque diffusi, ecc …
    • come si sta affrontando/è stato affrontato l’evento specificando cosa l’azienda sta facendo concretamente per proteggere i dati degli Interessati;
  • indicare come e quando è stato coinvolto il Garante della Protezione dei dati;
  • inserire un contatto diretto per contattare l’organizzazione;
  • valutare, sulla base della portata e rilevanza dell’evento verificatosi, l’eventualità di attivare un numero verde per rispondere agli Interessati.

 

Aspetti specifici per il comunicato stampa/dichiarazione ufficiale:

  • prevedere un link alla pagina del sito web dove fornire ulteriori informazioni sul Data Breach nonché lo stato dell’andamento dello stesso nel tempo.

 

Aspetti specifici per la comunicazione tramite sito WEB/Social Media:

  • considerare di pubblicare (per le situazioni più gravi) un video di scuse/spiegazioni coinvolgendo il top management. In tale eventualità qualora non si disponesse internamente di tali competenze, affidarsi ad un esperto per evitare errori o creare più allarme del necessario;
  • considerare di attivare una APP dedicata all’evento;

La comunicazione agli Interessati deve assumere la seguente forma e contenere almeno i seguenti elementi (sostituire la parti in stampatello con la relativa compilazione):

 

DA STAMPARE SU CARTA INTESTATA DELLA SOCIETA’ TITOLARE

 

Destinatario: Nome e indirizzo dell’Interessato colpito

 

Oggetto: Data Breach

 

Introduzione descrittiva dell’evento accaduto;

 

Indicare la data [gg/mm/aaaa] in cui è stata riscontrata la violazione dei Dati Personali;

 

Come conseguenza della sopra menzionata violazione, i suoi Dati Personali potrebbero essere stati:

 

 

da persone non autorizzate.

La informiamo che la violazione dei Dati Personali potrebbe avere le seguenti conseguenze:

[elencare]

 

Per affrontare la violazione dei dati sono state/saranno implementate le seguenti misure:

[elencare]

 

Se avete quesiti in merito alla violazione dei dati in oggetto, potete scrivere alla Società [inserire la Ragione Sociale della Società Titolare] tramite:

posta scrivendo al seguente indirizzo [riportare l’indirizzo della sede amministrativa della Società Titolare];

– mail scrivendo all’indirizzo: [riportare l’indirizzo della Società dedicato alle comunicazioni in ambito Privacy … infoedatabreach.___@___.it/com ]

 

 

La modalità di invio della comunicazione ed i riferimenti degli Interessati coinvolti deve essere riportata nel MODULO Gestione del Data Breach Sezione 7

 

4.10 Comunicazione all’Organo di governo della Società.

A seguito di un evento che ricade nei casi 4 e 5, ed in ogni caso qualora il Rappresentante Legale lo ritenesse opportuno, deve essere tenuto aggiornato l’Organo di governo della Società Titolare.

Tale attività è a cura del Rappresenta Legale e deve avvenire con modalità che consentano e garantiscano la tracciabilità delle comunicazioni svolte, per quanto possibile.

 

4.11 Situazioni anomale o di emergenza

In caso di segnalazioni in situazioni anomale o di emergenza, quali:

  • chiusura temporanea della sede della Società (es. periodo di ferie);
  • mancanza di figure apicali del Team Crisi;
  • mancanza di collegamenti (es. internet), energia, piuttosto che in occasione di situazioni di emergenza dovute a cause di forza maggiore, ecc …

devono essere considerate le seguenti misure:

  • il Team Crisi può operare anche con una sola persona tra quelle che lo compongono;
  • le riunioni del Team Crisi possono essere effettuate in luoghi diversi dalla sede della Società ed eventualmente con strumenti alternativi quali skype, ecc …

 

 

[1] Devono essere messe in atto le policy per favorire che l’Interessato/Garante/Responsabile esterno comunichi tramite la mail infoedatabreach@salumificiopanzeri.com l’evento, in quanto tale mail è uno dei sistemi di comunicazione costantemente presidiati.

[2] Considerare che, nel caso di comunicazione da parte del Sub Responsabile (situazione più critica)  l’azione si avvia entro 36 ore dalla sua rilevazione.

[4] I criteri da considerare per l’effettuazione di una DPIA si basano sul rischio per gli Interessati e possono riguardare un trattamento o un insieme di trattamenti simili. Tali criteri riguardano i seguenti aspetti:

I dati sono oggetto di:

  • valutazione, assegnazione di un punteggio, incluso la profilazione;
  • decisione automatiche che hanno effetti giuridici o simili con un impatto significativo per l’Interessato;
  • i dati sono sensibili con elaborazione sistematica e su larga scala;
  • elaborazione su larga scala (in termini assoluti – numero Interessati, numero di dati trattati, di incidenza %, durata e/o permanenza del trattamento, estensione geografica del trattamento/elaborazione, si veda anche quanto indicato nel considerando 91 del GDPR);
  • abbinamento e combinazione dei dati provenienti da più operazioni di trattamento;
  • di un uso innovativo;
  • trasferimento fuori dai confini della UE (considerando 116 del GDPR), possibile oggetto di trasferimento o probabilità di trasferimento basate su deroghe a situazioni specifiche stabilite dal GDPR.

attraverso i dati è possibile effettuare:

  • un controllo sistematico (osservazione, monitoraggio, controllo) degli Interessati;
  • applicazione di soluzioni tecnologiche o organizzative innovative;

gli Interessati a cui appartengono i dati:

  • sono vulnerabili (considerando 75 del GDPR) e/o in presenza di un notevole squilibrio di potere tra l’Interessato ed il Titolare;
  • sono impediti nell’esercizio di un diritto o di utilizzare un servizio o un contratto (considerando 91 ed articolo 22 del GDPR).

Considerare che, nel caso di comunicazione da parte del sub responsabile (situazione più critica) l’azione si conclude entro 52 ore dalla sua rilevazione.

[5] Considerare che, nel caso di comunicazione da parte del sub responsabile (situazione più critica) l’azione si conclude entro 52 ore dalla sua rilevazione.

[6] Considerare che, nel caso di comunicazione da parte del sub responsabile (situazione più critica) l’azione si conclude entro 60 ore dalla sua rilevazione.