Che cos’è il “data breach”

L’articolo 4 del GDPR definisce la violazione dei dati personali (“data breach”) come “la violazione di sicurezza che comporta accidentalmente o in modo illecito distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trasmessi, conservati o comunque trattati”.

Ma quali possono essere le ragioni per cui si verifica una violazione?
  • Divulgazione di dati a persone non autorizzate
  • Perdita o furto di dati o di strumenti nei quali i dati sono memorizzati
  • Perdita o furto di documenti cartacei
  • Illecito da parte di un dipendente
  • Accesso abusivo
  • Casi di pirateria informatica
  • Banche dati alterate o distrutte senza autorizzazione rilasciata dal relativo “owner”
  • Attacchi al sistema informatico o alla rete della scuola
  • Violazione di misure di sicurezza fisica (es. forzatura di porte o finestre di stanze di sicurezza o archivi contenenti informazioni riservate)
  • Smarrimento di devices o attrezzature informatiche scolastiche
  • Invio di email contenenti dati personali e/o particolari a erroneo destinatario
Quali sono gli adempimenti prescritti dal GDPR in caso di violazione dei dati?

Qualora il titolare ritenga che una violazione possa arrecare seri rischi per i diritti e le libertà degli interessati, deve notificarla all’autorità Garante e alle persone coinvolte entro 72 ore.

La comunicazione rivolta agli utenti deve essere redatta per iscritto, con linguaggio chiaro e semplice.

In ogni caso, qualora si verifichi una concreta, sospetta e/o presunta violazione, la stessa deve essere affrontata immediatamente al fine di minimizzarne l’impatto.

Ai sensi dell’art. 33 del GDPR, il dirigente deve documentare qualsiasi “data breach” curando l’aggiornamento del registro delle violazioni.

Dovrebbe inoltre predisporre adeguati piani di reazione e opportuni metodi per l’accertamento delle violazioni, atti a prevedere i comportamenti da adottare in caso di “data breach”, e consegnarli a tutto il personale.

E’ infine importante ricordare come, in caso di mancato rispetto delle procedure di notifica di una violazione, possano essere applicate sanzioni amministrative fino a 10.000.000 di euro.

Accedi alla community di GDPR Scuola!

Subito per te in OMAGGIO due video
che ti aiuteranno a capire come affrontare in sicurezza il lavoro “agile”
e la didattica a distanza (oltre a tanti altri bonus)!

Riccardo Manuelli
Responsabile GDPR Scuola
Tel. 0163 03 50 22
www.gdprscuola.it

Letture consigliate dal blog

Il dirigente scolastico e la Didattica Digitale Integrata

Cosa deve fare la scuola per garantire il pieno rispetto della privacy nello svolgimento delle attività di Didattica Digitale Integrata.LeggiIl dirigente scolastico e la Didattica Digitale Integrata

Perché è essenziale rispettare il principio di accountability

Il mancato rispetto del principio di accountability potrebbe comportare l’applicazione di sanzioni e ledere i diritti di ogni utente della scuola.LeggiPerché è essenziale rispettare il principio di accountability

Il principio di accountability

La figura del dirigente deve essere "accountable", ossia responsabile di ogni valutazione e di ogni azione compiuta in fase di trattamento dati.LeggiIl principio di accountability

Iscriviti alla community di GDPR Scuola
e scarica subito i bonus a tua disposizione!

Iscriviti

Cliccando sul pulsante dichiaro implicitamente di avere un’età non inferiore ai 16 anni nonché di aver letto l’informativa sul trattamento dei dati personali reperibile alla pagina Privacy e note legali.