Che cos’è il “data breach”

L’articolo 4 del GDPR definisce la violazione dei dati personali (“data breach”) come “la violazione di sicurezza che comporta accidentalmente o in modo illecito distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trasmessi, conservati o comunque trattati”.

Ma quali possono essere le ragioni per cui si verifica una violazione?
  • Divulgazione di dati a persone non autorizzate
  • Perdita o furto di dati o di strumenti nei quali i dati sono memorizzati
  • Perdita o furto di documenti cartacei
  • Illecito da parte di un dipendente
  • Accesso abusivo
  • Casi di pirateria informatica
  • Banche dati alterate o distrutte senza autorizzazione rilasciata dal relativo “owner”
  • Attacchi al sistema informatico o alla rete della scuola
  • Violazione di misure di sicurezza fisica (es. forzatura di porte o finestre di stanze di sicurezza o archivi contenenti informazioni riservate)
  • Smarrimento di devices o attrezzature informatiche scolastiche
  • Invio di email contenenti dati personali e/o particolari a erroneo destinatario
Quali sono gli adempimenti prescritti dal GDPR in caso di violazione dei dati?

Qualora il titolare ritenga che una violazione possa arrecare seri rischi per i diritti e le libertà degli interessati, deve notificarla all’autorità Garante e alle persone coinvolte entro 72 ore.

La comunicazione rivolta agli utenti deve essere redatta per iscritto, con linguaggio chiaro e semplice.

In ogni caso, qualora si verifichi una concreta, sospetta e/o presunta violazione, la stessa deve essere affrontata immediatamente al fine di minimizzarne l’impatto.

Ai sensi dell’art. 33 del GDPR, il dirigente deve documentare qualsiasi “data breach” curando l’aggiornamento del registro delle violazioni.

Dovrebbe inoltre predisporre adeguati piani di reazione e opportuni metodi per l’accertamento delle violazioni, atti a prevedere i comportamenti da adottare in caso di “data breach”, e consegnarli a tutto il personale.

E’ infine importante ricordare come, in caso di mancato rispetto delle procedure di notifica di una violazione, possano essere applicate sanzioni amministrative fino a 10.000.000 di euro.

Accedi alla community di GDPR Scuola!

Subito per te in OMAGGIO due video
che ti aiuteranno a capire come affrontare in sicurezza il lavoro “agile”
e la didattica a distanza (oltre a tanti altri bonus)!

A presto!
Riccardo Manuelli
Responsabile GDPR Scuola
Tel. 0163 03 50 22
www.gdprscuola.it

Letture consigliate dal blog

Albo online e pubblicazione esiti scolastici e valutazioni finali

Le valutazioni finali degli scrutini non devono essere pubblicate nell'albo online, ma nel registro elettronico o nei tabelloni delle scuole.LeggiAlbo online e pubblicazione esiti scolastici e valutazioni finali

Il data breach che si nasconde dietro l’invio di una email

Le violazioni dei dati che possono essere associate a un improprio invio delle email, con particolare riferimento all'uso dei campi "CC" e "CCN".LeggiIl data breach che si nasconde dietro l’invio di una email

Che cos’è un dato personale

Che cos’è un dato personale, cosa si intende per trattamento dei dati e quali sono le varie tipologie di dati trattati dalla scuola.LeggiChe cos’è un dato personale

Iscriviti alla community di GDPR Scuola
e scarica subito i bonus a tua disposizione!

Iscriviti

Cliccando sul pulsante dichiaro implicitamente di avere un’età non inferiore ai 16 anni nonché di aver letto l’informativa sul trattamento dei dati personali reperibile alla pagina Privacy e note legali.