REGIONE CALABRIA GIUNTA REGIONALE

(1)

(2)

REGIONE CALABRIA GIUNTA REGIONALE

DIPARTIMENTO ORGANIZZAZIONE E RISORSE UMANE (ORU)

SETTORE 6 - DATORE DI LAVORO, SICUREZZA LUOGHI DI LAVORO, PRIVACY - RAPPORTI CON GLI ENTI LOCALI E POLIZIA LOCALE

________________________________________________________________________________

Assunto il 04/03/2021

Numero Registro Dipartimento: 236

DECRETO DIRIGENZIALE

“Registro dei decreti dei Dirigenti della Regione Calabria”

N°. 2349 del 09/03/2021

OGGETTO: APPROVAZIONE PROCESSO DI GESTIONE DATA BREACH (INCIDENTI DI SICUREZZA DATI REGIONE CALABRIA).

Dichiarazione di conformità della copia informatica

Il presente documento, ai sensi dell’art. 23-bis del CAD e successive modificazioni è copia conforme informatica del provvedimento originale in formato elettronico, firmato digitalmente, conservato in banca dati della Regione Calabria.

Copia informatica conforme ai sensi dell'art. 23-bis del CAD e s.m.

(3)

IL DIRIGENTE DI SETTORE/GENERALE IL DIRIGENTE GENERALE

VISTI

- la Legge Regionale del 13 maggio 1996, n. 7 e s.m.i. recante “Norme sull’ordinamento della struttura organizzativa della Giunta Regionale e sulla Dirigenza Regionale”;

- la Delibera della G.R. 21/6/1999, n. 2661 recante “Adeguamento delle norme legislative e regolamentari in vigore per l’attuazione delle disposizioni recate dalla L.R. n. 7/96 e del D.Lgs.

n. 29/93 e successive modifiche ed integrazioni”;

- il D.P.G.R. n. 354 del 24 giugno 1999 relativo alla Separazione dell’attività amministrativa di indirizzo e di controllo da quella gestionale, per come modificato ed integrato con il D.P.G.R. n.

206 del 5 dicembre 2000;

- la vigente struttura organizzativa della Giunta Regionale approvata con Delibera di Giunta Regionale n. 63 del 15.02.2019 e s.m.i. e R.R. n. 3 del 19.02.2019 e s.m.i., nonché la Delibera di Giunta Regionale n. 45 del 14.04.2020, con la quale è stato avviato l’iter di riorganizzazione delle strutture amministrative;

- la D.G.R. n. 91 del 15 maggio 2020 avente ad oggetto “Struttura organizzativa della Giunta Regionale – approvazione modifiche alla Deliberazione di G.R. n. 63 del 15.02.2019 e ss.mm.ii.”;

- la D.G.R. n. 237 del 7 agosto 2020 avente ad oggetto “Misure volte a garantire maggiore efficienza alla struttura organizzativa della Giunta Regionale -Approvazione modifiche ed integrazioni del Regolamento Regionale n. 3/2019 e s.m.i.”;

- la Deliberazione di Giunta Regionale n. 512 del 31.10.2019 riguardante l’assegnazione dei Dirigenti Regionali;

- il D.P.G.R. n. 17 del 24 febbraio 2021 con il quale è stato conferito all’Avv. Sergio Nicola Tassone l’incarico di Dirigente Generale Reggente del Dipartimento “Organizzazione e Risorse Umane” della Giunta Regionale;

- il D.D.G. n. 14101 del 15.11.2019, con il quale al Dott. Salvatore Lopresti è stato conferito l'incarico di Dirigente Settore Datore di Lavoro, privacy rapporti con gi enti locali e polizia locale del Dipartimento Organizzazione e Risorse Umane;

- il decreto legislativo 30 marzo 2001, n. 165;

VISTI ALTRESI’

- la nota prot. SIAR n. 408028 del 11.12.2020 con la quale il Responsabile della Protezione Dati Regionale ha trasmesso il processo di gestione dei Data Breach per come elaborato nell’ambito del Progetto Identità Digitali e Sicurezza Servizi di Cloud Computing, di sicurezza, di realizzazione dei portali e servizi online e di cooperazione applicativa per le pubbliche amministrazioni – LOTTO 2 - elaborato da Leonardo S.p.a., in qualità di società mandataria del RTI composto da IBM Italia S.p.a., Sistemi Informativi S.r.l., Fastweb S.p.a ;

(4)

- la Delibera di Giunta Regionale n. 29 del 1 febbraio 2021 avente per oggetto: “Competenze in materia di trattamento dei dati personali – approvazione modifiche del Regolamento Regionale n. 20 del 18 dicembre 2018”;

-il Regolamento regionale 18 dicembre 2018, n. 20, recante: “Attribuzione delle competenze in materia di trattamento dei dati personali nell’ambito delle strutture organizzative della Giunta Regionale”;

RICHIAMATA la Deliberazione n. 11 del 28 gennaio 2021 con la quale la Giunta Regionale ha approvato il Piano Triennale della Prevenzione, della Corruzione e della Trasparenza 2021/2023 – Aggiornamento 2021;

RILEVATO CHE, in seguito alla approvazione della DGR n.29 del 1 febbraio 2021 è necessario aggiornare il processo di gestione degli incidenti di sicurezza per come elaborato nell’ambito del

“Progetto Identità digitali e Sicurezza” e proposto dal Responsabile della Protezione Dati Regionale con nota prot. SIAR n.408028 del 11.12.2020;

CONSIDERATO CHE il regolamento regionale n.20 del 18 dicembre 2018 per come modificato dalla DGR n.29 del 1 febbraio 2021 definisce ruoli e competenze anche con riferimento alle modalità di gestione degli incidenti di sicurezza (Data Breach);

ACCERTATO CHE Le modalità operative indicate nel processo di gestione dei DATA BREACH presentate dal RPD risultano coerenti con la ripartizione di ruoli e competenze previste nel citato Regolamento n.20 del 2018 per come modificato dalla DGR n.29 del 2021 nonché con le linee guida adottate dal Garante per la Protezione dei Dati Personali;

VISTI altresì

- il Regolamento Europeo 2016/679 sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali;

-il Dlgs. n. 33/2013 e s.m.i;

DECRETA

per le motivazioni espresse in parte motiva e che qui si intendono integralmente riportate

1. DI APPROVARE il processo di gestione degli incidenti di sicurezza (DATA BREACH) per la Regione Calabria che allegato al presente provvedimento, insieme al diagramma di flusso, ne forma parte integrante e sostanziale;

2. DI DEMANDARE al Tavolo Tecnico istituito con DGR 29/21, al Responsabile della Protezione Dati ed al Settore Datore di Lavoro e Privacy la divulgazione dei contenuti del processo a tutti gli interessati ed in particolare a tutti i Delegati del Titolare per come individuati dall’art.1 comma 1 del Regolamento n.20 del 2018 per come modificato dalla DGR n.29 del 2021;

3. DI NOTIFICARE a cura del Dipartimento Organizzazione e Risorse Umane il presente provvedimento al Responsabile della Protezione Dati e a tutti i Dipartimenti e strutture equiparate della Giunta Regionale;

4. DI DISPORRE la pubblicazione integrale del presente provvedimento sul Bollettino Ufficiale 2

Copia informatica conforme ai sensi dell'art. 23-bis del CAD e s.m.

(5)

della Regione Calabria ai sensi della Legge regionale 6 aprile 2011, n. 11, nonché la pubblicazione sul sito istituzionale della Regione Calabria ai sensi del D.Lgs. 14 marzo 2013, n.

33 e nel rispetto delle disposizioni di cui al D.lgs. 30 giugno 2003, n. 196 e s.m.i..

Sottoscritta dal Responsabile del Procedimento LOPRESTI SALVATORE

(con firma digitale)

Sottoscritta dal Dirigente LOPRESTI SALVATORE

Sottoscritta dal Dirigente Generale TASSONE SERGIO NICOLA

(6)

PROCESSO DI GESTIONE DEGLI EVENTI ANOMALI / INCIDENTI

Soggetto interno o esterno all’Ente*

Segnalazione

1.1 Segnalazione evento anomalo o violazione sicurezza dati personali

Valutazione e misure Notifica Archiviazione

Settor e Agenda Digitale

3.1 Inoltro della segnalazione a Delegato del Titolare, a RPD e

Settore Datore di Lavoro

3.2 Valutazione

gravità evento Violazione di sicurezza?

3.3 Determinazione misure di contenimento e

contrasto

3.4 Attivazione delle strutture preposte all’attuazione delle misure di

contenimento e contrasto (Incident response team)

2.2 Archiviazione segnalazione con evidenza di analisi, eventuali misure

adottate e comunicazioni effettuate

2.1 Registrazione segnalazione NO

RPD

4.1.1 Collaborazione per notifica al Garante

4.2.1 Collaborazione per comunicazione

all’Interessato

Settor e Dator e di Lavor o

3.2.1 Collaborazione per valutazione

gravità evento

3.3.1 Collaborazione per determinazione misure di contenimento e contrasto

3.4.1 Collaborazione per attivazione delle

strutture preposte all’attuazione delle misure di contenimento e contrasto

(Incident response team)

4.1.2 Collaborazione per notifica al Garante

4.2.2 Collaborazione per comunicazione

all’Interessato

Delegato del T itolar e

Notifica violazione al

Garante?

Comunicazione violazione all’

Interessato?

4.1 Invio notifica al Garante SI

4.2 Invio comunicazione

all’Interessato SI

SI

NO

(7)

(8)

Nome e Ruolo Firma Autore di riferimento

Alfredo Mazzitelli (N Data Italia S.p.A.), Referente Servizi Adeguamento Organizza vo - GDPR e MM AgID

Veriﬁca

Gennaro Oriolo (Leonardo S.p.A.), Responsabile Tecnico Erogazione Servizi

Approvazione

Autorizzazione

(9)

1 INTRODUZIONE

Il 24 maggio 2016 è entrato in vigore il “Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del Consiglio del 27 aprile 2016 rela vo alla protezione delle persone ﬁsiche con riguardo al tra amento dei da personali, nonché alla libera circolazione di tali da (GDPR) e che abroga la dire va 95/46/CE (regolamento generale sulla protezione dei da )”. A par re dal 25 maggio 2018 questo regolamento è pienamente applicabile in tu gli Sta membri. Elemento cardine di questa norma va è il conce o di “accountability” con il quale viene introdo a la responsabilizzazione dei sogge coinvol nella protezione dei da personali e la capacità di rendere conto delle proprie azioni.

Una delle novità introdo e dal GDPR è cos tuita dal processo di ges one dei Data Breach a raverso cui viene indicato il processo di ges one degli even di violazione dei da personali comprendendo l’eventuale conta o tra tolare e autorità garante e tra tolare e interessato nel caso di violazione. Il presente documento descrive il processo che Regione Calabria ha ado ato per ges re gli even anomali e gli inciden di violazione dei da personali. Nella stesura si è tenuto conto di quanto previsto nella norma va di riferimento pur essendo sogge a ad aggiornamen futuri dovu ad interven chiariﬁcatori da parte del Garante della Privacy.

Rif. Codice Titolo

DR-1. GDPR 2016/679 Regolamento UE n. 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 rela vo alla protezione delle persone ﬁsiche con riguardo al tra amento dei da personali, nonché alla libera circolazione di tali da e che abroga la dire va 95/46/CE (regolamento generale sulla protezione dei da ).

DR-2. WP250 WP250, rev.01 “Linee-guida sulla no ﬁca delle violazioni dei da personali ai sensi del regolamento (UE) 2016/679” - Gruppo di lavoro Ar colo 29 per la protezione dei Da .

DR-3. D.L. 101/2018 DECRETO LEGISLATIVO 10 agosto 2018, n. 101, recante “Disposizioni per l'adeguamento della norma va nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, rela vo alla protezione delle persone ﬁsiche con riguardo al tra amento dei da personali, nonché alla libera circolazione di tali da e che abroga la dire va 95/46/CE (regolamento generale sulla protezione dei da )” - G.U. 4 se embre 2018 n.205.

Tabella 1: DocumenƟ di riferimento

(10)

2 DEFINIZIONI E ACRONIMI

2.1 Deﬁnizioni

Termine Descrizione

Anonimizzazione

Tecnica che viene applicata ai da personali in modo tale che le persone ﬁsiche interessate non possano più essere iden ﬁcate in nessun modo.

Archivio

Qualsiasi insieme stru urato di da personali accessibili secondo criteri determina , indipendentemente dal fa o che tale insieme sia centralizzato, decentralizzato o ripar to in modo funzionale o geograﬁco.

Autorità di controllo L'autorità pubblica indipendente is tuita da uno Stato membro ai sensi dell'ar colo 51.

Cifratura Processo che rende un determinato dato personale non decifrabile a sogge non autorizza .

Consenso dell’interessato

Qualsiasi manifestazione di volontà libera, speciﬁca, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione posi va inequivocabile, che i da personali che lo riguardano siano ogge o di tra amento.

Data Breach

Una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modiﬁca, la divulgazione non autorizzata o l'accesso ai da personali trasmessi, conserva o comunque tra a .

Da biometrici

I da personali o enu da un tra amento tecnico specifico rela vi alle cara eris che fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'iden ficazione univoca, quali l'immagine facciale o i da da loscopici.

Da rela vi alla salute

I da personali a nen alla salute ﬁsica o mentale di una persona ﬁsica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni rela ve al suo stato di salute;

Dato personale

Qualsiasi informazione riguardante una persona fisica iden ficata o iden ficabile («interessato»); si considera iden ficabile la persona fisica che può essere iden ficata, dire amente o indire amente, con par colare riferimento a un iden fica vo come il nome, un numero di iden ficazione, da rela vi all'ubicazione, un iden fica vo online o a uno o più elemen cara eris ci della sua iden tà fisica, fisiologica, gene ca, psichica, economica, culturale o sociale.

4

(11)

Des natario

La persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di da personali, che si tra o meno di terzi. Tu avia, le autorità pubbliche che possono ricevere comunicazione di da personali nell'ambito di una specifica indagine conformemente al diri o dell'Unione o degli Sta 4.5.2016 L 119/33 Gazze a ufficiale dell'Unione europea IT membri non sono considerate des natari; il tra amento di tali da da parte di de e autorità pubbliche è conforme alle norme applicabili in materia di protezione dei da secondo le finalità del tra amento;

Interessato

La persona fisica iden ficata o iden ficabile cui si riferiscono i da personali. Si considera iden ficabile la persona fisica che può essere iden ficata, dire amente o indire amente, con par colare riferimento a un iden fica vo come il nome, un numero di iden ficazione, da rela vi all’ubicazione, un iden fica vo online o a uno o più elemen cara eris ci della sua iden tà fisica, fisiologica, gene ca, psichica, economica, culturale o sociale.

Misure di sicurezza

Insieme di misure sia tecniche che organizza ve in grado di garan re un livello di sicurezza dei da tra a adeguato al rischio.

Privacy by Design / by Default

Approccio conce uale che impone l’obbligo di prevedere ﬁn da subito gli strumen e le corre e impostazioni a tutela dei da personali.

Proﬁlazione

Qualsiasi forma di tra amento automa zzato di da personali consistente nell'u lizzo di tali da personali per valutare determina aspe personali rela vi a una persona fisica, in par colare per analizzare o prevedere aspe riguardan il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamen di de a persona fisica.

Pseudonimizzazione

Il tra amento dei da personali effe uato in modo tale che i da personali non possano più essere a ribui a un interessato specifico senza l'u lizzo di informazioni aggiun ve, a condizione che tali informazioni aggiun ve siano conservate separatamente e sogge e a misure tecniche e organizza ve intese a garan re che tali da personali non siano a ribui a una persona fisica iden ficata o iden ficabile.

Responsabile del Tra amento

La persona ﬁsica o giuridica, l'autorità pubblica, il servizio o altro organismo che tra a da personali per conto del tolare del tra amento.

(12)

Titolare del Tra amento

La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del tra amento di da personali; quando le finalità e i mezzi di tale tra amento sono determina dal diri o dell'Unione o degli Sta membri, il tolare del tra amento o i criteri specifici applicabili alla sua designazione possono essere stabili dal diri o dell'Unione o degli Sta membri.

Tra amento

Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automa zza e applicate a da personali o insiemi di da personali, come la raccolta, la registrazione, l'organizzazione, la stru urazione, la conservazione, l'ada amento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

Tabella 2: Deﬁnizioni

2.2 Acronimi e riferimenƟ

DPIA (o PIA)

Data Protec on Impact Assessment (o Privacy Impact Assessment). È una procedura prevista dall’ar colo 35 del GDPR che mira a descrivere un tra amento di da per valutarne la necessità e la proporzionalità nonché i rela vi rischi, allo scopo di approntare misure idonee ad aﬀrontarli.

RPD (o DPO) Responsabile della Protezione dei Da Personali (Data Protec on Oﬃcer)

GDPR

General Data Protec on Regula on (Regolamento Generale sulla Protezione dei Da ) rela vo alla protezione delle persone ﬁsiche con riguardo al tra amento dei da personali, nonché alla libera circolazione di tali da e che abroga la dire va 95/46/CE

Delegato del Titolare Riferimento al “Delegato al tra amento dei da personali”

Se ore Agenda Digitale Riferimento al se ore “ICT, E-Governement e Agenda Digitale” del Dipar mento “Presidenza”

Se ore Datore di Lavoro

Riferimento al se ore “Datore di lavoro, sicurezza luoghi di lavoro, privacy- Rappor con gli En Locali e Polizia Locale” del Dipar mento

“Organizzazione e risorse umane”

Tabella 3: Acronimi e riferimenƟ

6

(13)

3 QUADRO NORMATIVO

Gli ar coli del Regolamento UE n. 2016/679 che normano l’ambito di applicazione del presente documento sono:

 art. 4 par. 12 che deﬁnisce la violazione dei da personali;

 art. 33 e art. 34 che elencano gli adempimen previs in caso di violazione.

3.1 Deﬁnizione di Violazione dei daƟ personali

L’art. 4 par. 12 del GDPR deﬁnisce la “violazione dei da personali” (Data Breach) come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modiﬁca, la divulgazione non autorizzata o l’accesso ai da personali trasmessi, conserva o comunque tra a ”.

3.2 NoƟﬁca di una violazione dei daƟ personali all'autorità di controllo

L’art. 33 del GDPR indica gli adempimen previs dalla norma va in caso di violazione dei da personali rela vamente alla no ﬁca da inviare all’autorità di controllo.

ArƟcolo 33 - “NoƟﬁca di una violazione dei daƟ personali all'autorità di controllo”

1. In caso di violazione dei da personali, il tolare del tra amento no fica la violazione all'autorità di controllo competente a norma dell'ar colo 55 senza ingius ficato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei da personali presen un rischio per i diri e le libertà delle persone fisiche. Qualora la no fica all'autorità di controllo non sia effe uata entro 72 ore, è corredata dei mo vi del ritardo.

2. Il responsabile del tra amento informa il tolare del tra amento senza ingius ﬁcato ritardo dopo essere venuto a conoscenza della violazione.

3.La no ﬁca di cui al paragrafo 1 deve almeno:

a) descrivere la natura della violazione dei da personali compresi, ove possibile, le categorie e il numero approssima vo di interessa in ques one nonché le categorie e il numero approssima vo di registrazioni dei da personali in ques one;

b) comunicare il nome e i da di conta o del responsabile della protezione dei da o di altro punto di conta o presso cui o enere più informazioni;

c) descrivere le probabili conseguenze della violazione dei da personali;

d) descrivere le misure ado ate o di cui si propone l'adozione da parte del tolare del tra amento per porre rimedio alla violazione dei da personali e anche, se del caso, per a enuarne i possibili eﬀe nega vi.

4.Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingius ﬁcato ritardo.

(14)

5.Il tolare del tra amento documenta qualsiasi violazione dei da personali, comprese le circostanze a essa rela ve, le sue conseguenze e i provvedimen ado a per porvi rimedio. Tale documentazione consente all'autorità di controllo di veriﬁcare il rispe o del presente ar colo.

3.3 Comunicazione di una violazione dei daƟ personali all’interessato

L’art. 34 del GDPR indica gli adempimen previs dalla norma va in caso di violazione dei da personali rela vamente alla comunicazione da inviare all’interessato.

ArƟcolo 34 - Comunicazione di una violazione dei daƟ personali all'interessato

1.Quando la violazione dei da personali è susce bile di presentare un rischio elevato per i diri e le libertà delle persone fisiche, il tolare del tra amento comunica la violazione all'interessato senza ingius ficato ritardo. 4.5.2016 L 119/52 Gazze a ufficiale dell'Unione europea IT

2.La comunicazione all'interessato di cui al paragrafo 1 del presente ar colo descrive con un linguaggio semplice e chiaro la natura della violazione dei da personali e con ene almeno le informazioni e le misure di cui all'ar colo 33, paragrafo 3, le ere b), c) e d).

3.Non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se è soddisfa a una delle seguen condizioni:

a) il tolare del tra amento ha messo in a o le misure tecniche e organizza ve adeguate di protezione e tali misure erano state applicate ai da personali ogge o della violazione, in par colare quelle des nate a rendere i da personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b) il tolare del tra amento ha successivamente ado ato misure a e a scongiurare il sopraggiungere di un rischio elevato per i diri e le libertà degli interessa di cui al paragrafo 1;

c) de a comunicazione richiederebbe sforzi sproporziona . In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessa sono informa con analoga eﬃcacia.

4.Nel caso in cui il tolare del tra amento non abbia ancora comunicato all'interessato la violazione dei da personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei da personali presen un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfa a.

In deﬁni va, in base agli art. 33 e 34 del GDPR, i Titolari dei tra amen hanno in carico:

1) la no ﬁca all’autorità di controllo delle violazioni riscontrate entro 72 ore e comunque “senza ingius ﬁcato ritardo” (art. 33). Tale comunicazione non è obbligatoria se i Titolari ritengono improbabile che da tale violazione derivino rischi per i diri e le libertà degli interessa .

2) la comunicazione all’interessato, “senza ingius ﬁcato ritardo”, della violazione dei da personali (art. 34) quando la violazione presenta un rischio elevato per i diri e le libertà delle persone ﬁsiche. Se sono rispe ate le condizioni riportate all’art. 34 par. 3 tale comunicazione non è obbligatoria.

8

(15)

Inoltre, il Titolare deve is tuire un registro che contenga tu e le violazioni riscontrate e tu e le informazioni reperite durante l’analisi del singolo evento.

4 TASSONOMIA DEGLI EVENTI

Le linee guida descri e nel documento si applicano a tu gli archivi cartacei e a tu i sistemi informa ci regionali in cui sono conserva i da personali degli interessa intesi come ci adini, dipenden , fornitori.

Di seguito viene riportato un elenco non esaus vo di even che possono determinare una violazione di da personali. Il verificarsi di uno degli even indica non sempre implica l’effe va sussistenza di un data breach ma serve ad allertare il team di valutazione per stabilire, tramite un’analisi approfondita, la fondatezza o meno della violazione. Nei paragrafi successivi gli even vengono classifica in base alla pologia di tra amento (ele ronico o cartaceo) e, per ogni pologia, si riportano esempi di even suddivisi in due macro aree: accidentale (evento determinato da cause fortuite) o doloso (evento causato da personale consapevole del danno procurato).

4.1 TraƩamenƟ eleƩronici

4.1.1 EvenƟ accidentali

Evento Esempi

Esecuzione erronea di comandi e/o procedure

 pubblicazione erronea delle informazioni personali (non di dominio pubblico) su si web dell’Amministrazione regionale;

 erroneo invio di informazioni a en /sogge esterni all’Amministrazione regionale;

 forma azione di disposi vi di memorizzazione;

 errori nell'implementazione di una policy di controllo e veriﬁca periodica delle abilitazioni degli accessi;

 divulgazione accidentale di credenziali di accesso a colleghi o personale non autorizzato.

Ro ura di componen hardware

 distruzione di suppor di memorizzazione a causa di caduta accidentale, even atmosferici, incendi, sbalzi di ele ricità, o corto circuito.

Malfunzionamento di so ware

 esecuzione di uno script automa co non autorizzato;

 errori di programmazione del so ware che causano output erra .

Visibilità errata di da sui si web dell’Amministrazione

 visibilità da parte di uten di da di altri uten .

Fornitura di da a persona diversa dall’interessato

 comunicazioni di da di interessa a des natari erra ;

 ges one di informazioni richieste da persone

(16)

Guas alla rete

 caduta delle comunicazioni durante il trasferimento di da e perdita di da durante la trasmissione.

Tabella 4: TraƩamenƟ eleƩronici: evenƟ accidentali

4.1.2 EvenƟ dolosi

Furto  furto di suppor di memorizzazione e/o

elaborazione contenen da personali.

Truﬀa informa ca esterna

 frode realizzata da un sogge o esterno all’Amministrazione che causa perdita delle cara eris che di sicurezza dei da personali dei sogge interessa (conﬁdenzialità, integrità o disponibilità) tra a dall’ente o da suoi fornitori, mediante:

o accesso non autorizzato ed illecito alle basi da dei sistemi contenen i da dei sogge interessa tramite sfru amento di vulnerabilità dei sistemi;

o appropriazione di da bancari;

o appropriazione (e diﬀusione) delle credenziali di auten cazione ai servizi degli uten .

Truﬀa informa ca interna

 frode realizzata da personale interno all'Amministrazione che comporta la violazione dei da personali. Tali even possono derivare dall'u lizzo illecito e/o illegi mo delle informazioni a cui un incaricato del tra amento accede anche se autorizzato.

Tabella 5: TraƩamenƟ eleƩronici: evenƟ dolosi

4.2 TraƩamenƟ cartacei

4.2.1 EvenƟ accidentali

Distruzione accidentale di documen

 distruzione di documen causata da incendio/allagamento dei locali dove sono presen gli archivi cartacei presso le sedi della Regione e/o En collega o di propri fornitori;

 distruzione per errore di documen originali, senza eventuale copia.

Smarrimento di documen  perdita di documen contenen da

personali.

Fornitura involontaria di da a persona diversa dal contraente

 invio le era ad ente senza mandato;

 invio/visualizzazione di fa ure a sogge

10

(17)

diversi dal tolare della linea;

 ges one/evasione richieste di informazioni avanzate da persone diverse dal tolare della linea non delegato.

Tabella 6: TraƩamenƟ cartacei: evenƟ accidentali

4.2.2 EvenƟ dolosi

Distruzione dolosa dei documen

 incendio doloso provocato da personale interno o esterno che rende indisponibile in modo deﬁni vo i documen contenen da personali;

 accesso non autorizzato da parte di terzi ad archivi interni dell’Amministrazione e distruzione volontaria di documen contenen da personali.

Accesso non autorizzato

 accesso non autorizzato da parte di personale interno o esterno, con le ura e/o copia dei documen , ad archivi documentali presso le sedi della Regione e/o En o propri fornitori. Non si veriﬁca violazione se si ha la ragionevole certezza che non vi è stata le ura o copia dei documen contenen da degli interessa .

Furto

 so razione da parte di personale interno o esterno (o non iden ﬁca ) di documen cartacei contenen da personali.

Tabella 7: TraƩamenƟ cartacei: evenƟ dolosi

5 GRAVITA’ DELL’EVENTO

Il GDPR con l’art. 33 e l’art. 34 stabilisce che la no fica all’autorità di controllo o la comunicazione all’interessato debba essere effe uata qualora la violazione dei da personali presen un rischio (o rischio elevato nel caso di comunicazione all’interessato) per i diri e le libertà delle persone fisiche. Fa e salve le casis che di esclusione della no fica, resta a carico del tolare la valutazione della gravità connesso alla violazione. Il Regolamento europea, in base al principio di responsabilizzazione, non specifica un metodo di valutazione lasciando al tolare piena autonomia nella scelta dell’approccio da seguire. Nel paragrafo successivo viene proposta una metodologia per la valutazione della gravità dell’evento derivata da quella u lizzata dall’autorità garante spagnola AEPD (Agencia Española de Protección de Datos).

(18)

5.1 Metodologia di valutazione

La presente metodologia valuta la gravità dell’evento, mediante la combinazione di tre parametri di valutazione, e suggerisce al Titolare del tra amento le rela ve azioni da intraprendere. Le possibili azioni da intraprendere consistono nella no ﬁcazione dell’evento all’autorità garante o la comunicazione speciﬁca agli interessa .

I tre parametri sono:

 Volume dei da viola ;

 Tipologia dei da viola ;

 Impa o della violazione.

Ques parametri sono valuta mediante l’a ribuzione di un punteggio che segue i criteri descri nella tabella successiva:

VOLUME DEI DATI VIOLATI TIPOLOGIA DEI DATI VIOLATI IMPATTO DELLA VIOLAZIONE Numero di record di

idenƟﬁcazione compleƟ Punteggio Tipologia di dato

personale Punteggio Grado di

divulgazione Punteggio

Meno di 100 1 Dato personale

comune 1 Nessuna

divulgazione 2

Tra 100 e 1.000 2 Dato par colare /

giudiziario 2 Interna all’Ente,

controllata 4

Tra 1.000 e 100.000 3 Esterna all’Ente 6

Tra 100.000 a 1.000.000 4

Pubblica (es.

divulgazione su Internet)

8

Oltre 1.000.000 5 Sconosciuta 10

Tabella 8: Parametri metodologia

La gravità potenziale è data dalla seguente formula:

Gravità %=Volume∗^Tipologia∗^Impatto

O enuta la gravità potenziale della violazione, si forniscono due regole per stabilire quando inviare la no ﬁca o la comunicazione:

1) Occorre inviare la noƟﬁca all’autorità garante se sono soddisfa contemporaneamente ques due criteri:

a. Il valore del rischio è uguale o superiore a 20%, e

b. Almeno due dei tre parametri hanno un valore compreso tra quelli evidenzia in azzurro.

2) Occorre inviare la comunicazione all’interessato se sono soddisfa contemporaneamente ques due criteri:

a. Il valore del rischio è uguale o superiore a 40%, e

b. Almeno due dei tre parametri hanno un valore compreso tra quelli evidenzia in azzurro.

12

(19)

5.2 Esempio di applicazione metodologia

La classiﬁcazione e l’analisi di un esempio di violazione di da personali può essere riassunta dalla tabella seguente:

Tabella 9: Esempio metodologia

Applicando la formula presente al par. 6.1, o eniamo:

Gravità %=Volume∗^Tipologia∗^Impatto=2∗²∗⁸=32%

Nel caso in esame, due parametri hanno valori compresi tra quelli evidenzia in azzurro e il valore della gravità è pari a 32% per cui, la metodologia fornisce al Titolare l’indicazione dell’invio della sola no ﬁca al Garante.

6 PROCESSO DI GESTIONE DI EVENTI ANOMALI / INCIDENTI

La presente sezione riporta i ruoli e le stru ure coinvol con i rela vi compi e la rappresentazione graﬁca del processo di ges one degli even di possibile violazione dei da Personali.

6.1 Ruoli e struƩure coinvolƟ nel processo

In questo paragrafo, sono elencate le stru ure e i ruoli coinvol nel processo di ges one dei Data Breach. A par re dalla segnalazione di un possibile evento di violazione dei da personali, che può essere comunicato in qualsiasi modo da un sogge o esterno o interno all’amministrazione, sono sta assegna compi speciﬁci ad ogni ﬁgura o stru ura.

- Delegato del Titolare:

o inoltra al “Se ore Agenda Digitale”, al “Se ore Datore di Lavoro” e al RPD qualsiasi informazione acquisita su even anomali o violazioni di sicurezza sui da personali, per o enere supporto nelle a vità di valutazione della gravità di eventuali violazioni di sicurezza e nelle a vità di determinazione delle rela ve misure di contenimento e

CLASSIFICAZIONE Tipo di violazione Riservatezza

Tassonomia Accesso ad account con privilegi avanza Origine della minaccia Esterna

Gravità Alta

ANALISI

Volume dei daƟ 500 record >> 2

Tipi di daƟ Da personali par colari >> 2

ImpaƩo Divulgazione pubblica >> 8

(20)

o in caso di violazione di da personali che compor un rischio non trascurabile per i diri e le libertà delle persone ﬁsiche, no ﬁca la violazione al Garante Privacy nei tempi e con le modalità di cui all'art. 33 del GDPR, con il supporto del Se ore Datore di Lavoro e del RPD;

o in caso di violazione di da personali che compor un rischio molto alto per i diri e le libertà delle persone ﬁsiche, comunica la violazione agli interessa nei tempi e con le modalità di cui all'art. 34 del GDPR, con il supporto del Se ore Datore di Lavoro e del RPD.

- Se ore Agenda Digitale:

o predispone, ene e aggiorna il “Registro regionale degli inciden sui da personali” per tracciare e documentare gli even anomali e le violazioni sui da personali tra a ;

o supporta i delega del Titolare del tra amento, con la collaborazione del Se ore Datore di Lavoro, nelle a vità di valutazione della gravità di eventuali violazioni di sicurezza e nelle a vità di determinazione delle rela ve misure di contenimento e contrasto per porre rimedio a tali violazioni;

o a va le stru ure preposte all’a uazione delle misure di contenimento e contrasto. Il gruppo delle stru ure a vate cos tuisce l’Incident Response Team;

o collabora con il Se ore Datore di Lavoro, nella predisposizione delle no ﬁche di violazioni di da personali al Garante Privacy;

o collabora con il Se ore Datore di Lavoro, nella predisposizione delle comunicazioni di violazioni di da personali agli interessa .

- Se ore Datore di Lavoro:

o collabora con il Se ore Agenda Digitale nelle a vità di valutazione della gravità di eventuali data breach e nelle a vità di determinazione delle rela ve misure di contenimento e contrasto per porre rimedio a tali violazioni, in par colar modo per quanto riguarda le violazioni di sicurezza sui tra amen cartacei;

o supporta i delega del Titolare del tra amento, con la collaborazione del Se ore Agenda Digitale, nella predisposizione delle no ﬁche di violazioni di da personali al Garante Privacy;

o supporta i delega del Titolare del tra amento, con la collaborazione del Se ore Agenda Digitale, nella predisposizione delle comunicazioni di violazioni di da personali agli interessa .

- RPD: fornisce supporto durante la fase di no ﬁca degli inciden di sicurezza;

14

(21)

- Responsabile del tra amento: nell’ambito del servizio mediante il quale tra a da personali per conto del delegato del tolare, dopo aver accertato il data breach, ha il compito di segnalare ai ruoli e alle stru ure preposte l’accaduto fornendo fa va collaborazione.

6.2 Descrizione del processo

Il Processo di ges one degli even di violazione dei da Personali consta delle seguen fasi:

 Segnalazione : tu gli even che potrebbero presentare rischi di Data Breach possono essere rileva sia da sogge interni (per sogge interni si intendono anche il Delegato del Titolare, l’RPD e il Se ore Agenda Digitale) che da sogge esterni. Tali even devono essere immediatamente segnala al Se ore Agenda Digitale. In questa fase è compresa la seguente a vità:

o Segnalazione evento anomalo o violazione sicurezza da personali [1.1].

 Archiviazione : il Se ore Agenda Digitale, avendo in carico la tenuta e l’aggiornamento del “Registro regionale degli inciden sui da personali”, dovrà registrare la segnalazione ricevuta e dovrà tracciare l’a vità svolta, sia in caso di accertamento posi vo che nega vo della violazione. Questa raccolta di informazioni consen rà all’autorità di controllo di veriﬁcare il rispe o della norma va.

In questa frase sono comprese le seguen a vità:

o Registrazione segnalazione [2.1];

o Archiviazione segnalazione con evidenza di analisi, eventuali misure ado ate e comunicazioni eﬀe uate [2.2].

 Valutazione e misure : ricevuta la segnalazione, il Se ore Agenda Digitale provvede alla comunicazione dell’accaduto al RPD, al delegato del Titolare e al Se ore Datore di Lavoro. Procede quindi all’analisi della segnalazione per valutarne la gravità avvalendosi, se necessario, del Se ore Datore di Lavoro. Se viene accertata la violazione, determina le misure di contenimento e contrasto per arginare la violazione e a va le stru ure preposte all’a uazione delle misure individuate accertandosi dell’avvenuta a uazione. Queste a vità vengono svolte con la collaborazione del Se ore Datore di Lavoro, tenendo informato il RPD. In questa fase rientrano le seguen a vità:

o Inoltro della segnalazione a Delegato del Titolare, a RPD e Se ore Datore di Lavoro [3.1];

o Valutazione gravità evento [3.2];

o Collaborazione per valutazione gravità evento [3.2.1] (da parte del Se ore Datore di Lavoro);

o Determinazione misure di contenimento e contrasto [3.3];

o Collaborazione per determinazione misure di contenimento e contrasto [3.3.1] (da parte

(22)

o A vazione delle stru ure preposte all’a uazione delle misure di contenimento e contrasto (Incident response team) [3.4] (Processo in carico ad altro gruppo);

o Collaborazione per a vazione delle stru ure preposte all’a uazione delle misure di contenimento e contrasto [3.4.1] (da parte del Se ore Datore di Lavoro);

 No fica : se dall’analisi emerge la necessità dell’invio della no fica al Garante e/o dell’invio della comunicazione agli Interessa , le no fiche predisposte con la collaborazione del Se ore Datore di Lavoro e del RPD, devono essere inviate dal Delegato del Titolare ai des natari. Queste le a vità previste:

o Invio no ﬁca al Garante [4.1];

o Collaborazione per no ﬁca al Garante [4.1.1] (da parte del RPD);

o Collaborazione per no ﬁca al Garante [4.1.2] (da parte del Se ore Datore di Lavoro);

o Invio comunicazione all’Interessato [4.2];

o Collaborazione per comunicazione all’Interessato [4.2.1] (da parte del RPD);

o Collaborazione per comunicazione all’Interessato [4.2.1] (da parte del Se ore Datore di Lavoro).

16

(23)

6.3 Diagramma del processo

Nella successiva tabella si riporta la legenda dei simboli u lizza al ﬁne di rappresentare graﬁcamente il processo di ges one degli even anomali e degli inciden .

Simbolo Descrizione

Blocco a vità Blocco decisionale Blocco di processo Inizio ﬂusso Fine ﬂusso

Tabella 10: Legenda del Processo di gesƟone degli evenƟ anomali / incidenƟ

Nella ﬁgura seguente viene mostrato lo schema deﬁnito per il processo di ges one degli even anomali e degli inciden .

(24)

*: Per sogge interni si intendono anche il Delegato del Titolare, l’RPD e il Se ore Agenda Digitale stesso:

Figura 1: Workﬂow del Processo di gesƟone di evenƟ anomali / incidenƟ

18

(25)

6.4 Matrice RACI

Qui di seguito viene fornita la matrice RACI che riassume in forma tabellare ruoli e responsabilità dei vari a ori coinvol nel processo di ges one degli even anomali e degli inciden .

Registrazione segnalazione Inoltro segnalazione Valutazione gravità e Determinazione misure Aƫvazione Incident response team Invio noƟﬁca e comunicazione Archiviazione segnalazione

SoggeƩo interno / esterno

SeƩore Agenda Digitale A/R A/R R A/R A/R

RPD I I I C

SeƩore Datore di Lavoro I C C C

Delegato del Titolare I A A/R

R=Responsable: ruolo che esegue materialmente un'a vità

A=Accountable: ruolo che ha la responsabilità sul risultato dell'a vità

C=Consulted: ruolo che collabora con il Responsable per l'esecuzione dell'a vità I=Informed: ruolo che deve essere informato dell'a vità

Tabella 11: Matrice RACI

6.5 GesƟone di evenƟ segnalaƟ da responsabili di traƩamenƟ esterni

Se un responsabile di tra amen esterni di Regione Calabria si accorga o venga a conoscenza di una possibile violazione di da personali nell’ambito dell’erogazione di un servizio, ques ha l’obbligo di eﬀe uare una prima analisi dell’accaduto. Se accerta che si è in presenza di data breach invia la segnalazione al Delegato del Titolare per il quale eroga il servizio, al Se ore Agenda Digitale e al RPD fornendo tu e le informazioni u li per una corre a valutazione e ges one dell’evento. Gli a ori così coinvol procederanno come previsto dal processo descri o nei paragraﬁ preceden .

7 SANZIONI PREVISTE

Le procedure rela ve ai data breach, illustrate nei paragraﬁ preceden e previste dagli art. 33-34 del GDPR, rientrano tra gli obblighi del tolare e del responsabile del tra amento. Gli aspe sanzionatori per la violazione di tali obblighi è normata dall’art. 83 par. 4 del GDPR che prevede sanzioni amministra ve pecuniarie ﬁno a 10.000.000 €. In aggiunta, l’art. 82 par. 1 del GDPR prevede che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diri o di o enere il risarcimento del danno dal tolare del tra amento o dal responsabile del tra amento”. Vi è da ricordare

(26)

fa ori sono elenca nell’art. 83 par. 2 del GDPR per cui, ad esempio, l’essere intervenu con tempismo per ridurre la gravità, la natura e la durata della violazione può essere considerato dall’autorità come a enuante nell’erogazione della sanzione.

8 REGISTRO DEGLI INCIDENTI

L’applica vo ado ato da Regione Calabria per la ges one degli adempimen rela vi al GDPR fornisce la possibilità di alimentare e manutenere il registro degli inciden .

Dalla schermata principale, il menu a sinistra perme e di accedere alla sezione del registro degli inciden :

Figura 2: Menu per accesso Registro IncidenƟ

Questa sezione fornisce all’utente un insieme di campi che consente la memorizzazione di ogni singolo elemento u le a ricostruire la violazione e rendere conto delle azioni intraprese per fronteggiarla. Nelle schermate seguen l’insieme dei campi compilabili da parte dell’utente in relazione alla singola segnalazione di violazione riscontrata.

20

(27)

(28)

Figura 3: Campi Registro IncidenƟ

22

(29)

9 ESEMPI DI VIOLAZIONI DI DATI PERSONALI

Gli esempi che seguono, riporta nel documento WP 250, rev.01 “Linee-guida sulla no ﬁca delle violazioni dei da personali ai sensi del regolamento (UE) 2016/679” - Gruppo di lavoro Ar colo 29 per la protezione dei Da , forniscono diversi scenari nei quali si stabilisce se è necessaria la no ﬁca all’autorità di controllo e all’interessato.

Esempio NoƟﬁca all’autorità di controllo

Comunicazione

all’interessato Note/Raccomandazioni

Un tolare del tra amento ha

memorizzato il backup di un archivio di da personali cri ografa su una chiave USB. La chiave viene rubata nel corso di un’eﬀrazione.

No. No.

Nella misura in cui i da sono cri ografa con un algoritmo, esistono backup dei da , la chiave unica non è compromessa e i da possono essere ripris na in tempo u le, questa violazione può non essere

no ﬁcata.

Tu avia, se in un secondo momento vi è compromissione, la no ﬁca diventa necessaria.

Un tolare del

tra amento ges sce un servizio online. A seguito di un a acco informa co a tale servizio, vengono so ra i da personali di persone ﬁsiche.

Il tolare del tra amento ha clien in un unico Stato membro.

Sì, segnalare all’autorità di controllo se vi sono probabili

conseguenze per le persone ﬁsiche.

Sì, segnalare alle persone ﬁsiche a seconda della natura dei da personali

interessa e se la gravità delle probabili

conseguenze per le persone è elevata.

Una breve interruzione di corrente della durata di alcuni minu nel call center di un tolare del tra amento impedisce ai clien di chiamare il

tolare e accedere alle registrazioni che li riguardano.

No. No.

Non si tra a di una violazione sogge a a obbligo di no ﬁca, ma di un evento che può essere registrato ai sensi dell'ar colo 33, comma 5.

Il tolare del

tra amento deve tenere registrazioni adeguate.

(30)

Comunicazione

Un tolare del

tra amento subisce un a acco di po

ransomware che provoca la cri ograﬁa di tu i da . Non sono disponibili backup e i da non possono essere ripris na . Da un'indagine emerge chiaramente che l’unica funzionalità del

ransomware era quella di cri ografare i da e nessun altro malware era presente nel sistema.

Sì, segnalare all’autorità di controllo, se vi sono probabili

conseguenze per le persone ﬁsiche in quanto si tra a di una perdita di disponibilità.

Sì, segnalare alle persone ﬁsiche, a seconda della natura dei da personali interessa e del possibile eﬀe o della mancanza di disponibilità dei da , nonché di altre probabili conseguenze.

Se fosse disponibile un backup e i da potessero essere ripris na in tempo u le, la

comunicazione /no ﬁca all’autorità di controllo o agli interessa non sarebbe necessaria in quanto non vi sarebbe alcuna perdita

permanente di disponibilità o di

riservatezza. Tu avia, se l'autorità di controllo viene a conoscenza dell'incidente per altre vie, può prendere in considerazione

un'indagine per valutare il rispe o ai requisi di sicurezza più generali di cui all'ar colo 32.

Una persona telefona al call center di una banca per segnalare una violazione dei da personali. La persona ha ricevuto l’estra o conto mensile di qualcun altro.

Il tolare del tra amento avvia una breve indagine (ossia un’indagine che viene completata entro 24 ore) e conclude con ragionevole certezza che si è veriﬁcata una violazione dei da personali e valuta se vi è un dife o sistemico tale da implicare il

coinvolgimento di altre persone.

Sì.

Solo le persone colpite ricevono la comunicazione, se vi è un rischio elevato ed è evidente che altri non sono sta colpi .

Se, dopo ulteriori indagini, si constata che sono coinvolte più persone, occorre informare l'autorità di controllo e il tolare del tra amento ado a le misure supplementari necessarie per informare le altre persone in caso di rischio elevato.

Un tolare del

tra amento ges sce un mercato online e ha clien in più Sta membri. Il mercato subisce un cybera acco e

Sì, segnalare all'autorità di controllo capoﬁla se si tra a di un tra amento transfrontaliero.

Sì, perché potrebbe comportare un rischio elevato.

Il tolare del

tra amento dovrebbe intervenire, ad esempio forzando la

reimpostazione della password degli account

24

(31)

Comunicazione

l'aggressore pubblica online nomi utente, password e cronologia degli acquis .

interessa , nonché ado ando altre misure per ridurre il rischio.

Il tolare del

tra amento dovrebbe inoltre prendere in considerazione altri obblighi di no ﬁca, ad esempio ai sensi della dire va NIS in qualità di fornitore di servizi digitali.

Una società di hos ng di si web che agisce in qualità di responsabile del tra amento iden ﬁca un errore nel codice che controlla l'autorizzazione utente. Il dife o fa sì che ogni utente possa accedere ai de agli dell'account di qualsiasi altro utente.

In qualità di responsabile del tra amento, la società di hos ng di si web deve informare i suoi clien interessa (i

tolari del

tra amento) senza ingius ﬁcato ritardo.

Supponendo che la società abbia condo o una propria indagine, i

tolari del tra amento interessa

dovrebbero sapere con ragionevole certezza se hanno subito una

violazione e quindi è probabile che siano considera come “a conoscenza della violazione" dal momento in cui vengono informa dalla società di hos ng

(responsabile del tra amento). Il

tolare del tra amento deve quindi no ﬁcare la violazione

Se è improbabile che vi sia un rischio elevato per le persone ﬁsiche, non è necessario inviare loro una comunicazione.

La società di hos ng di si web (responsabile del tra amento) deve valutare eventuali altri obblighi di no ﬁca (ad esempio nell'ambito della dire va NIS in qualità di fornitore di servizi digitali).

Se non vi sono prove che tale vulnerabilità sia stata sfru ata con nessuno dei rispe vi

tolari del tra amento, può non essersi

veriﬁcata una violazione sogge a a no ﬁca, ma è probabile che la

violazione debba essere registrata o che si tra di un caso di non conformità ai sensi dell'ar colo 32.

(32)

Comunicazione

all’interessato Note/Raccomandazioni controllo.

Le cartelle cliniche di un ospedale non sono disponibili per 30 ore a causa di un cyber a acco.

Sì, l'ospedale è obbligato a no ﬁcare la violazione perché potrebbe esservi un rischio elevato per il benessere e la privacy del paziente.

Sì, segnalare alle persone colpite.

I da personali di un gran numero di studen vengono invia per errore alla mailing list sbagliata con più di 1.000 des natari.

Sì, no ﬁcare la violazione all'autorità di controllo.

Sì, comunicare la violazione alle persone a seconda della portata e del

po di da

personali coinvol e della gravità delle possibili

conseguenze.

Una e-mail di marke ng dire o viene inviata ai des natari nei campi "a:"

o "cc:", consentendo così a ciascun des natario di visualizzare l'indirizzo e- mail di altri des natari.

Sì, la no ﬁca all'autorità di controllo può essere obbligatoria se sono coinvolte molte persone, se vengono rivela da sensibili (ad es. una mailing list di uno

psicoterapeuta) o se altri fa ori

presentano rischi eleva (ad es. la mail con ene le password iniziali).

Sì, comunicare la violazione alle persone a seconda della portata e del

po di da

personali coinvol e della gravità delle possibili

conseguenze.

La no ﬁca può non essere necessaria se non vengono rivela da sensibili e se viene rivelato solo un numero limitato di indirizzi e- mail.

Tabella 12: Esempi di violazioni

Per consen re una migliore le ura e consultazione del processo descri o in questo documento, viene riportata una rappresentazione graﬁca dal tolo “Processo di gesƟone di evenƟ anomali / incidenƟ”.

26