L’articolo 4 del GDPR definisce la violazione dei dati personali (“data breach”) come “la violazione di sicurezza che comporta accidentalmente o in modo illecito distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trasmessi, conservati o comunque trattati”.
Ma quali possono essere le ragioni per cui si verifica una violazione?
- Divulgazione di dati a persone non autorizzate
- Perdita o furto di dati o di strumenti nei quali i dati sono memorizzati
- Perdita o furto di documenti cartacei
- Illecito da parte di un dipendente
- Accesso abusivo
- Casi di pirateria informatica
- Banche dati alterate o distrutte senza autorizzazione rilasciata dal relativo “owner”
- Attacchi al sistema informatico o alla rete della scuola
- Violazione di misure di sicurezza fisica (es. forzatura di porte o finestre di stanze di sicurezza o archivi contenenti informazioni riservate)
- Smarrimento di devices o attrezzature informatiche scolastiche
- Invio di email contenenti dati personali e/o particolari a erroneo destinatario
Quali sono gli adempimenti prescritti dal GDPR in caso di violazione dei dati?
Qualora il titolare ritenga che una violazione possa arrecare seri rischi per i diritti e le libertà degli interessati, deve notificarla all’autorità Garante e alle persone coinvolte entro 72 ore.
La comunicazione rivolta agli utenti deve essere redatta per iscritto, con linguaggio chiaro e semplice.
In ogni caso, qualora si verifichi una concreta, sospetta e/o presunta violazione, la stessa deve essere affrontata immediatamente al fine di minimizzarne l’impatto.
Ai sensi dell’art. 33 del GDPR, il dirigente deve documentare qualsiasi “data breach” curando l’aggiornamento del registro delle violazioni.
Dovrebbe inoltre predisporre adeguati piani di reazione e opportuni metodi per l’accertamento delle violazioni, atti a prevedere i comportamenti da adottare in caso di “data breach”, e consegnarli a tutto il personale.
E’ infine importante ricordare come, in caso di mancato rispetto delle procedure di notifica di una violazione, possano essere applicate sanzioni amministrative fino a 10.000.000 di euro.