Linee guida Data Breach

Linee guida in caso di violazione dei dati personali (data breach) nell'Azienda Ospedaliero-Universitaria di Ferrara

 

  1. COSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?

Un data breach è “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (art. 4 punto 12 Regolamento UE 2016/679RGDP). 

In particolare, si ha “distruzione” dei dati quando gli stessi non esistono più o non esistono più in una forma che sia di qualche utilità per l’Azienda.

Si verifica un “danno” quando i dati personali sono stati modificati, corrotti o non sono più completi, mentre si verifica la “perdita” quando gli stessi, pur ancora esistenti, non sono più accessibili da parte dell’Azienda o dei suoi operatori, che potrebbe averne perso il controllo o l’accesso, oppure non averli più in possesso.

Infine, un trattamento “non autorizzato” o illecito può includere la divulgazione di dati personali a (o l’accesso da parte di) destinatari non autorizzati a ricevere (o ad accedere a) i dati oppure qualsiasi altra forma di trattamento in violazione del regolamento. 

Alcuni possibili esempi: 

- l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

- l’emissione di documenti (referti, certificati, prenotazioni, ecc) a soggetti diversi dal reale destinatario (c.d. “scambio di identità”) a prescindere dal fatto che vi sia stata una violazione della riservatezza;

- il furto o la perdita di dispositivi informatici contenenti dati personali (cd, dvd, personal computer, tablet, chiavette, smartphone aziendali o personali, ecc..);

- la deliberata alterazione di dati personali da parte del personale o da parte di terzi;

- l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; 

- la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi (es. interruzione di corrente), incendi, oppure, in caso di dati crittografati in maniera sicura, quando la chiave di decifratura viene persa, o altre calamità;

- la divulgazione non autorizzata dei dati personali.

NON costituisce violazione dei dati personali:

-l’indisponibilità dei dati personali dovuta allo svolgimento di un intervento di manutenzione programmata del sistema.

 

  1. COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?

In caso di “violazione dei dati” è necessario procedere ai seguenti adempimenti:

  • l’evento deve essere notificato al Garante per la protezione dei dati;
  • l’evento deve essere comunicato agli interessati i cui dati sono stati “violati”;
  • l’evento deve essere annotato nel Registro Data Breach.

Al fine di consentire all’Azienda Ospedaliero-Universitaria di Ferrara di procedere ai predetti adempimenti, il primo dei quali deve essere effettuato entro 72 ore dal momento in cui il suo personale ne è venuto a conoscenza, è necessario che il personale che si avvede dell’evento che ha colpito i dati personali rispetti i seguenti passaggi:

  • Immediatamente – o, al più tardi, entro 3 ore dalla scoperta della violazione – il personale deve darne notizia al Dirigente della struttura cui afferisce o, comunque, al soggetto facente parte della stessa struttura che sia stato espressamente individuato quale Referente interno del trattamento dei dati (entrambi i soggetti rivestono il ruolo di “Referente”); nel momento in cui comunica l’evento al Referente, il personale procederà a descrivere adeguatamente la dinamica dell’accaduto e a indicare gli eventuali soggetti coinvolti (es. quante chiavette sono andate perdute, quanti referti sono stati distrutti o rubati, quali dati erano registrati sui supporti, a quante persone i dati erano riferiti, chi è il responsabile dello smarrimento, chi sono gli autori dell’effrazione, cosa è accaduto dopo l’apertura di un allegato contente un virus informatico ecc.); è senz’altro possibile che il Referente deleghi dette attività al personale specificamente individuato in un apposito atto interno comunicato formalmente (via Babel), al Direttore Generale e, per conoscenza, al DPO e al Dirigente ICT, così come è senz’altro possibile che il Referente deleghi la compilazione del modulo di cui al capoverso seguente al personale che ha segnalato la violazione;
  • Il Referente, acquisita dal personale ogni informazione utile sulla genesi della violazione, compilerà per quanto a sua conoscenza l’apposito modulo predisposto dal Garante, già compilato nella parti standard e lo trasmetterà (nello stesso formato, quindi non scansionato bensì salvato con un nome diverso da quello originario, così che i destinatari possano apportare le modifiche ritenute necessarie) al Dirigente ICT (data-breach@ospfe.it) e al DPO (dpo@ospfe.it);
  • Il Dirigente ICT e il DPO, effettuata ogni valutazione del caso, daranno ogni opportuna indicazione al Referente ai fini della corretta compilazione del modulo, ferma la possibilità per il Dirigente ICT, previo accordo con il DPO, di avocare a sé il processo di compilazione;
  • In accordo col DPO, il Referente ICT procederà alla notifica della violazione al Garante, trasmettendo il modulo compilato via PEC secondo la procedura formalizzata;
  • il Referente consulterà il DPO e valuterà se, sulla base della gravità del rischio per i diritti e le libertà degli interessati coinvolti nella violazione, si rende necessario procedere alla comunicazione della violazione agli interessati e, se sì, in quali forme (es. tramite racc. A/R, via mail, a mezzo pubblicazione su sito web aziendale ecc.). L’eventuale comunicazione sarà a cura del Referente o del suo delegato.
  • il Referente, anche nel caso in cui non ricorrano i presupposti per la notifica della violazione al Garante e/o agli interessati, registrerà l’evento sul Registro delle violazioni istituito dal Referente ICT;
  • Il Referente, previa consultazione del DPO e degli altri Dirigenti competenti, valuta se si rende necessario segnalare la violazione a organi ulteriori rispetto al Garante (es. CERT-PA, CNAIPC, Gestore di Identità Digitale e Agid) e ne dà notizia al DG.

Resta inteso che, in esito alla notifica della violazione, il personale potrà essere coinvolto nel processo di miglioramento delle procedure aziendali: se richiesto, il personale sarà pertanto tenuto a collaborare nelle attività promosse dal Referente, dal Referente ICT e dal DPO e finalizzate a individuare le criticità e le eventuali prassi non corrette o, comunque, potenzialmente in grado di mettere a rischio i dati personali trattati dall’Azienda e volte a evitare che la violazione possa ripetersi in futuro.

Si evidenzia che le operazioni da svolgere in presenza di una violazione di dati personali sono puntualmente descritte nel regolamento interno “Procedura per la gestione dei casi di violazione dei dati personali (c.d. Data Breach)”, disponibile nella sezione “Privacy” del sito aziendale.

Si tratta di regole da osservare con la massima diligenza e scrupolosità e che si rivelano necessarie per assicurare una gestione celere, trasparente e ottimale delle violazioni. In questo conteso è di fondamentale importanza che il personale, non appena intraveda gli estremi di evento che possa costituire una violazione di dati personali, nel senso sopra descritto, lo segnali immediatamente al soggetto preposto, giacché solo un intervento tempestivo e sinergico da parte di tutti gli attori coinvolti permette di rispettare lo stringente limite temporale di 72 ore dall’avvenuta conoscenza della violazione prescritto per la notifica dell’evento al Garante.

E’ buona norma, al di là dei processi correttivi che potranno essere attuati in seguito alla violazione di dati personali per evitare che l’evento si ripeta, che il personale si attenga a quanto contenuto nella lettera di autorizzazione al trattamento e alle istruzioni per il trattamento ivi riportate.

L’osservanza delle indicazioni fornite al personale e il rispetto, nello svolgimento delle normali mansioni affidate dall’Azienda, dell’ambito di trattamento autorizzato, limiteranno, di per sé soli, la probabilità e il rischio che la violazione si verifichi.

 

  1. CONSEGUENZE DELL’OMESSA NOTIFICA AL GARANTE (art. 33 RGPD) O ALL’INTERESSATO (art. 34 RGPD) O A ENTRAMBI – LE AZIONI DEL GARANTE

Si segnala che in caso di omissione anche solo di uno dei predetti adempimenti il Garante potrà applicare all’Azienda una sanzione amministrativa, anche particolarmente elevata.

Si segnala a tutto il personale la necessità di procedere tempestivamente agli adempimenti sopra descritti e che, in mancanza, è prevista specifica responsabilità disciplinare e/o contabile.