Si segnala che il modello per la segnalazione al Garante della violazione di dati personali che si verificano nelle banche dati della PA, ai sensi dell'art. 4, comma 1, lett. p) del Codice, evidenzia, in particolare, quanto segue:

• Secondo quanto prescritto dal Provvedimento del 2 luglio 2015, le amministrazioni pubbliche sono tenute a comunicare al Garante all'indirizzo: databreach.pa@pec.gpdp.it le violazioni dei dati personali (data breach) che si verificano nell’ambito delle banche dati di cui sono titolari;

• La comunicazione deve essere effettuata entro 48 ore dalla conoscenza del fatto, compilando il modulo che segue.

VIOLAZIONE DI DATI PERSONALI

MODELLO DI COMUNICAZIONE AL GARANTE

Amministrazione titolare del trattamento

Denominazione o ragione sociale: xxx, Provincia. xxx, Comune: xxx, Cap: xxx, Indirizzo: xxx, Nome persona fisica addetta alla comunicazione: xxx, Cognome persona fisica addetta alla comunicazione: xxx, Funzione rivestita: xxx, Indirizzo PEC e/o EMAIL per eventuali comunicazioni: xxx, Recapito telefonico per eventuali comunicazioni: xxx, Eventuali Contatti (altre informazioni): xxx

Allegato 1

Denominazione della/e banca/banche dati oggetto di data breach e breve descrizione della violazione dei dati personali ivi trattati: xxx

Quando si e' verificata la violazione dei dati personali trattati nell’ambito della banca dati?

• Il: xxx

• Tra il: xxx, e il: xxx

• In un tempo non ancora determinato

• E' possibile che sia ancora in corso

Dove e' avvenuta la violazione dei dati? (Specificare se sia avvenuta a seguito di smarrimento di dispositivi o di supporti portatili): xxx

Modalita' di esposizione al rischio

Tipo di violazione

• Lettura (presumibilmente i dati non sono stati copiati)

• Copia (i dati sono ancora presenti sui sistemi del titolare)

• Alterazione (i dati sono presenti sui sistemi ma sono stati alterati)

• Cancellazione (i dati non sono piu' sui sistemi del titolare e non li ha neppure l'autore della violazione)

• Furto (i dati non sono piu' sui sistemi del titolare e li ha l'autore della violazione)

• Altro: xxx

Dispositivo oggetto della violazione

• Computer

• Rete

• Dispositivo mobile

• File o parte di un file

• Strumento di backup

• Documento cartaceo

• Altro: xxx

Sintetica descrizione dei sistemi di elaborazione o di memorizzazione dei dati coinvolti, con indicazione della loro ubicazione: xxx

Quante persone sono state colpite dalla violazione dei dati personali trattati nell’ambito della banca dati?

• N. xxx persone

• Circa xxx persone

• Un numero (ancora) sconosciuto di persone

Che tipo di dati sono oggetto di violazione?

• Dati anagrafici/codice fiscale

• Dati di accesso e di identificazione (user name, password, customer ID, altro)

• Dati relativi a minori

• Dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale

• Dati personali idonei a rivelare lo stato di salute e la vita sessuale

• Dati giudiziari

• Copia per immagine su supporto informatico di documenti analogici

• Ancora sconosciuto

• Altro: xxx

Livello di gravita' della violazione dei dati personali trattati nell’ambito della banca dati (secondo le valutazioni del titolare)?

• Basso/trascurabile

• Medio

• Alto

• Molto alto

Misure tecniche e organizzative applicate ai dati oggetto di violazione: xxx

La violazione e' stata comunicata anche agli interessati?

• Si', e' stata comunicata il xxx

• No, perche' xxx

Qual e' il contenuto della comunicazione resa agli interessati? xxx

Quali misure tecnologiche e organizzative sono state assunte per contenere la violazione dei dati e prevenire simili violazioni future? xxx