Il data breach è la violazione di sicurezza dei dati personali che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o, comunque, trattati dall'Istituto Tecnico Grazia Deledda (art. 4 par. 1 n. 12 GDPR).

Le violazioni di sicurezza possono essere classificate in base ai seguenti tre principi relativi alla sicurezza delle informazioni:

• violazione della riservatezza o della confidenzialità: si verifica in caso di divulgazione o accesso non autorizzato o accidentale di dati personali;

• violazione dell’integrità: si verifica in caso di modifica non autorizzata o accidentale di dati personali;

• violazione della disponibilità: si verifica in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali.

Alcuni esempi di data breach:

• perdita o furto di dispositivi informatici (es. pc, computer portatili, chiavetta usb, hard disk esterno, smartphone, ecc) nei quali i dati personali sono memorizzati;

• perdita o furto di documenti cartacei contenenti dati personali;

• accesso o acquisizione di dati personali da parte di terzi non autorizzati, compreso il furto di credenziali di autenticazione anche a seguito di un attacco di phishing;

• perdita o distruzione di dati personali a causa di incidenti, eventi avversi, allagamenti, incendi o altre calamità;

• violazione di misure di sicurezza fisica (ad esempio: forzatura di porte o finestre di stanze di sicurezza o archivi);

• impossibilità di accedere ai dati personali per cause accidentali o per attacchi esterni, quali virus, malware, o altri attacchi al sistema informatico o alla rete aziendale;

• i documenti contenenti dati personali risultano alterati rispetto agli originali senza autorizzazione rilasciata dal relativo proprietario,;

• accesso ad informazioni riservate da parte di utenti non autorizzati;

• divulgazione di dati personali non autorizzata (anche involontaria) a mailing list;

• eliminazione accidentale o pubblicazione indesiderata su internet di un database o di dati personali.

Il soggetto (studente, dipendente, fornitore, cittadino) qualora riscontri una possibile violazione di dati personali (concreta, potenziale o sospetta) riferiti all'Istituto Tecnico Grazia Deledda dovrà segnalare l’evento senza ritardo mediante il modulo sottostante.

Il modulo, una volta compilato firmato e scansionato assieme a un documento d'identità, andrà inviato via mail al Titolare lete010002@istruzione.it e al DPO gdpr@educonsulting.it oppure via pec al Titolare lete010002@pec.istruzione.it e al DPO educonsulting@pec.it , avendo cura di specificare i propri dati di contatto e dichiarandosi disponibile a collaborare con il Titolare e il DPO nelle attività di verifica.

La segnalazione avvierà un'indagine con il fine di accertare la natura dell’incidente, la gravità dell'evento e gli eventuali rischi (per i soggetti interessati) secondo modalità e nel rispetto delle tempistiche stabilite dal GDPR.

A seguito delle operazioni di analisi della violazione e di valutazione dei rischi (per i soggetti interessati), il Titolare, di concerto con il DPO, stabilirà se i fatti riportati costituiscano effettivamente una violazione dei dati personali e, in caso positivo, provvederà alla notifica al Garante Privacy.