Procedura Data Breach
ai sensi art. 33 del Regolamento UE 679/16

Data – 9/1/2019
Edizione – 1a Edizione
Revisione
Descrizione Revisione
Preparata da – DPO (Avv. Papa Abdoulaye Mbodj)
Rivista da
Approvato da – Consiglio di Amministrazione e Legale Rappresentante il 17/01/2019

Scarica qui il modulo per la Procedura Data Breach

Azienda Speciale consortile del lodigiano per i servizi alla persona

INDICE
1. Obiettivi
2. Campo di applicazione
3. Descrizione della procedura
3.1 Invio segnalazione
3.1.1 Oggetto delle segnalazioni
3.1.2 Contenuto della segnalazione
3.1.3 Modalità di comunicazione delle segnalazioni
3.2 Attività di verifica del contenuto della segnalazione
3.2.1 Atti penalmente rilevanti
3.2.2 Segnalazione di violazioni non costituenti reato
3.3 Adempimenti successivi alla verifica
3.4 Reportistica al Legale rappresentante
4. Protezione dati e archiviazione documenti
5. Diffusione della procedura e training
6. Misure di protezione nei confronti del segnalante
7. Responsabilità del segnalante
8. Riferimenti
8.1 Riferimenti interni
8.2 Riferimenti esterni
9. Definizioni
10. Allegati

1. Obiettivi
L’obiettivo della presente procedura è la descrizione delle modalità di comunicazione e gestione delle segnalazioni di presunte condotte illecite, irregolari in ambito di tutela dei dati personali presso Azienda Speciale Consortile del Lodigiano per i Servizi alla Persona (di seguito “l’Azienda”).

2. Campo di applicazione
La procedura è destinata all’Azienda ed in particolare ai dipendenti, ai collaboratori, agli utenti e ai fornitori.

3. Descrizione della procedura
3.1 Invio segnalazione
Ciascun soggetto che viene a conoscenza di presunte violazioni di dati personali è tenuto a segnalare tali fatti secondo le modalità dettagliate al paragrafo 3.1.3. Le segnalazioni perverranno direttamente e unicamente al Data Protection Officer (Responsabile Protezione Dati, “DPO”), che è l’Organo di legge ai sensi articoli 37-38 e 39 del Regolamento UE 679/16 deputato a vigilare e ad inoltrare le segnalazioni al Garante della privacy entro 72 ore dalla conoscenza della presunta violazione.

3.1.1 Oggetto delle segnalazioni
Costituiscono oggetto di segnalazione i comportamenti, le ipotesi di illecito o di reato e le altre irregolarità nell’ambito del trattamento dei dati personali.
Non esiste una lista tassativa di fattispecie integranti ipotesi di reati o irregolarità che possono costituire l’oggetto della segnalazione.
In generale, la segnalazione può riguardare azioni od omissioni, commesse o tentate:
– In violazione del D.Lgs. 196/03 s.m.i. (novellato dal D.Lgs. 101/18) e del Regolamento UE 679/16;
– fattispecie di reato previste dal codice penale in ambito di reati informatici o tutela dei dati personali o da leggi speciali (a titolo esemplificativo legge sulla tutela del diritto d’autore e della privacy per le fotografie di terzi soggetti che non hanno prestato idoneo consenso).

3.1.2 Contenuto della segnalazione
Il segnalante può utilizzare per la propria segnalazione l’apposito “Modulo per la segnalazione di condotte illecite”, (allegato A della presente procedura).
La segnalazione può essere trasmessa anche senza l’utilizzo del Modulo purché il contenuto rispecchi gli elementi indicati sul Modulo.
Ai fini di una corretta analisi della segnalazione, è necessario raccogliere fatti concreti prima di segnalare qualsiasi tipo di illecito ed irregolarità in ambito di tutela dei dati personali. A tal fine le segnalazioni rivolte al DPO devono essere fondate su elementi di fatto precisi, circonstanziati e concordanti e contenere i seguenti elementi:
– Le generalità del soggetto che effettua la segnalazione;
– Una descrizione chiara e completa dei fatti oggetto della segnalazione;
– Le circostanze di tempo e di luogo in cui sono stati commessi i fatti oggetto della segnalazione;
– Le generalità o altri elementi che consentano di identificare il soggetto/i che ha/hanno posto in essere i fatti segnalati;
– L’indicazione di eventuali altri soggetti che possono riferire sui fatti oggetto di segnalazione;
– L’indicazione di eventuali documenti che possono confermare la fondatezza di tali fatti;
– Ogni altra informazione che possa fornire un utile riscontro circa la sussistenza dei fatti segnalati.

La segnalazione deve contenere l’identità del soggetto segnalante. Le segnalazioni anonime verranno prese in considerazione solo se relative a fatti di particolare gravità e con un contenuto che risulti adeguatamente dettagliato e circostanziato tale da far emergere fatti e situazioni relazionabili a contesti determinati.

3.1.3 Modalità di comunicazione delle segnalazioni
Nella comunicazione della segnalazione il segnalante può scegliere tra diverse opzioni:

Mezzo di comunicazione
a) Per iscritto ad un indirizzo e-mail
b) Per iscritto a mezzo del servizio postale o posta interna
c) Vis à vis con il DPO

a) Tramite e-mail
L’e-mail contenente la segnalazione deve essere inviata all’indirizzo dpo@consorziolodigiano.it accessibile unicamente dal DPO.
b) Tramite servizio postale o posta interna
In tal caso, per poter garantire la riservatezza, è necessario che la segnalazione venga inserita in una busta chiusa, che rechi all’esterno la dicitura “riservata personale” e indichi il seguente destinatario e indirizzo:
Al DPO di Azienda Speciale Consortile del Lodigiano per i Servizi alla Persona
Via Zalli, 5
26900 – Lodi

La lettera può anche essere consegnata a mano alla persona sopra indicata.
c) Vis à vis
Chiunque voglia invece effettuare una segnalazione verbale, può farlo richiedendo un apposito incontro col DPO presso la sede dell’Azienda. Dell’incontro verrà stilato apposito verbale. Le segnalazioni verbali saranno poi esposte per iscritto dal ricevente con tutti i dettagli possibili ed utili sull’apposito “Modulo per la segnalazione data breach”.
3.2 Attività di verifica del contenuto della segnalazione
Il DPO, all’atto del ricevimento della segnalazione, verifica preliminarmente il contenuto della segnalazione, accertando innanzitutto che la stessa risulti circostanziata ed in particolare contenente gli elementi di cui al precedente punto 3.1.2 “contenuto della segnalazione”.
Dopodiché Il DPO verifica la presenza nella segnalazione di elementi fondati che integrano la violazione ai fini del data breach.

3.2.1 Atti penalmente rilevanti
Nel caso vi siano gli estremi della responsabilità penale, il DPO, sotto la propria responsabilità, costituisce un team di esperti, individuati all’interno dell’Azienda in base alle aree di competenza necessarie, col compito di verificare la fondatezza delle circostanze rappresentate nella segnalazione.
Il team effettuerà quindi ogni attività che il DPO riterrà opportuna, inclusa l’audizione personale del segnalante e di eventuali altri soggetti che possono riferire sui fatti segnalati, nel rispetto dei principi di imparzialità e riservatezza.
Al termine delle attività di verifica, il team di lavoro comunicherà i risultati delle ricerche svolte al DPO, il quale avrà la responsabilità di compilare un report ad hoc (vedi allegato B della presente procedura “Report di verifica della segnalazione”). Nel report saranno incluse le misure correttive necessarie da adottare e si procederà quindi alla segnalazione al Garante della Privacy nel termine di 72 ore.

3.2.2 Segnalazione di violazioni non costituenti reato
Nel caso di segnalazioni che non integrino reati, il DPO effettuerà gli opportuni approfondimenti prima di effettuare la segnalazione al Garante della privacy nel termine di 72 ore.

3.3 Adempimenti successivi alla verifica
Nel caso in cui, all’esito della verifica, la segnalazione risulti fondata, oltre al Garante della privacy il DPO informa il legale rappresentante il quale potrà procedere:
– All’adozione dei provvedimenti di competenza, inclusi i provvedimenti disciplinari;
– A presentare denuncia all’Autorità Giudiziaria competente qualora ne sussistano i presupposti di legge.

3.4 Reportistica al Legale rappresentante
Il DPO dovrà periodicamente (su base annuale) presentare al legale rappresentante e al Consiglio di Amministrazione un report contenente l’elenco delle segnalazioni ricevute, la natura delle stesse e lo stato di avanzamento delle relative verifiche, nonché le decisioni prese al termine delle stesse.

4. Archiviazione documenti
Tutta la documentazione relativa alle segnalazioni deve essere archiviata dal DPO. La documentazione include almeno, laddove disponibili, il nome, ruolo del Segnalante, i dettagli del segnalato, le dichiarazioni, le attività compiute, l’esito delle attività di verifica e le azioni intraprese.

5. Diffusione della procedura e training
Al fine di divulgare in modo capillare il contenuto della presente procedura al personale, verranno organizzate apposite sessioni di formazione.

6. Misure di protezione nei confronti del segnalante
Secondo quanto previsto dalla legge nazionale (L. 179/17) “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato” (whistleblowing), l’Azienda garantisce la riservatezza dell’identità del segnalante e la tutela dello stesso nelle attività di gestione della segnalazione.
L’Azienda, come previsto dalla normativa nazionale, vieta inoltre qualsiasi atto di ritorsione o discriminazione, diretto o indiretto, nei confronti del segnalante per motivi collegati, direttamente o indirettamente, alla segnalazione.
Nel caso si tratti di un collaboratore o dipendente, ovvero personale con contratto di lavoro parasubordinato o subordinato e che, in buona fede, e nell’interesse dell’integrità dell’Azienda, segnala presunte condotte illecite, rilevanti e fondate su elementi precisi e concordanti, di cui è venuto a conoscenza in ragione del proprio rapporto di lavoro, il dipendente non può essere sanzionato, demansionato, licenziato, trasferito, o sottoposto ad altra misura ritorsiva organizzativa avente effetti negativi, diretti o indiretti, sulle condizioni di lavoro determinata dalla segnalazione.
Il DPO nel caso in cui rilevi l’esistenza di misure ritenute ritorsive ne chiede l’immediata rimozione, proponendo le attività e gli eventuali provvedimenti necessari.

7. Responsabilità del segnalante
La presente procedura lascia impregiudicata la responsabilità penale e disciplinare del segnalante nell’ipotesi di segnalazione calunniosa o diffamatoria ai sensi del codice penale e dell’art. 2043 del codice civile. Sono altresì fonte di responsabilità, in sede disciplinare e nelle altre competenti sedi, eventuali forme di abuso della presente procedura, quali le segnalazioni manifestamente opportunistiche e/o effettuate al solo scopo di danneggiare il denunciato o altri soggetti, e ogni altra ipotesi di utilizzo improprio o di intenzionale strumentalizzazione dell’Azienda oggetto della presente procedura.
Nel caso in cui al termine dell’analisi la segnalazione si rivelasse pretestuosa o intenzionalmente falsa saranno presi provvedimenti disciplinari nei confronti di chi ha avanzato la segnalazione, e, qualora configurasse reato, sarà inoltre fatto ricorso presso la competente Autorità Giudiziaria.

8. Riferimenti
8.1 Riferimenti interni
– D.Lgs. 196/03 s.m.i. (novellato dal D.Lgs. 101/18);

8.2 Riferimenti esterni
– Regolamento UE 679/16 in ambito di tutela dei dati personali e della riservatezza;
– D.Lgs. 231 del 2001 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”;
– L. 179/17 in ambito di whistleblowing.

9. Definizioni
1. DPO: Responsabile Protezione Dati ai sensi art. 37 del Regolamento UE 679/16.
2. Segnalante: Soggetto che riferisce presunte condotte illecite o irregolarità di cui sia venuto a conoscenza in ragione del proprio rapporto con l’Azienda;
3. Data Breach: Procedura per la segnalazione di violazioni dei dati personali.

10. Allegati
Allegato A: “Modulo per la segnalazione di condotte illecite”;
Allegato B: “Report di verifica della segnalazione”.