Una violazione di dati personali è un incidente nella sicurezza dei sistemi informatici o nei trattamenti dei dati personali che comporta, accidentalmente o volutamente, l’accesso, la distruzione, la perdita, la modifica, la divulgazione non autorizzata di dati personali conservati, trasmessi o comunque trattati dall’Università.
Le violazioni possono verificarsi per un ampio numero di ragioni, che compromettono la riservatezza, l'integrità o la disponibilità dei dati personali. Per saperne di più clicca qui.
Esempi di situazioni che devono essere segnalate all’Ateneo, per consentirne la valutazione e, se del caso, evitarne il ripetersi e limitare i danni, sono:
- "abboccare" ad un phishing delle nostre credenziali di Ateneo (o di un altro sito, dove però avevamo scelto la stessa password);
- trovare on line documenti, riconducibili al contesto universitario, contenenti dati personali che non dovrebbero essere pubblici;
- smarrire il cellulare, da cui è possibile accedere alla posta elettronica o al protocollo di Ateneo;
- comprendere che un sistema informatico tratta dati eccedenti gli scopi ai quali è finalizzato;
- inviare o ricevere per errore una email con informazioni personali riservate;
- conoscere prassi scorrette di utilizzo e conservazione di documenti cartacei che consentono a persone non autorizzate di conoscerne il contenuto …
Cosa fare?
In caso di sospetta e/o avvenuta violazione dei dati personali, è di estrema importanza assicurare che la stessa venga affrontata immediatamente e correttamente dalle strutture competenti di Unipg. Chi ne sia venuto a conoscenza è pertanto tenuto a comunicare all'Ateneo alcune informazioni relative all'accaduto.
In caso di sospetto e/o avvenuto accesso non autorizzato alla propria casella di posta istituzionale o ad altri servizi autenticati di Ateneo :
- cambiare sin da subito la password utilizzata per l’accesso ai servizi, anche su siti non universitari nei quali si sia impropriamente utilizzata la stessa password;
- effettuare la segnalazione all’indirizzo https://www.helpdesk.unipg.it/, scegliendo "Apri un nuovo Ticket" e selezionando, come Argomento, "Violazione dei dati personali" o, in alternativa, compilare il modello “notifica violazione delle credenziali d'accesso ai servizi d'ateneo” e inviarlo quanto prima a comunicazione.violazione@unipg.it.
Per altre violazioni non ricomprese al punto precedente, anche presunte, la segnalazione può essere effettuata mediante il modello più generico di notifica violazione dati personali, che va compilato e inviato a comunicazione.violazione@unipg.it il più tempestivamente possibile.
In caso di difficoltà all’uso dell’helpdesk o del modello indicato, è importante far pervenire comunque all’indirizzo e-mail comunicazione.violazione@unipg.it almeno un minimo di elementi utili alla comprensione del problema occorso, scrivendole nel corpo del messaggio.
L’indirizzo email del mittente potrà essere utilizzato dall’Università per richiedere ulteriori informazioni sull’evento segnalato.
Quando sussiste una violazione dei dati personali?
Eventi che comportano una o più violazioni, oltre quelli inizialmente riportati, sono ad esempio:
-
la perdita o il furto di dispositivi (pc portatili, smartphone, chiavi usb, …...) nei quali sono memorizzati dati personali di lavoro;
-
l'attivazione di Virus, malware o di altri attacchi al proprio computer di lavoro, al sistema informatico o alla rete universitaria;
-
la pubblicazione on line eccedente gli scopi perseguiti o divulgazione di dati confidenziali a persone non autorizzate;
-
la perdita o il furto di documenti cartacei contenenti dati personali;
-
l'accesso abusivo o comunque non autorizzato ai sistemi informatici o a settori di informazioni in essi presenti;
-
la distruzione, copia o alterazione di parti di banche dati utilizzate in ambito lavorativo senza averne l'autorizzazione;
-
la violazione di misure di sicurezza organizzativa o fisica, volte a proteggere archivi contenenti informazioni riservate;
-
la perdita di sicurezza delle credenziali d’accesso ai servizi universitari, per conoscibilità da parte di terzi.
E se sono stati violati i miei dati?
Quando da una violazione è probabile che possano conseguire rischi per i diritti e le libertà di una o più persone fisiche, l’Università ha l'obbligo di notificare la violazione all’autorità Garante, entro 72h solari da quando ne è venuto a conoscenza. L'Università è tenuta ad informare anche l'interessato, qualora da tale violazione possa derivare un rischio elevato per i suoi diritti e libertà.