Quindicenne hacker modifica i voti sul registro: si tratta di un data breach. Cosa rischia la scuola
E’ notizia di questi giorni la vicenda di uno studente di 15 anni che ha violato il registro elettronico di una scuola, modificando i voti nel registro elettronico della scuola. Un’azione che non può essere annoverata tra le “marachelle”, dalle forze dell’ordine che hanno indagato sono state ritenute gravi. Anche perché il giovane non si sarebbe limitato a trasformare i 5 in 6: avrebbe persino manipolato le rotte delle petroliere nel Mediterraneo, un fatto che ha destato forte preoccupazione.
L’evento è riconducibile ad una violazione di un sistema informatico che ha permesso l’accesso a dati che sono stati, nel caso, modificati. Non sappiamo che l’intromissione all’interno della piattaforma del registro elettronico in questione abbia portato ad altre azioni legate ai dati conservati nei server.
Cos’è un Data Breach
Si riferisce ad una violazione dei dati attraverso un sistema informatico, come, nel caso specifico: un accesso non autorizzato che consente ad un soggetto esterno o interno di accedere a dati senza permesso e di modificarli.
Cosa deve fare una scuola che subisce un Data Breach
Il Ministero dell’Istruzione, con una nota del 2 agosto 2023, (qui una guida di OrizzonteScuolaPLUS) ha fornito indicazioni sugli obblighi di notifica in caso di violazioni di dati personali (data breach), in conformità con le Linee Guida n. 9/2022 del Comitato Europeo per la Protezione dei Dati (EDPB). Questo documento è destinato alle amministrazioni scolastiche e offre chiarimenti su vari aspetti rilevanti.
Tempistiche per la notifica dei data breach
La nota chiarisce che:
- l’obbligo di notifica al Garante per la protezione dei dati personali decorre dal momento in cui il Titolare viene a conoscenza della violazione;
- la notifica deve essere inviata entro 72 ore da tale momento;
- vengono forniti esempi utili per individuare quando il Titolare può essere considerato consapevole della violazione.
Compiti del responsabile del trattamento
Il Responsabile del trattamento è tenuto a:
- notificare immediatamente al Titolare qualsiasi violazione di cui venga a conoscenza;
- non effettuare valutazioni sul rischio per i diritti e le libertà degli interessati, compito che spetta esclusivamente al Titolare.
La valutazione del rischio
Il Titolare deve analizzare e classificare ogni violazione per determinare se questa comporti un rischio per i diritti e le libertà degli interessati. La valutazione tiene conto di:
- tipo di violazione;
- natura e quantità dei dati compromessi;
- possibilità per soggetti terzi di identificare gli interessati;
- potenziali conseguenze per gli interessati.
In base ai risultati, il Titolare dovrà:
- notificare la violazione al Garante per la protezione dei dati personali;
- informare tempestivamente gli interessati se sussistono rischi elevati;
- registrare la violazione in un apposito registro, anche se non significativa.
Comunicazione agli interessati
La comunicazione agli interessati deve rispettare specifici requisiti:
- essere chiara e comprensibile;
- utilizzare il mezzo più diretto possibile per garantire tempestività;
- prevedere, se necessario, anche la diffusione tramite social media.
Registro delle violazioni
Le Linee Guida sottolineano l’importanza del “Registro dei data breach”, che deve documentare tutte le violazioni, indipendentemente dalla loro gravità. Questo strumento consente una gestione trasparente e tracciabile degli incidenti.
Sanzioni
Le sanzioni dipendono dalla gravità delle violazioni e vanno da 10milioni di euro fino a 20milioni.
Nel primo caso viene valutata ad esempio la mancanza di misure di sicurezza adeguate, la mancata notifica e comunicazione della violazione o il mancato coinvolgimento del DPO. Nel secondo caso si va verso violazioni più gravi, come un trattamento illecito di dati rubati o trasferimento dati verso Paesi terzi.
Vedi anche
Pubblicazione aggiornamento “Regolamento data breach”: in allegato modello di Decreto
