A seguito della comunicazione di Axios Italia Service del 19/04/2021 in cui vi è evidenza del perdurare della indisponibilità dei dati seppur in modo parziale e limitato, riteniamo necessario procedere a:

1) effettuare comunicazione ad Axios Italia Service, amezzo PEC, in cui richiediamo ulteriori notizie rispetto a quelle già fornite;

2) annotare sul Registro di Data Breach ulteriore riga come da allegato;

3) effettuare la notifica al Garante Per la Protezione dei Dati Personali completando il modello che abbiamo già presisposto e che trovate in allegato. La comunicazione dovrà essere inviata a mezzo PEC all'indirizzo Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Oggetto: "Notifica Data Breach -  Caso AXIOS"
Corpo: "Spett.le Garante per la Protezione dei Dati, in allegato inviamo la notifica dela Data Breach relativo all'incidente informatico accaduto al nostro responsabile esterno per il trattamento dati di Registro Elettronico e gestione documentale
Il Dirigente Scolastico ..."

Allegati:

Bozza della comunicazione da inviare ad Axios Italia Service

Bozza nuova riga da annotare su registro Data Breach

Guida alla compilazione del modello di Notifica al Garante

Bozza di Notifica al Garante della Protezione dei Dati Personali

 

 

In data 05/04/2021 Axios Italia Service ha comunicato a mezzo PEC che la piattaforma Axios Scuola Digitale (Registro Elettronico e Segreteria Digitale) è stata oggetto di attacco di RANSOMWARE.
Nella stessa PEC riporta: “ai sensi dell’art.33 par.2 del Regolamento UE 2016/679, la presente è per comunicarLe che il Servizio di Sicurezza di ARUBA ENTERPRISE, verso le ore 02.00 del giorno 03/04/2021, ci informava che l’infrastruttura di AXIOS Italia Service Srl SU, attraverso la quale vengono erogati i servizi web di AXIOS SCUOLA DIGITALE, era stata oggetto di un attacco Ransomware di ultimissima generazione che ha reso indisponibili tutti servizi da questa erogati.
In base alle analisi attualmente a nostra disposizione, non risultano esfiltrazioni (estrazioni) di dati personali. Tuttavia, l’attacco ha comportato la crittografia dei dati presenti con la conseguente loro momentanea indisponibilità.
Grazie alla presenza della infrastruttura di Disaster Recovery ed al tempestivo intervento dei nostri esperti siamo riusciti a mitigare l’impatto della violazione e possiamo comunicarLe che i dati non sono stati compromessi.
Stiamo lavorando alacremente con l’obiettivo di rendere disponibili tutti i servizi entro pochi giorni e sarà nostra cura aggiornarLa al loro ripristino.”…
 
Considerati i tempi lunghi di ripristino delle funzionalità del sistema comunicate in data 7/04/2021, dovuti anche ai controlli ulteriori necessari a garantire la sicurezza ed affidabilità dello stesso, si ravvisa la necessità della semplice annotazione sul Registro di Data Breach della VIOLAZIONE DEI DATI PERSONALI per “l’impossibilità di accedere ai dati per attacchi esterni, virus, malware”.
In base ai dati forniti dal Responsabile Esterno del Trattamento AXIOS non si ravvisano motivazioni per le quali è necessario, ai sensi dell’art. 33 comma 1 del GDPR 2019/679, effettuare notifica al Garante della Protezione dei
Dati Personali, in quanto non risultano presenti rischi per i diritti e le libertà delle persone fisiche. Pertanto si ritiene non necessaria nemmeno la notifica agli interessati (alunni, genitori, personale, ecc.).
In allegato inviamo la registrazione dell’evento lesivo della privacy su un modello di Registro Data Breach da completare nelle parti in giallo, protocollare in uscita, conservare agli atti, ed inviare in copia al DPO.
 
Cordiali saluti lo staff di Gdpristruzione.it
 

Registro Data Breach compilato

excel ico 
ABBIAMO ORGANIZZATO UNA VIDEO CONFERENZA PER OFFRIRE MAGGIORI DETTAGLI A TUTTI I DS DELLE SCUOLE COINVOLTE 
Axios - Data Breach e indicazioni operative
gio 8 apr 2021 12:30 - 13:30 (CEST)
 
Video registrazione dell'evento
video 21
 
---
Nel caso in cui la violazione dei dati subita non presenti rischi per i diritti e le libertà delle persone fisiche è infatti necessario (abbiamo utlizzato lo strumento di valutazione messo a disposizione dal Garante della Protezione dei Dati personali di cui riportiamo l'esito):

DEVI DOCUMENTARE LA VIOLAZIONE

Il titolare del trattamento deve documentare tutte le violazioni dei dati personali che si verificano, indipendentemente dal fatto che una violazione debba o meno essere notificata al Garante.

«Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di verificare il rispetto del presente articolo» (cfr. art. 33Apertura sito esterno in una nuova scheda per l'articolo 33 del Regolamento (UE) 2016/679, par. 5, del Regolamento (UE) 2016/679 e art. 26 del D.Lgs 51/2018).

L’obbligo del titolare di documentare tutte le violazioni è collegato al principio di responsabilizzazione (cfr. art. 5Apertura sito esterno in una nuova scheda per l'articolo 5 del Regolamento (UE) 2016/679, par. 2, del Regolamento (UE) 2016/679 e art. 3, comma 4, del D.Lgs 51/2018) e agli obblighi del titolare del trattamento responsabilizzazione (cfr. art. 24Apertura sito esterno in una nuova scheda per l'articolo 24 del Regolamento (UE) 2016/679 del Regolamento (UE) 2016/679 e art. 15 del D.Lgs 51/2018).

Il titolare del trattamento è incoraggiato a creare un registro interno delle violazioni occorse – notificate o meno – e il Garante può chiedere di consultare tale registro.

Oltre ad informazioni quali cause, fatti, dati personali, effetti e conseguenze della violazione, le Linee guidaApertura sito esterno in una nuova scheda per le Linee guida Notifica violazioni raccomandano di documentare anche il ragionamento alla base delle decisioni prese in risposta a una violazione, come, ad esempio, il perché una determinata violazione non è stata notificata al Garante. 

 

Per maggiori informazioni fare riferimento al proprio DPO 

Microtech: Attilio Milli o Valentino Valente

mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Attilio Milli: 335 565 4057

Valentino Valente: 338 4552068

 

MS Computer:

mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Sandro Maini: 335 527 7002

 

Ing. Giovanni Fiorillo

mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Giovanni Fiorillo: 347 176 1615

 

SOS Recupero Dati

mail: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Vincenzo Monteforte: 333 7778619

 

 

 

 

 

 

 
 

Numerose sono le richieste di parere, formulate dalle istituzioni scolastiche, riguardo la possibilità di svolgere le elezioni degli organi collegiali online. Abbiamo cercato di analizzare gli strumenti a disposizione, le problematiche, i rischi correlati, la fattibilità. Anche se il nostro ruolo da DPO è poco coinvolto in questa attività perché l’impatto privacy è minimale, ci è sembrato opportuno rendere noto il nostro parere in proposito, avendo già analizzato bene le problematiche soprattutto dal punto di vista della sicurezza.

Lo psicologo agisce, come il medico competente, in qualità di titolare del trattamento dati.

Come professionista è sottoposto al segreto professionale ma deve ricevere il consenso in quanto da privato tratta personali.
.
L'ordine degli psicologi ha predisposto e pubblicato moduli per la richiesta del consenso sia nel caso di minori che nel caso dei maggiorenni.
 
La scuola emana un bando di selezione ed affida l'incarico al professionista; nel contratto che ne consegue va indicato che lo psicologo agisce come titolare.
 
La scuola, fungendo da tramite per fissare appuntamenti, coordinare le attività, ed avere feedback dell'attività svolta, deve porre particolare attenzione a:

evento150Registrazone evento formativo dal titolo "Privacy e Didattica Digitale Integrata in emergenza Covid" del 8 ottobre 2020

Per accedere alla registraione dell'evento è necessario inserire i propri dati nel modulo qui sotto.