Le informazioni contenute nella presente pagina sono rese ai sensi dell’art. 13 e 14 del Regolamento (UE) 2016/679 (di seguito Regolamento) e hanno l’obiettivo di descrivere le modalità di trattamento dei dati personali degli utenti raccolti ai fini della verifica del corretto funzionamento dei sistemi informatici dell’Istat e della prevenzione e gestione degli incidenti di sicurezza informatica.
Titolare del trattamento
Titolare del trattamento è l’Istituto nazionale di statistica, con sede in via Cesare Balbo 16, 00184 – Roma
PEC protocollo@postacert.istat.it
Centralino +39 06.46731
Responsabile della protezione dei dati
Il Responsabile della Protezione dei Dati (RPD) è raggiungibile al seguente indirizzo: Istituto nazionale di statistica – Responsabile della Protezione dei dati personali, via Cesare Balbo 16, 00184 Roma, email responsabileprotezionedati@istat.it
Base giuridica del trattamento
I dati personali indicati nella presente informativa sono trattati dall’Istat per garantire il corretto funzionamento dei sistemi informatici e per prevenire azioni che possano ledere la disponibilità, integrità e riservatezza dei dati in essi contenuti, affinché l’Istat possa correttamente eseguire i compiti di interesse pubblico ad esso affidati dalla normativa vigente.
Tale trattamento è necessario per adempiere ad un obbligo legale al quale l’Istat è tenuto per assolvere efficacemente alle prescrizioni in materia di sicurezza dei dati e dei sistemi (art 51 del Codice dell’Amministrazione Digitale e art. 32 del Regolamento UE 2016/679).
Dati trattati e finalità del trattamento
Il monitoraggio degli eventi relativi ai sistemi informatici (log) è indispensabile per poter mettere in atto ogni misura di prevenzione rispetto al corretto funzionamento dei sistemi stessi, a garanzia del buon funzionamento dell’Ente. Per tale ragione i server e i dispositivi dell’Istituto memorizzano localmente i log generati durante il loro funzionamento e, nel caso dei sistemi critici, inviano parte di questi log anche a un sistema centralizzato di raccolta e correlazione degli eventi, che costituisce lo strumento principale per la rilevazione e l’analisi degli incidenti di sicurezza informatica. Le principali variabili raccolte sono le seguenti: data e ora dell’evento, indirizzo IP sorgente, indirizzo IP destinazione, servizio richiesto, indirizzo email, nome utente, postazione di lavoro, URL visitato, tipologia di dispositivo utilizzato dall’utente, geolocalizzazione dell’utente basata sull’indirizzo IP. Tali dati sono sottoposti a un’analisi automatizzata del contenuto delle connessioni. In caso di anomalie segnalate dal sistema, i potenziali incidenti di sicurezza informatica sono identificati e valutati con intervento umano. In particolare, in caso di segnalazione da parte del sistema di un potenziale incidente di sicurezza informatica (ovvero che abbia come possibile conseguenza la manomissione dei sistemi dell’Ente), viene avviato un procedimento umano di verifica. Nell’ipotesi essa comporti fondati sospetti di alterazione dei sistemi, l’utente coinvolto viene in primo luogo contattato, la sua attività di navigazione controllata in modo più approfondito e, se del caso, attuate misure di contenimento dell’incidente, come, ad esempio, il blocco del dispositivo. Ai sensi dell’art. 22 del Regolamento, si sottolinea che l’utente non è profilato e che il processo descritto non è interamente automatizzato.
Vengono potenzialmente trattati dati di cui all’art. 9 del Regolamento, nel caso in cui l’analisi venga eseguita su un insieme eventi riconducibili a un soggetto identificabile.
I dati raccolti sono conservati sei mesi e poi cancellati, salvo nei casi di manomissioni, in cui siano necessari ulteriori approfondimenti anche da parte delle autorità competenti.
Dati comunicati dall’utente
I dati trattati sono quelli elencati in questa informativa, cancellati dopo sei mesi dalla loro acquisizione, salvo i casi previsti dalle norme (esempio: necessità di comunicare eventuali violazioni all’autorità giudiziaria). Ove, nelle possibili azioni di verifica di un evento dannoso, fosse necessario approfondire con l’interessato le azioni che lo hanno generato, gli eventuali ulteriori dati personali acquisiti saranno cancellati immediatamente dopo la conclusione dell’istruttoria, salvo i casi in cui siano necessari approfondimenti da parte dell’autorità competente.
Diritti degli interessati
Gli interessati hanno il diritto di ottenere dall’Istituto Nazionale di Statistica, l’accesso ai propri dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda o di opporsi al trattamento (artt. 15 e ss. del Regolamento), tenuto conto dei limiti previsti dalla base giuridica sopra citata. L’apposita istanza all’Istat può essere presentata con le seguenti modalità:
- a mezzo posta, inviando l’istanza all’indirizzo: Istituto nazionale di statistica – Responsabile della Protezione dei dati personali, via Cesare Balbo 16, 00184 Roma;
- a mezzo posta elettronica, scrivendo all’indirizzo: responsabileprotezionedati@istat.it
Diritto di reclamo
Gli interessati che ritengono che il trattamento dei dati personali a loro riferiti effettuato attraverso questo monitoraggio avvenga in violazione di quanto previsto dal Regolamento hanno il diritto di proporre reclamo al Garante per la protezione dei dati personali, come previsto dall’art. 77 del Regolamento, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento stesso).