PRIVACY: GARANTE DETTA NUOVE REGOLE IN CASO DI VIOLAZIONE DEI DATI

Avvisare Garante e utenti; tenere un inventario delle violazioni subite; dimostrare di aver preso provvedimenti adeguati; multe salate per chi “sgarra”. Sono i “nuovi” obblighi dettati dal Garante della protezione dei dati personali alle società telefoniche e agli Internet provider in caso di “data breach” (violazione dei dati).
In altre parole , si tratta di una serie di linee guida che stabiliscono, come si legge nel comunicato stampa dell’Autorità, «chi deve adempiere all’obbligo di comunicare; tempi e contenuti della comunicazione; in quali casi scatta l’obbligo di avvisare gli utenti; le misure di sicurezza tecniche e organizzative da mettere in atto per avvisare l’Autorità e gli utenti» in caso di furto o perdita dei dati coperti dalla privacy.
L’Autorità ha anche deciso di ascoltare il parere dei diretti interessati: le società telefoniche e gli Isp (Internet service provider). Tale incontro avrà un valore consultivo volto a valutare e a perfezionare le procedure e le modalità di notifica. Tale piano è una diretta conseguenze della recente ricezione, da parte dell’Autorità italiana, di una direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche.
Si tratta di una sorta di “guida per le emergenze” da adottare in caso di attacchi informatici, ma anche per incendi o altre calamità.
Veniamo al dunque. Il piano consta di 5 punti principali.
Primo (chi deve comunicare): «l’obbligo di comunicare le violazione di dati personali spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet. L’adempimento non riguarda quindi le reti aziendali, gli Internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca, i siti Internet che diffondono contenuti».
Secondo (modalità e tempi di comunicazione): «La comunicazione della violazione dovrà avvenire in maniera tempestiva: entro 24 ore dalla scoperta dell’evento, aziende tlc e Internet provider dovranno fornire le informazioni per consentire una prima valutazione dell’entità della violazione (tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione). Aziende telefoniche o internet provider avranno 3 giorni di tempo per una descrizione più dettagliata. Per agevolare l’adempimento il Garante ha predisposto un modello di comunicazione disponibile on line sul suo sito (www.garanteprivacy.it)». Inoltre «all’esito delle verifiche, i provider dovranno comunicare al Garante le modalità con le quali hanno posto rimedio alla violazione e le misure adottate per prevenirne di nuove».
Terzo (avviso agli utenti): «nei casi più gravi, oltre al Garante, le società telefoniche e gli Isp avranno l’obbligo di informare anche ciascun utente delle violazioni di dati personali subite. I criteri per la comunicazione dovranno basarsi sul grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione), sulla”attualità” dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati), sulla qualità dei dati (finanziari, sanitari, giudiziari etc.), sulla quantità dei dati coinvolti. La comunicazione agli utenti deve avvenire al massimo entro 3 giorni dalla violazione e non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati».
Quarto (“imparare dagli errori”): «per consentire l’attività di accertamento del Garante, i provider dovranno tenere un inventario costantemente aggiornato delle violazioni subite che dia conto delle circostanze in cui queste si sono verificate, le conseguenze che hanno avuto e i provvedimenti adottati a seguito del loro verificarsi».
Quinto (sanzioni per chi non rispetta le regole): «non comunicare al Garante la violazione dei dati personali o provvedere in ritardo espone a una sanzione amministrativa che va da 25mila a 150mila euro. Stesso discorso per la omessa o mancata comunicazione agli interessati, siano essi soggetti pubblici, privati o persone fisiche: qui la sanzione prevista va da 150 euro a 1000 euro per ogni società o persona interessata. La mancata tenuta dell’inventario aggiornato è punita con la sanzione da 20mila a 120mila euro».Ora bisogna aspettare eventuali repliche dalle società telefoniche e dagli Isp.