Il Garante per la protezione dei dati personali ha adottato un provvedimento generale che obbliga i fornitori di servizi di comunicazione elettronica a comunicare al Garante, e a tutti i soggetti direttamente coinvolti, eventuali “data breach”, violazioni ai database nei quali vengono archiviate le informazioni sugli utenti.
Com’è noto, attacchi informatici, malfunzionamenti, incendi o altre calamità possono mettere a rischio i dati archiviati nei database delle società che gestiscono servizi di comunicazione elettronica come Internet provider e compagnie telefoniche. La cosiddetta direttiva europea sull’e-privacy (direttiva 2002/58/Ce ) afferma che i fornitori di servizi di comunicazione elettronica devono adottare “appropriate misure tecniche e organizzative” per assicurare “un livello di sicurezza adeguato al rischio esistente” (art. 4, comma 1). La direttiva 2009/136/Ce, che ha modificato la direttiva e-privacy, sottolinea, in particolare, che un evento che coinvolga i dati personali, se non trattato in modo adeguato e tempestivo, può provocare un grave danno economico e sociale al contraente (o alle altre persone interessate), tra cui l’usurpazione d’identità (cfr. considerando 61).
Il decreto legislativo 28 maggio 2012, n. 69, che recepisce la direttiva, obbliga i fornitori di servizi di comunicazione elettronica a comunicare senza indebiti ritardi al Garante e, in alcuni casi, al contraente o ad altre persone interessate, l’occorrenza dei predetti eventi, qualificati come “violazioni di dati personali”. In seguito a consultazione pubblica il Garante ha fissato gli adempimenti per i casi in cui si dovessero verificare tali violazioni.
Il provvedimento stabilisce che l’obbligo di comunicare le violazioni di dati personali, contenuti in archivi elettronici o cartacei, spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet, e non a diversi soggetti quali ad esempio content provider, motori di ricerca, internet point o gestori di reti aziendali.
I fornitori sono tenuti a comunicare al Garante le informazioni necessarie a consentire una prima valutazione dell’entità della violazione (tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione) entro 24 ore dalla scoperta dell’evento, attraverso un modello di comunicazione disponibile sul sito www.garanteprivacy.it.
La comunicazione agli utenti non è dovuta se il fornitore dimostra all’Authority di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati, ma il Garante può comunque imporla nei casi più gravi. In tali circostanze le società telefoniche e gli Isp dovranno informare entro tre giorni ciascun utente coinvolto, con riferimento a alcuni parametri fondamentali: il grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione); l’ “attualità” dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati); la qualità (finanziari, sanitari, giudiziari etc.) e la quantità dei dati coinvolti.
La mancata o ritardata comunicazione al Garante può comportare per le società di servizi di comunicazione elettronica una sanzione amministrativa da 25mila a 150mila euro. Sono previste sanzioni anche per la omessa o mancata comunicazione agli utenti: da 150 euro a 1000 euro per ogni società, ente o persona interessata. La mancata tenuta dell’inventario aggiornato può invece costare da 20mila a 120mila euro.
Aggiungi commento