Ad una settimana dal disservizio dei server di Aruba, che ha causato il più grande blackout mai registrato dalla rete italiana, presentiamo alcuni spunti di riflessione, anche alla luce dell’ormai prossima attuazione della direttiva 2009/136/CE che modifica la direttiva sull’e-privacy del 2003.
Il blackout è stato originato da un incendio nella server farm di Aruba avvenuto nella notte tra il 28 e il 29 aprile 2011 ed è durato circa 11 ore. In quel lasso di tempo oltre un milione di domini registrati e più di 5 milioni di caselle email sono risultate irraggiungibili.
Per tutta la mattina del 29 aprile tutti coloro che possedevano una casella email o un sito ospitato su Aruba non hanno ricevuto comunicazioni sullo stato dei propri dati. I primi comunicati ufficiali dell’azienda sono stati diffusi agli organi di stampa verso mezzogiorno. Gli utenti di Aruba sono venuti a conoscenza dell’incendio attraverso social network e magazine online. Intorno alle 15.30 il danno, che aveva interessato solo alcuni generatori, è stato riparato e la rete è tornata alla normalità.
Fortunatamente, l’incidente di Aruba non ha causato la distruzione e il danneggiamento dei dati dei propri utenti. Tuttavia, la portata dell’evento ha offerto ad alcuni commentatori lo spunto per interrogarsi sull’effettiva tutela dei dati garantita ai cittadini e alle aziende dagli hosting server.
Da un punto di vista normativo la questione è estremamente attuale. La direttiva 2009/136/CE, che deve essere recepita dagli stati membri entro il 25 maggio 2011, affronta il tema sotto l’aspetto della comunicazione agli utenti in caso di incidenti o minacce alla sicurezza o all’integrità e di vulnerabilità.
L’art. 2 che modifica la direttiva 2002/58/CE (Direttiva relativa alla vita privata e alle comunicazioni elettroniche) inserisce nell’art.4 il paragrafo 1 bis che dispone che per quanto riguarda le misure tecniche e organizzative per salvaguardare la sicurezza dei propri servizi i fornitori di servizi di comunicazione elettronica, tali misure quantomeno “tutelano i dati personali archiviati o trasmessi dalla distruzione accidentale o illecita, da perdita o alterazione accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, e garantiscono l’attuazione di una politica di sicurezza in ordine al trattamento dei dati personali.”
A tal fine è inserito il nuovo paragrafo 3 che prescrive l’obbligo di informare sia le autorità nazionali competenti sia i propri utenti, ed eventualmente altre persone coinvolte, qualora la violazione dei dati personali rischiasse di “pregiudicare i dati personali o la vita privata di un abbonato o di altra persona”.
Il paragrafo 4 stabilisce inoltre che “Le autorità nazionali competenti possono emanare orientamenti e, ove necessario, stabilire istruzioni relative alle circostanze in cui il fornitore ha l’obbligo di comunicare le violazioni di dati personali, al formato applicabile a tale comunicazione, nonché alle relative modalità di effettuazione. Esse possono altresì verificare se i fornitori hanno adempiuto ai loro obblighi di comunicazione a norma del presente paragrafo e irrogano sanzioni appropriate in caso di omissione.”
Nell’attesa del recepimento della direttiva ci si interroga sulle modalità e i tempi con cui le aziende potranno far fronte agli obblighi di comunicazione nel caso di incidenti simili all’episodio che ha coinvolto Aruba e sulle possibili sanzioni.
Aggiungi commento