Violazione dei dati personali, tutto cambia

di Avv. G. Garrisi e Dott.ssa D. Montagna (www.studiolegalelisi.it) - Più sicurezza nelle comunicazioni elettroniche? Evolve ancora il Codice Privacy. Con due decreti legislativi, nuovi obblighi e nuove tutele

Roma - Incredibile ma vero: il Codice Privacy cambia ancora! Sembra proprio non voler finire questo processo di adattamento che la normativa in materia di privacy sta subendo nel corso degli ultimi anni. Anzi, non abbiamo ancora fatto in tempo a smaltire i cambiamenti organizzativi dell'ultima manovra del Governo Monti che già il legislatore comunitario ci impone un ulteriore adeguamento. Infatti, con i decreti legislativi del 28 maggio 2012, n. 69 e n. 70 sono state apportate delle rilevanti modifiche, rispettivamente, al Codice in materia di protezione dei dati personali e al Codice delle comunicazioni elettroniche.

Il recente decreto legislativo 28 maggio 2012 n. 70, infatti, affrontando argomenti molto specifici e tecnici che comprendono, tra l'altro, le reti, le radiofrequenze, gli elenchi degli abbonati, si occupa anche della sicurezza e dell'integrità delle reti di comunicazione elettronica accessibili al pubblico. In particolare, poiché si tratta di precetti finalizzati a prevenire e limitare le conseguenze negative di incidenti che pregiudicano la sicurezza, è chiaro che il decreto ha inciso in maniera diretta anche sull'applicazione della normativa in materia di corretto trattamento dei dati di cui al d.lgs. 196/2003.

Soffermandoci, invece, ad analizzare la sola portata dei nuovi obblighi introdotti dal d.lgs. 69/2012 in capo ai fornitori di servizi di comunicazione elettronica accessibile al pubblico, si evince la costante sensibilità del legislatore, comunitario e nazionale, nei confronti della tutela dei dati personali nel mondo della comunicazione elettronica e la consapevolezza - evidenziata anche dal considerando 61 della direttiva 2009/136/CE - che una violazione di dati personali, se non trattata in modo adeguato e tempestivo, può provocare un grave danno economico e sociale.
Già nella legge delega, che ha portato all'emanazione di tali decreti legislativi, veniva stabilito che nel settore del trattamento dei dati personali deve essere assicurato il rafforzamento della sicurezza e riservatezza delle comunicazioni, nonché della protezione dei dati personali e delle informazioni già archiviate nell'apparecchiatura terminale, fornendo all'utente indicazioni chiare e comprensibili circa le modalità di espressione del proprio consenso, in particolare mediante le opzioni dei programmi per la navigazione nella rete Internet o altre applicazioni. Era previsto anche il conseguente riassetto del sistema sanzionatorio del Codice in materia di protezione dei dati personali (d.lgs. 196/2003), pure mediante depenalizzazione.

Tra le modifiche introdotte da tale decreto al Codice Privacy, è innanzitutto da considerare la nuova definizione di violazione di dati personali identificata come la "violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico". Sulla base di questa definizione sono da considerare le modifiche apportate al titolo V rubricato "Sicurezza dei dati e dei sistemi", che hanno ristrutturato l'art. 32 e introdotto l'art. 32 bis, i quali prevedono, rispettivamente, le misure di sicurezza da adottare per prevenire le citate violazioni e gli adempimenti da porre in essere nel caso tali violazioni di dati personali si verificassero.

L'articolo 32 del Codice Privacy - che già prevedeva l'adozione, da parte dei fornitori, di misure tecniche e organizzative adeguate per salvaguardare la sicurezza dei servizi di comunicazione elettronica accessibile al pubblico - in seguito all'entrata in vigore del d.lgs. 68/2012 prevede ora che il fornitore possa adottare le misure di sicurezza anche attraverso altri soggetti a cui sia stata affidata l'erogazione del servizio di comunicazione elettronica accessibile al pubblico.
Ancora, ai sensi dell'art. 32 i fornitori devono garantire che l'accessibilità dei dati sia permessa solo al personale autorizzato e per i fini previsti e devono garantire la protezione dalla distruzione anche accidentale, dalla perdita o alterazione anche accidentale e dall'archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti dei dati relativi al traffico e all'ubicazione e degli altri dati personali archiviati o trasmessi.

È importante considerare che, se in precedenza nel caso di sussistenza di un particolare rischio di violazione della sicurezza della rete era previsto che il fornitore di un servizio di comunicazione elettronica accessibile al pubblico avesse l'obbligo di informare il Garante, l'Autorità per le garanzie nelle comunicazioni, gli abbonati e, ove possibile, gli utenti, ora l'introduzione dell'articolo 32 bis, che individua gli "Adempimenti conseguenti ad una violazione di dati personali", pone tutta una serie di obblighi di comunicazione in capo al fornitore tali da mettere in moto un meccanismo in cui tutte le parti interessate (fornitore, contraente, utente e Garante Privacy) cooperino al fine di limitare eventuali danni. La funzionalità di questo meccanismo dipenderà, ovviamente, dalla tempestività della comunicazione e dall'efficienza delle misure di sicurezza predisposte dal fornitore e utilizzate dallo stesso nell'immediatezza della violazione.
Il 32 bis mette in rilievo come, in caso di violazione di dati personali nei servizi di comunicazione elettronica accessibili al pubblico, sia necessaria un'adeguata "preparazione" del fornitore ad affrontare tali circostanze. Il fornitore, infatti, dovrà:
- comunicare, senza ritardo, all'Autorità Garante Privacy le violazioni dei dati personali;
- se la violazione rischia di arrecare pregiudizio anche ai dati personali o alla riservatezza del contraente o di altra persona, il fornitore dovrà comunicare anche agli stessi e senza ritardo l'avvenuta violazione. È previsto che tale comunicazione possa essere omessa nel solo caso in cui il fornitore dimostri al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure siano state applicate ai dati oggetto della violazione.

Se in seguito a eventuali violazioni sono presumibili ripercussioni negative, e il fornitore non vi abbia già provveduto, il Garante potrà comunque intervenire obbligando il fornitore a comunicare l'avvenuta violazione al contraente o ad altra persona.

Il legislatore ha previsto anche il contenuto minimo che le suddette comunicazioni agli interessati dovranno contenere:
1. descrizione della natura della violazione;
2. punti di contatto utili ad ottenere ulteriori informazioni;
3. elenco delle misure che il fornitore consiglia di adottare per attenuare i possibili effetti pregiudizievoli della violazione.
La comunicazione al Garante dovrà contenere, inoltre, le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio.

Ciò detto, e data l'estrema rilevanza e delicatezza del tema, avrà fondamentale importanza l'eventuale pubblicazione di un provvedimento o linee guida da parte del Garante, contenente orientamenti e istruzioni in relazione alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali, il formato applicabile a tale comunicazione, nonché alle relative modalità di effettuazione, tenuto conto delle eventuali misure tecniche di attuazione adottate dalla Commissione europea.

Il decreto ha inoltre stabilito, per consentire al Garante di verificare il rispetto delle disposizioni di legge, che i fornitori tengano un aggiornato inventario delle violazioni di dati personali all'interno del quale indichino le conseguenze derivate e i provvedimenti adottati per porvi rimedio.
Posto che si tratta di nuove misure di sicurezza e organizzative che richiederanno uno sforzo non di poco conto all'interno dei soggetti direttamente coinvolti, è necessario che i fornitori di servizi si adeguino prontamente a tali previsioni, sia per dare maggiori garanzie agli utilizzatori, sia per evitare le onerose sanzioni previste in caso di violazione dall'art. 162 ter del Codice Privacy, anch'esso di nuova introduzione.
Infatti, l'omessa comunicazione ai soggetti interessati e al Garante, così come la mancata predisposizione dell'inventario delle violazioni, potrebbe costare molto caro a tutti i fornitori di servizi di comunicazione elettronica accessibili al pubblico. E se negli ultimi due casi la singola violazione può implicare una sanzione amministrativa dai 25.000 ai 150.000 euro per l'omessa comunicazione al Garante e dai 25.000 ai 120.000 euro nell'altro caso, l'omessa comunicazione ai contraenti o alle altre persone interessate, seppure nei limiti del 5% del volume d'affari e con ulteriori limiti nei casi di minore gravità, potrebbe costare da un minimo di 150 euro fino a un massimo di 1.000 euro per ogni singola comunicazione omessa.

La normativa prevede inoltre che, nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l'erogazione del servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest'ultimo di effettuare gli adempimenti contemplati dal presente articolo. Dato ciò, le medesime sanzioni previste per i fornitori si applicheranno anche nei confronti dei soggetti a cui il fornitore abbia affidato l'erogazione dei servizi citati qualora tali soggetti non gli abbiano comunicato tempestivamente le informazioni necessarie.

Sono stati oggetto di importanti modifiche anche altri articoli del Codice Privacy - 121, 122, 123, 130, 164 bis e 168 - ed è stato ampliato l'ambito del trattamento dei servizi interessati, comprendendo non solo la fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche, ma anche quelli che supportano i dispositivi di raccolta dei dati e di identificazione.
In particolare si è introdotto il principio dell'importanza dell'acquisizione del consenso del contraente/utente e delle modalità di archiviazione e accesso alle informazioni, prevedendo che "l'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate siano consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato. Ciò non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio".
Al di fuori di questa casistica non è, in ogni caso, consentito l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un contraente o di un utente per archiviare informazioni o per monitorare le operazioni dell'utente stesso.

Sulla problematica relativa all'acquisizione del consenso, invece, viene stabilito che ai fini dell'espressione del consenso si possono utilizzare specifiche configurazioni di programmi informatici o di dispositivi, a patto che essi siano facilmente utilizzabili dal contraente o utente, lasciando spazio così a una eventuale acquisizione informatica o telematica del consenso.

Gli articoli da 123 a 131, invece, si segnalano per la generale modifica della parola "abbonato" in quella di "contraente", intendendosi come tale "qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate". Viene estesa, pertanto, anche alle persone giuridiche, enti o associazioni la possibilità di esercitare alcuni diritti e, in particolare, quelli previsti dall'art. 130 (Comunicazioni indesiderate) che vietano le campagne di direct marketing senza un esplicito consenso.

Concludiamo con un breve cenno alle nuove sanzioni. Per rendere effettivo il rispetto di tale obbligo in capo ai contraenti e rafforzare il potere coercitivo delle disposizioni introdotte, sono state apportate alcune modifiche anche in tema di "Casi di minore gravità e ipotesi aggravate" e "Falsità nelle dichiarazioni e notificazioni al Garante" (artt. 164-bis e 168). In quest'ultimo caso, in particolare, vengono punite anche le dichiarazioni o attestazioni di notizie o circostanze false ovvero la produzione di atti o documenti falsi nelle comunicazioni previste dall'art. 32-bis.

Avv. Graziano Garrisi (Vice coordinatore ABIRT)
Dott.ssa Debora Montagna

Digital & Law Department - Studio Legale Lisi
Notizie collegate
18 Commenti alla Notizia Violazione dei dati personali, tutto cambia
Ordina
  • Ben scritto e completo, sicuramente cristallino per chi, smodato interesse personale o preparazione professionale permettendo, è in grado di scorrere i concetti suesposti senza soffermarsi affranto sulla lunghezza dell'articolo ed i riferimenti normativi... tuttavia per me e credo la maggior parte dei lettori di punto informatico, che non hanno le necessarie abilità per desumere il senso dell'intervento degli avvocati, questo articolo è mezzo arabo.

    Detto in altri termini, forse dedicando una mezz'oretta di lettura accorta e ipertestuale dell'articolo, riuscirei a tirar fuori i concetti utili che contiene... ma è come se pubblicassero una dissertazione sulle variazioni della tecnica di caldwell-luc su "donna moderna", il 95% dei lettori non capirebbe neppure di che si sta parlando...

    Ci vorrebbe un abstract in linguaggio "popolare", o se preferite un TL;DR Rotola dal ridere
  • quello che ho capito io è che chi detiene dati personali, deve tracciare e comunicare tempestivamente al garante(?) o a chi appartengono i dati(?) tutte le violazioni avvenute su quei dati...

    come dire che la legge sancisce l'obbligo di autodenuncia per tutti i reati commessi... scusate se rido...
    non+autenticato
  • Su Internet la miglior tutela è nessuna tutela, ma non lo capiranno mai.
    non+autenticato
  • come a dire che la miglior forma di ordine è il disordine?
    io e l'entropia non siamo d'accordo...
    buona anarchia
    andrea
    non+autenticato
  • - Scritto da: andrea
    > come a dire che la miglior forma di ordine è il
    > disordine?
    > io e l'entropia non siamo d'accordo...
    > buona anarchia
    > andrea

    Non hai capito cosa voleva dire Carlos, in pratica
    significa che tu non devi dare a nessun sito i tuoi dati,
    non devi comprare nulla da siti fuffa, ecc...
    In questo modo sei protetto.
  • e come compreresti su un sito senza dare i tuoi dati?!?!?
    non+autenticato
  • - Scritto da: ...
    > e come compreresti su un sito senza dare i tuoi
    > dati?!?!?

    Appunto, io non compro nulla su Internet, io devo ficcare
    il naso nella merce prima di comprarla, devo maneggiarla,
    analizzarla. Inoltre così non faccio arricchire quei grassoni con
    la macchia di sugo sulla cravatta dei proprietari dei
    siti di e-commerce.
  • Una multa da 100.000 euro alla telecom non produce nessunissimo effetto se non forse una risatina dei dirigenti.Clicca per vedere le dimensioni originali
  • Mi chiedo perchè non mettano multe da 1 miliardo di euro..

    Oppure da 6 fantastiliardi... Dato che ci sono..
    non+autenticato
  • ma che vergogna.
    Una multa da 100.000 euro alla telecom non produce nessunissimo effetto se non forse una risatina dei dirigenti.

    La stessa multa ad un piccolo imprenditore significa la casa pignorata


    Accidenti ma c'è crisi come quasi nel '29 e questi aumentano le multe già assurde..

    Ho visto comminare una sanzione da 50.0000 euro per il flag che non funzionava nel modulo di contatto, quando "l'uente che ti sta fornendo i propri dati, flaggando ti dice che accetta di fornirteli"

    SIETE SENZA VERGOGNA!!!
    non+autenticato
  • - Scritto da: Nicola D

    > Ho visto comminare una sanzione da 50.0000 euro
    > per il flag che non funzionava nel modulo di
    > contatto, quando "l'uente che ti sta fornendo i
    > propri dati, flaggando ti dice che accetta di
    > fornirteli"

    Ti sta bene!
    Cosi' la prossima volta fai fare il sito da gente che sa il suo mestiere e non dall'amico che ha il cuggino che ne sa.
  • > Ho visto comminare una sanzione da 50.0000 euro
    > per il flag che non funzionava nel modulo di
    > contatto, quando "l'uente che ti sta fornendo i
    > propri dati, flaggando ti dice che accetta di
    > fornirteli"
    >
    > SIETE SENZA VERGOGNA!!!


    Puoi spiegare meglio?

    Il flag non funzionava in che senso? Che anche non accettando si veniva registrati?

    E' poi chi avrebbe fato la denuncia???

    I problemi non sono queste leggi ridicole... (o meglio, non sono solo queste), ma soprattutto il non rispetto delle persone e del lavoro altrui.
    Partendo da chi chiede un sito, vuol pagare... ZERO... quindi avra' sicuramente un prodotto scadente.
    Poi, anche se si paga e si ha un prodotto decente, un errore puo' capitare a chiunque, non sono errori in cui qualcuno perde la vita, quindi io sono del parere (e cosi' ho sempre fatto) di comunicare con le persone e trovare le soluzioni.
    Poi arriviamo all'utente finale, sicuramente se si accorge che sul sito c'e' qualche problema lo deve segnalare, ma da qui a fare una denuncia mi sembra esagerato!!!
    Quello che manca nel mondo di oggi e' la civilta'... ognuno non si fa scrupoli ad annientare chi gli capita sotto... a partire dal governo fino al semplice cittadino (di qualsiasi ceto sociale) pur di guadagnarci qualcosa.
    non+autenticato
  • vorrei capire meglio.
    ma cosa si intende per fornitore del servizio di comunicazione elettronica?
    sono solo gli ISP?
    lo chiedo prima di tutto agli autori di questo ottimo articolo
    non+autenticato
  • infatti, quando gestisco una newsletter sul mio sito web, secondo il dizionario della lingua italiana, fornisco un servizio di comunicazione e pertanto sono un "fornitore del servizio di comunicazione elettronica"?!?
    non+autenticato
  • a senso mi pare proprio di si, la privacy non puo interessaree i soli providers, ma dovrebbe coiunvolgere tutti i fornitori di servizi che trattano dati personali, specie se sensibili.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)