Claudio Tamburrino

Italia, nuove regole per la privacy

Obblighi di comunicazione tempestiva per ISP e operatori telefonici nel caso di fughe di dati o di calamità che li mettano a rischio

Roma - Con il provvedimento 121 del 26 luglio 2012, il Garante della privacy presieduto da Antonello Soro ha approvato le linee guida per l'attuazione del decreto legislativo 69/2012: prevede obblighi specifici in caso di compromissione di dati personali degli utenti.

In particolare, secondo le nuove disposizioni gli operatori telefonici e gli Internet Provider sono obbligati ad avvisare immediatamente il diretto interessato e il Garante della privacy nel caso di perdita, distruzione o diffusione indebita di dati personali.

I casi cui ci si riferisce sono quelli definiti dal nuovo articolo 32-bis comma 6 del codice dalla privacy data breach: si tratta di quelle situazioni in cui il database di una società di telecomunicazioni o di fornitura di servizi Internet subisce un attacco informatico o viene coinvolto in eventi avversi quali incendi o altre calamità.
Sembrano dunque scottare i recenti episodi che hanno messo a rischio i dati degli utenti, come l'incendio alla server farm di Aruba in Italia o il caso internazionale con al centro PlayStation Network (PSN).
Particolare il fatto che tale obbligo non incombe anche su altri soggetti che custodiscono dati degli utenti come le reti aziendali, gli internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca o i siti internet che diffondono contenuti.

La comunicazione che deve seguire alla compromissione dei dati deve avvenire entro 24 ore dalla scoperta dell'evento per una prima informazione iniziale che deve indicare la tipologia dei dati coinvolti, la descrizione dei sistemi di elaborazione, nonché l'indicazione del luogo dove è avvenuta la violazione.

Successivamente, poi, nei seguenti tre giorni, dovrà essere garantiti maggiori dettagli sull'accaduto: a tale scopo l Garante ha predisposto un modello di comunicazione disponibile online sul suo sito.

Nei casi più gravi poi, oltre al Garante, le società telefoniche e i provider dovranno informare anche ciascun utente delle violazioni di dati personali subite. I criteri per la comunicazione dovranno basarsi sul grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione), su quanto tali dati sono recenti (e quindi eventualmetne più interessanti per i malintenzionati), e sulla loro tipologia (quelli finanziari, sanitari o giudiziari sono naturalmente particolarmente rilevanti), nonché sulla qualità degli utenti coinvolti. La comunicazione agli utenti deve avvenire al massimo entro 3 giorni dalla violazione e non è dovuta solo nel caso in cui si dimostri di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che proteggano i dati.

In caso di violazione dei dati personali o nel caso in cui si provveda in ritardo a tali pericoli i soggetti rischiano sanzioni amministrative da 25mila a 150mila euro; per mancata comunicazione agli interessati si parla invece di sanzioni da 150 a mille euro; la mancata previsione di un inventario aggiornato comporta invece una sanzione ad 20mila a 120mila euro.

Claudio Tamburrino
Notizie collegate
11 Commenti alla Notizia Italia, nuove regole per la privacy
Ordina
  • Ecco il link:
    http://www.garanteprivacy.it/garante/document?ID=1...
    e il contenuto:
    ========
    Please wait...
    If this message is not eventually replaced by the proper contents of the document, your PDF
    viewer may not be able to display this type of document.
    You can upgrade to the latest version of Adobe Reader for Windows®, Mac, or Linux® by
    visiting http://www.adobe.com/go/reader_download.
    For more assistance with Adobe Reader visit http://www.adobe.com/go/acrreader.
    Windows is either a registered trademark or a trademark of Microsoft Corporation in the United States and/or other countries. Mac is a trademark
    of Apple Inc., registered in the United States and other countries. Linux is the registered trademark of Linus Torvalds in the U.S. and other
    countries.
    ========

    Riddiculous!
  • Perchè questi furboni invece di fare un modello web fanno scaricare un pdf pieno zeppo di script... che girano bene solo su acrobat reader.
    Per chi non lo può vedere:
    Ci sono 2 pulsanti (In un pdf, si...) uno per l'help ed uno per iniziare a compilare il modulo.
    Cliccando su Inizia compare al di sotto il primo pannell (non so di quanti) che chiede i dati, poi c'è il pulsante avanti, con annessi controlli formali. Ma che razzata!!!!
    Perchè usare un pdf così compilato (e reso incompatibile) e usato al di fuori del suo scopo, quando esiste una cosa che è standard e specificatamente più adatta allo scopo come una paginetta web con una form?
    E' come se per fare una semplice addizione (per chi non è in grado di fare la sommaSorride )invece di avviare la calcolatrice di sistema si installa office, si avvia excel e si scrive la formula dell'addizione in A1.

    Purtroppo in Italia abbiamo questa gente...
    non+autenticato
  • Azz!
    Ed io che m'ero illuso che si trattasse di un banale file place holder!
    Be', un PDF interattivo (non ci sono anche musichette di sottofondo?) mi sembra una cosa positiva. Molto positiva. Non so bene in che cosa, ma direi "molto positiva".
    E poi e' chiaro che io vivo ancora nel secolo scorso (quello di Einstein, Hitler e Moana Pozzi) e che il mio software non è in grado di mostrarmi quel portento della tecnologia moderna!
    Vorrà dire che farò una raccomandata con avviso di ricezione, anche perché io la PEC non ce l'ho!
    Ah, dimenticavo, il mio PC gira con Linux!
  • Le sanzioni dovrebbero essere fatte in proporzione.
    Ma in tutti i casi. Anche uno che prende una multa di 80 euro e ne guadagna 600 al mese si ritrova nei problemi. Chi prende la stessa multa e guadagna 3000 euro al mese, se ne frega di rispettare la legge: se lo beccano pagherà e se ne frega ancora.
    Ci vogliono le multe proporzionali al reddito!

    Ma non una percentuale: se la multa è del 50%, chi guadagna 800 euro al mese ne perde 400 e gliene rimangono 400 per vivere. L'altro con 3000, ha 1500 euro e vive bene quel mese. Quindi ci vorrebbe una formula migliore che dia: 10 euro di multa a chi ne guadagnava 800 al mese, e dia 2000 euro di multa a quello che ne guadagnava 3000 al mese.

    Poi applicare la stessa logica anche a questa regolamentazione per la privacy. Un ISP grande, pagherà la multa da 1 milione di euro e uno piccolo con pochi clienti 25000 euro o meno. Ma non tutti e due 25000 euro indiscriminatamente.
    non+autenticato
  • - Scritto da: Pluto
    > Le sanzioni dovrebbero essere fatte in
    > proporzione.
    > Ma in tutti i casi. Anche uno che prende una
    > multa di 80 euro e ne guadagna 600 al mese si
    > ritrova nei problemi. Chi prende la stessa multa
    > e guadagna 3000 euro al mese, se ne frega di
    > rispettare la legge: se lo beccano pagherà e se
    > ne frega
    > ancora.

    Il sistema che tu descrivi è già in uso in alcuni stati europei, Svizzera e Danimarca ad esempio, e si chiama "aliquota giornaliera". Come funziona? L'imputato deve dichiarare i suoi introiti annuali medi. Si divide l'importo per 365, e da questo valore, appunto l'aliquota giornaliera, si applica la multa. Non più in valuta, quindi, ma, in pratica, in giorni di guadagno medio.

    In Italia credo avrebbe poca efficacia visto il livello di evasione fiscale. Il tribunale potrebbe calcolare sulla base delle sue dichiarazioni un'aliquota giornaliera di 32 euro, quando l'imputato in realtà ne incamera almeno il quadruplo.
    non+autenticato
  • - Scritto da: Leguleio
    > - Scritto da: Pluto
    > > Le sanzioni dovrebbero essere fatte in
    > > proporzione.
    > > Ma in tutti i casi. Anche uno che prende una
    > > multa di 80 euro e ne guadagna 600 al mese si
    > > ritrova nei problemi. Chi prende la stessa
    > multa
    > > e guadagna 3000 euro al mese, se ne frega di
    > > rispettare la legge: se lo beccano pagherà e
    > se
    > > ne frega
    > > ancora.
    >
    > Il sistema che tu descrivi è già in uso in alcuni
    > stati europei, Svizzera e Danimarca ad esempio, e
    > si chiama "aliquota giornaliera". Come funziona?
    > L'imputato deve dichiarare i suoi introiti
    > annuali medi. Si divide l'importo per 365, e da
    > questo valore, appunto l'aliquota giornaliera, si
    > applica la multa. Non più in valuta, quindi, ma,
    > in pratica, in giorni di guadagno
    > medio.

    Bello! Ma c'è troppa linearità. Come cercavo di spiegare nel primo post, una semplice divisione non è utile. Se in due prendono la stessa multa che alla fine si traduce in un 50%, uno rimane come 400 euro e uno ricco con 1500 al mese, quindi è ingiusto. Perchè il primo muore di fame.

    > In Italia credo avrebbe poca efficacia visto il
    > livello di evasione fiscale. Il tribunale
    > potrebbe calcolare sulla base delle sue
    > dichiarazioni un'aliquota giornaliera di 32 euro,
    > quando l'imputato in realtà ne incamera almeno il
    > quadruplo.

    E quindi sarebbe come dire che il coglione che paga le tasse ci rimette sempre. Ma chi paga le tasse ci rimette anche adesso, visto che oltre alle tasse deve pagare la multa altissima proprio a causa degli evasori che non permettono il sistema a "aliquota giornaliera"... E per colpire un po' meglio l'evasore si usano le multe "fisse" che pero' colpiscono molto di piu' che non è un evasorePerplesso
    Quindi il problema si risolve in questo modo: in caso di evasione, multa del 100% eheh.
    non+autenticato
  • Verranno sanzionati se non comunicheranno l'incidente, ma se non lo comunicano nemmeno come fa il garante a sapere che sono da sanzionare???
    non+autenticato
  • l'entità delle cosidette sanzioni previste dalla norma per isp e operatori mobili sono a dir poco ridicole... quattro spiccioli...

    traduzione pratica: norma del tutto inutile e di pura facciata
    non+autenticato
  • La solita cosa all'italiana: norme sacrosante, SANZIONI RIDICOLE.

    Una grande azienda di telecomunicazioni (su, fate qualche nome ...), una grande banca (idem ...), ecc. con sanzioni AMMINISTRATIVE da 25 MILA a 150 MILA euro (brrrr, che paura!) preferiranno spesso OCCULTARE la violazione piuttosto che subire la pubblicità negativa del farlo sapere.

    Siamo in Italia, paese dei "manager della sicurezza" (ah, ah, ah!) delle grandi aziende che otto volte su dieci di sicurezza non ne capiscono nulla (c'è che finge competenza meglio di altri, però ...) e soprattutto POCO GLIENE IMPORTA.
    Gli importa di più "NON DISTURBARE" la Direzione, i settori colleghi della "produzione", ecc. ecc.
    E, piuttosto che "disturbare", preferiscono spesso stanziare fondi per TAMPONARE le frodi a posteriori piuttosto che lavorare prima per implementare una decente sicurezza.
    OCCULTANDO le notizie all'interno del'azienda, ovviamente.
    Adesso, dovranno solo decidere se rischiare misere sanzioni amministrative continuando a comportarsi così.

    Mettete sanzioni economiche RIILEVANTI, tali da dover essere discusse d'urgenza nei consigli di amministrazione!, e, meglio ancora, mettete anche sanzioni PENALI in caso di occultamento di violazioni gravi e poi vedrete se i "manager della sicurezza" continuano con questo andazzo!

    Ma siamo in Italia, appunto.
    Il paese dei "furbi" ed il paese dei manager con cultura zero o quasi nella sicurezza informatica in azienda.
    non+autenticato
  • La cultura della sicurezza informatica dovrebbero averla i sistemisti che lavorano nelle aziende, ma purtroppo sono bravi solo ad emettere sentenze su PI.
    non+autenticato
  • - Scritto da: sistemisti del piffero
    > La cultura della sicurezza informatica dovrebbero
    > averla i sistemisti che lavorano nelle aziende,
    > ma purtroppo sono bravi solo ad emettere sentenze
    > su
    > PI.

    ROTFL!
    Punto nel vivo, caro "manager del ciuffolo"?A bocca aperta

    Il fatto stesso che lei parli di "sistemisti" (cosa che il sottoscritto non è, per inciso), ovvero addetti alle infrastrutture di PRODUZIONE, e non di addetti alla SICUREZZA la dice già tutta sulla SUA cultura della sicurezza!
    Infatti per ovvii (ma evidentemente non a lei!) motivi gli addetti alla sicurezza devono essere altri e lavorare in collaborazione ma in modo indipendente dalla produzione: i "controllati" (la produzione) non possono essere controllori di sè stessi!
    Principio fondamentale (uno dei tanti) della sicurezza informatica: separazione dei compiti (vale anche all'interno della sicurezza stessa, figuriamoci tra sicurezza e produzione!).
    Se perciò lei pensa di affidare la sicurezza ai sistemisti, come evidentemente pensa, ha sbagliato tutto.

    Grazie per avermi dato un ottimo ed immediato esempio dell'INCONSISTENZA CULTURALE dei "manager" IT italiani sulla sicurezza, giusto quello che avevo scritto.
    Personalmente, però, non avevo bisogno di conferme.

    Se in Italia siamo DIECI ANNI dietro a paesi come Gran Bretagna, Olanda, Germania, ecc. nella sicurezza informatica, la colpa principale è di questa diffusa pochezza professionale dei manager.
    Non dia quindi la colpa ai "sistemisti", che poveretti fanno il loro mestiere (che non è la sicurezza), dia la colpa a lei stesso.
    non+autenticato