Con il provvedimento 121 del 26 luglio 2012, il Garante della privacy presieduto da Antonello Soro ha approvato le linee guida per l’attuazione del decreto legislativo 69/2012 : prevede obblighi specifici in caso di compromissione di dati personali degli utenti.
In particolare, secondo le nuove disposizioni gli operatori telefonici e gli Internet Provider sono obbligati ad avvisare immediatamente il diretto interessato e il Garante della privacy nel caso di perdita, distruzione o diffusione indebita di dati personali .
I casi cui ci si riferisce sono quelli definiti dal nuovo articolo 32-bis comma 6 del codice dalla privacy data breach : si tratta di quelle situazioni in cui il database di una società di telecomunicazioni o di fornitura di servizi Internet subisce un attacco informatico o viene coinvolto in eventi avversi quali incendi o altre calamità.
Sembrano dunque scottare i recenti episodi che hanno messo a rischio i dati degli utenti, come l’ incendio alla server farm di Aruba in Italia o il caso internazionale con al centro PlayStation Network (PSN).
Particolare il fatto che tale obbligo non incombe anche su altri soggetti che custodiscono dati degli utenti come le reti aziendali, gli internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca o i siti internet che diffondono contenuti.
La comunicazione che deve seguire alla compromissione dei dati deve avvenire entro 24 ore dalla scoperta dell’evento per una prima informazione iniziale che deve indicare la tipologia dei dati coinvolti, la descrizione dei sistemi di elaborazione, nonché l’indicazione del luogo dove è avvenuta la violazione.
Successivamente, poi, nei seguenti tre giorni, dovrà essere garantiti maggiori dettagli sull’accaduto: a tale scopo l Garante ha predisposto un modello di comunicazione disponibile online sul suo sito.
Nei casi più gravi poi, oltre al Garante, le società telefoniche e i provider dovranno informare anche ciascun utente delle violazioni di dati personali subite. I criteri per la comunicazione dovranno basarsi sul grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione), su quanto tali dati sono recenti (e quindi eventualmetne più interessanti per i malintenzionati), e sulla loro tipologia (quelli finanziari, sanitari o giudiziari sono naturalmente particolarmente rilevanti), nonché sulla qualità degli utenti coinvolti. La comunicazione agli utenti deve avvenire al massimo entro 3 giorni dalla violazione e non è dovuta solo nel caso in cui si dimostri di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che proteggano i dati.
In caso di violazione dei dati personali o nel caso in cui si provveda in ritardo a tali pericoli i soggetti rischiano sanzioni amministrative da 25mila a 150mila euro ; per mancata comunicazione agli interessati si parla invece di sanzioni da 150 a mille euro; la mancata previsione di un inventario aggiornato comporta invece una sanzione ad 20mila a 120mila euro.
Claudio Tamburrino