Un provvedimento generale al termine della consultazione pubblica avviata dal Garante per la protezione dei dati personali in attuazione della direttiva comunitaria sulla privacy nel settore delle comunicazioni elettroniche. Pubblicato in Gazzetta Ufficiale, il testo del provvedimento obbliga società telefoniche e fornitori di servizi Internet alla tempestiva segnalazione di eventuali violazioni subite dai propri database .
“Scatta l’obbligo per società telefoniche e Internet provider di avvisare il Garante e gli utenti quando i dati trattati per fornire i servizi subiscono gravi violazioni a seguito di attacchi informatici o di eventi avversi, come incendi o altre calamità – si legge in una nota ufficiale diramata dall’Authority del Belpaese – che possano comportare perdita, distruzione o diffusione indebita di dati”.
Nella prevenzione dei cosiddetti data breach , l’obbligo di comunicare le violazioni dei dati personali – tra archivi elettronici o cartacei – spetterà in maniera esclusiva ai fornitori di servizi telefonici e di accesso alla Rete, non ai siti che diffondono contenuti o ai motori di ricerca. Sul sito garanteprivacy.it è stato così predisposto un modello per la segnalazione – entro 24 ore dalla scoperta – delle informazioni necessarie ad una prima valutazione dell’entità della violazione.
La stessa Authority tricolore ha predisposto , nei casi più gravi di violazione, l’obbligo di informare entro tre giorni “ciascun utente coinvolto, facendo riferimento ad alcuni parametri fondamentali”. Questi parametri riguardano il grado di pregiudizio che la perdita o distruzione dei dati possa comportare, ma anche i gradi di attualità, qualità e quantità di quest’ultimi. Questa forma di comunicazione ai singoli utenti non sarà obbligatoria qualora le stesse telco abbiano adottato specifiche misure di sicurezza oltre che sistemi di cifratura e anonimizzazione per rendere i dati inintelligibili .
“La mancata o ritardata comunicazione al Garante espone le società telefoniche e gli Internet provider a una sanzione amministrativa che va da 25mila a 150mila euro – avverte il comunicato diramato dal Garante – Sanzioni previste anche per la omessa o mancata comunicazione agli utenti che vanno da 150 euro a mille euro per ogni società, ente o persona interessata. La mancata tenuta dell’inventario aggiornato è punita con la sanzione da 20mila a 120mila euro”.
Mauro Vecchio