Condividi su

Normative: Privacy

25/10/2012
PRIVACY - Legge Privacy (D. Lgs. 196/2003) Sicurezza dei dati in rete e nelle telecomunicazioni: le nuove regole del Garante Privacy

A cura del Dottore Juri Torreggiani, Consulente privacy

Premessa
In attuazione della Direttiva Europea, recepita recentemente dall’Italia, in tema di “sicurezza informatica e privacy” nel settore delle comunicazioni elettroniche, il Garante per la protezione dei dati personali (Garante Privacy), ha definito un primo insieme di regole in base alle quali le società di telecomunicazione e i fornitori di servizi di accesso a internet (internet provider), saranno tenuti a comunicare, oltre che allo stesso Garante, anche agli utenti, le “violazioni di dati personali” (cosidette “data breaches”), che i loro servers dovessero subire a seguito di attacchi informatici o di eventi critici, quali incendi, terremoti o altre calamità similari.
In particolare, con il recente provvedimento emanato in data 26.07.2012, il Garante Privacy ha previsto che in caso di distruzione o perdita di dati personali degli utenti, le società telefoniche e gli internet provider abbiano una serie di obblighi ben precisi da assolvere.

I nuovi obblighi
In base al suddetto provvedimento, le società telefoniche e gli internet provider dovranno anzitutto attivarsi, in via preliminare, per assicurare la massima protezione delle informazioni a livello informatico, al fine di evitare danni di qualunque tipo agli utenti, oltreché danni di immagine e danni economici a sé medesime.
Tra i loro nuovi obblighi ci sarà poi quello di avvisare il Garante Privacy e gli utenti nei casi di violazioni più gravi ai “data base”, in particolare violazioni che dovessero comportare perdita, distruzione o diffusione indebita di informazioni.
In estrema sintesi, le linee guida adottate dal Garante stabiliscono:
• I soggetti che devono adempiere all’obbligo di notificare le violazioni,
• in quali casi scatta l’obbligo di avvisare gli utenti,
• le misure di sicurezza tecniche, informatiche e organizzative da mettere in atto per avvisare con apposita comunicazione il Garante Privacy e gli utenti di un avvenuto “data breach”,
• i tempi e i contenuti delle comunicazioni.
Al fine di armonizzare le procedure e le modalità di notifica, il Garante Privacy ha comunque deciso di avviare una consultazione pubblica (con pubblicazione sulla Gazzetta Ufficiale), per acquisire da parte delle società interessate elementi utili a valutare l’adeguatezza delle misure individuate.
Si illustrano di seguito, alcuni aspetti salienti del provvedimento del Garante Privacy.

I soggetti che devono comunicare le violazioni
L’obbligo di comunicare le violazioni di dati personali spetta esclusivamente ai fornitori di servizi telefonici e di accesso a internet. L’adempimento non riguarda quindi, allo stato attuale, le reti aziendali, gli “internet point” (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca, i siti Internet che diffondono contenuti.

La comunicazione al Garante Privacy
La comunicazione della violazione da inoltrarsi al Garante Privacy dovrà avvenire in maniera tempestiva: in particolare, entro 24 ore dalla scoperta dell’evento le aziende telefoniche e gli internet provider dovranno fornire le informazioni necessarie per consentire una prima valutazione dell’entità della violazione (tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione).
Aziende telefoniche e internet provider avranno poi ulteriori 3 giorni di tempo per una descrizione più dettagliata dell’evento. Per agevolare l’adempimento il Garante ha predisposto un modello di comunicazione standard disponibile on-line sul suo sito www.garanteprivacy.it.
Una volta concluse le verifiche, i soggetti obbligati dovranno comunicare al Garante anche le modalità con le quali hanno posto rimedio alla violazione e le misure adottate per prevenirne di nuove in futuro.

La comunicazione agli utenti
Nei casi ritenuti più gravi, oltre che nei confronti del Garante Privacy, le società telefoniche e gli internet provider avranno anche l’obbligo di informare ogni singolo utente delle violazioni di dati personali subite e che lo riguardano. I criteri per la comunicazione dovranno basarsi sul grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione, ecc.), sulla “attualità” dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati), sulla qualità e tipologia dei dati (finanziari, sanitari, giudiziari etc.) e infine sulla quantità dei dati coinvolti. La comunicazione agli utenti deve avvenire al massimo entro 3 giorni dalla violazione e non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili le informazioni oggetto della perdita.

I controlli del Garante Privacy e l’inventario delle violazioni
Per consentire l’attività di accertamento del Garante Privacy, i soggetti obbligati dovranno tenere un inventario costantemente aggiornato delle violazioni subite, il quale evidenzi le circostanze in cui queste si sono verificate, le conseguenze che hanno avuto e i rimedi adottati a seguito del loro verificarsi.

Le sanzioni
Come di consueto, le sanzioni risultano essere molto severe. La mancata comunicazione al Garante Privacy della violazione dei dati personali o il ritardo nel fornire tale comunicazione, espone a una sanzione amministrativa che varia da 25.000 a 150.000 euro. Anche per la omessa o tardiva comunicazione agli utenti, siano essi soggetti pubblici, società private o persone fisiche, è prevista una sanzione amministrativa che oscilla da 150 a 1.000 euro per ogni utente interessato. La mancata tenuta dell’inventario aggiornato è infine punita con la sanzione da 20.000 a 120.000 euro.

Torna alle normative