Il Garante per la privacy ha fissato un primo quadro di regole per la sicurezza dei dati in rete e nelle TLC

È prevista una sanzione amministrativa da 25mila a 150mila euro nel caso di ritardo nella comunicazione al Garante della violazione di dati personali, mentre in caso di omessa o mancata comunicazione agli interessati, siano essi soggetti pubblici, privati o persone fisiche, la sanzione prevista va da 150 euro a 1000 euro per ogni società o persona interessata. Infine, la mancata tenuta dell'inventario aggiornato è punita con la sanzione da 20mila a 120mila euro.

In attuazione della direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche, di recente recepita dall'Italia, il Garante per la privacy ha fissato un primo quadro di regole in base alle quali le società di telecomunicazioni e i fornitori di servizi di accesso a Internet saranno tenuti a comunicare all'Autorità e agli utenti interessati le "violazioni di dati personali" (data breaches) che i loro data base dovessero subire a seguito di attacchi informatici, o di eventi avversi, quali incendi o altre calamità.

Le norme sono contenute nelle Linee guida, pubblicate dal Garante per la privacy lo scorso 26 luglio. Nel documento si definisce: chi deve adempiere all'obbligo di comunicare, in quali casi scatta l'obbligo di avvisare gli utenti, quali siano le misure di sicurezza tecniche e organizzative da mettere in atto per avvisare l'Autorità e gli utenti di un avvenuto "data breach" e si fissano i tempi e i contenuti della comunicazione.

L'obbligo di comunicare al Garante in maniera tempestiva (entro 24 ore dalla scoperta dell'evento) le violazione di dati personali spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet. L'adempimento non riguarda quindi le reti aziendali, gli Internet point, i motori di ricerca, i siti Internet che diffondono contenuti. Ci saranno poi 3 giorni di tempo per una descrizione più dettagliata dell'evento. I provider dovranno comunicare al Garante le modalità con le quali hanno posto rimedio alla violazione e le misure adottate per prevenirne di nuove. Nei casi più gravi, oltre al Garante, sarà necessario informare anche ciascun utente delle violazioni di dati personali subite, al massimo entro 3 giorni dall'avvenuta violazione. La comunicazione non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati. I provider infine dovranno tenere un inventario costantemente aggiornato delle violazioni subite che sarà a disposizione del Garante per consentirne l'attività di controllo.

L'Autorità Garante della Privacy ha comunque deciso di avviare una consultazione pubblica sul tema, per acquisire da parte delle società telefoniche e degli Isp elementi utili a valutare l'adeguatezza delle misure individuate.

Scarica le Linee guida del Garante

valenzano, 1 agosto 2012