Il Garante della privacy, in ottemperanza alla direttiva europea riguardo al tema della sicurezza e privacy nel settore delle comunicazioni elettroniche, recentemente accolta dall’Italia, ha stabilito un primo novero di regole in virtù delle quali le società di tlc e i fornitori di servizi di accesso a Internet saranno obbligati a comunicare, oltre che alla stessa Autorità, anche agli utenti le “data braches”, ossia le violazioni dei dati personali che dovessero accadere in seguito ad attacchi di pirateria informatica o di incidenti che compromettono la sicurezza delle informazioni.
Ciò che il Garante ha previsto con le sue linee guida consiste nel determinare chi necessita di adempiere al dovere di comunicare, in quali circostanze si è obbligati ad avvisare i clienti, quali sono le misure di sicurezza tecniche e organizzative da mettere in opera per avvisare l’autorità e gli utenti di una avvenuta infrazione dei data base ed infine i tempi e i contenuti della comunicazione.
Perché queste novità vengano assorbite nel modo più efficace possibile e quindi le procedure si possano ottimizzare assieme alle modalità di notifica, l’Autorità ha, in ogni caso, voluto che ci fosse una consultazione pubblica (con relativa pubblicazione su Gazzetta Ufficiale), per recepire da parte delle società telefoniche e degli Isp elementi utili a determinare l’adeguatezza delle misure trovate.
Il Garante prevede, nelle sue linee guida, che l’obbligo di rendere nota la violazione di dati privati riguardi solamente i fornitori di servizi telefonici e di accesso ad Internet. Sono esentate, invece, da questo provvedimento le reti aziendali, gli internet point (in quanto consentono semplicemente ai clienti di poter navigare tramite i propri terminali fisici), i motori di ricerca, i siti Internet che diffondono contenuti.
La comunicazione dell’infrazione, poi, dovrà accadere in modo tempestivo: entro e non oltre le 24 ore dalla scoperta della violazione. Le aziende tlc e Internet provider avranno l’obbligo di rilasciare le informazioni per permettere un primo esame dell’entità della violazione (quali dati sono stati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione).
Nelle successive 48 ore, quindi in un lasso complessivo di tre giorni, le aziende telefoniche o internet provider dovranno provvedere ad una descrizione più precisa che dovrà essere espletata mediante un modello di comunicazione disponibile sul sito on line www.garanteprivacy.it. Una volta stabilita, tramite le verifiche, l’entità del danno, i provider saranno tenuti a comunicare al Garante i metodi con i quali hanno posto rimedio alla violazione e le misura prese per far si che non si verifichino nuovamente altre.
Sono 4, fondamentalmente, i criteri che designano il modo attraverso il quale dovrà essere fornita la comunicazione agli utenti; il grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione), sulla “attualità” dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati), sulla qualità dei dati (finanziari, sanitari, giudiziari etc.), sulla quantità dei dati coinvolti.
La comunicazione, come detto, deve verificarsi entro i 3 giorni stabiliti dalla legge e non è dovuta solo nel caso in cui si possa dimostrare di aver usato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono i dati criptati, quindi non usufruibili.
Affinché al Garante sia possibile condurre l’attività di verifica, i provider devono mantenere un inventario aggiornato continuamente sulle violazioni subite che renda conto a riguardo degli eventi in cui queste ci sono state, le conseguenze che hanno generato e i provvedimenti applicati dopo il loro accadimento.
Se si trasgredirà ai dettami pronunciati dal Garante, quindi non si provvederà a comunicare o a ritardare nella comunicaizone si va incontro ad una sanzione amministrativa che varia dai 25mila ai 150mila euro. Discorso identico vale per la omessa o mancata comunicazione agli utenti, siano essi soggetti, pubblici, privati o persone fisiche: in questi casi la sanzione comminabile varia dai 150 euro a 1000 per ogni singola società o persona coinvolta. Punibile, infine, anche il caso in cui non sia messo in opera l’inventario, non sia quindi aggiornato; la sanzione varia da 20mila a 120mila euro.
Scrivi un commento
Accedi per poter inserire un commento