[dropcap]A[/dropcap]rriva l’obbligo per le società telefoniche e Internet Provider di avvisare il Garante della Privacy e gli utenti nel momento in cui i dati trattati per fornire i servizi subiscono gravi violazioni a causa di attacchi informatici o di eventi avversi, come incendi o altre calamità, che possono causare perdita, distruzione o diffusione indebita di dati.
Il Garante ha infatti adottato, all’esito di una consultazione pubblica, un provvedimento generale che fissa, in attuazione della direttiva europea sulla Privacy nel settore delle comunicazioni elettroniche, gli adempimenti per i casi in cui si dovessero verificare i cosiddetti “data breach“. Il provvedimento, che è stato pubblicato nella Gazzetta Ufficiale, stabilisce che l’obbligo di comunicare le violazioni di dati personali, contenuti in particolare in data base elettronici o cartacei, spetta solo ai fornitori di servizi telefonici e di accesso a Internet (e non, ad esempio, ai siti internet che diffondono contenuti, ai motori di ricerca, agli internet point, alle reti aziendali). Entro un termine di 24 ore dalla scoperta dell’evento, società di tlc e Isp hanno l’obbligo di fornire al Garante le informazioni necessarie atte a consentire una prima valutazione dell’entità della violazione (ad esempio, tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione).Per facilitare questo adempimento il Garante ha disposto un modello di comunicazione disponibile sul suo sito (www.garanteprivacy.it).
In alcuni casi gravi di violazione, però, oltre che l’Authority, le società di telefonia e gli Isp dovranno informare entro tre giorni anche ogni utente coinvolto, facendo riferimento ad alcuni parametri di natura fondamentale: il grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione); l’ “attualità” dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati); la qualità (finanziari, sanitari, giudiziari etc.) e la quantità dei dati coinvolti.
La comunicazione agli utenti non è necessaria se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati anche se il Garante ha comunque la facoltà di imporla nei casi più gravi. Per consentire l’attività di accertamento del Garante, le società telefoniche e i provider dovranno tenere un inventario che dovrà essere costantemente aggiornato delle violazioni subite che dia conto delle circostanze in cui queste si sono verificate, le conseguenze che hanno comportato e i provvedimenti adottati a seguito del loro verificarsi.
La mancata o ritardata comunicazione all’Authority espone le società telefoniche e gli Internet provider ad una sanzione amministrativa che va da una somma variante di 25mila a 150mila euro.
Sanzioni che sono previste anche per la omessa o mancata comunicazione agli utenti che vanno da un valore di 150 euro a 1000 euro per ogni società, ente o persona interessata mentre invece la mancata tenuta dell’inventario aggiornato è punita con la sanzione da 20mila a 120mila euro.
Vincenzo Nigri