Il Garante per la privacy ha approvato le nuove regole riguardanti la tutela dei dati online.


In questi giorni il Garante della Privacy, in attuazione del decreto legislativo 69/2012, vale a dire la direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche recepita recentemente anche dall'Italia, ha approvato il provvedimento 121 del 26 Luglio 2012, il quale prevede che nel caso in cui un gestore telefonico a cui si è abbonati oppure un Internet Service Provider, (conosciuti anche con l'acronimo ISP), perderanno i nostri dati in rete o subiranno attacchi informatici, saranno tenuti ad osservare una serie di regole, fra le quali avvertire i propri clienti del "potenziale" pericolo che corrono a seguito della perdita, distruzione o diffusione indebita di dati, comunicare l'incidente al più presto all'autorità garante di riferimento e prendere tutta una serie di iniziative per ripristinare la sicurezza ed assicurare la massima protezione ai dati personali. In pratica il Garante della Pivacy ha fissato un quadro di regole in base alle quali le società di telecomunicazioni ed i fornitori di servizi di accesso a internet dovranno rigorosamente attenersi. Infatti le linee guida contenute nel nuovo articolo 32-bis comma 6 del suddetto decreto legislativo adottate dal Garante, presieduta in quest'occasione da Antonello Soro, stabiliscono l'obbligo di comunicare immediatamente, oltre che allo stesso Garante per la privacy, anche ai diretti interessati le eventuali violazioni di dati personale che i loro database dovessero subire a seguito di attacchi informatici, o di eventi avversi, quali incendi oppure altre calamità. Tuttavia questo provvedimento non riguarda le reti aziendali, gli Internet point, (i quali si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca ed i siti Internet che diffondono contenuti. In ogni caso la comunicazione della violazione dovrà avvenire in maniera tempestiva; difatti entro 24 ore dalla scoperta dell'evento, le aziende di telecomunicazione e gli internet provider dovranno fornire le informazioni per consentire una prima valutazione dell'entità della violazione, ovvero: la tipologia dei dati coinvolti, una descrizione dei sistemi di elaborazione e l'indicazione del luogo in cui è avvenuta la violazione. Successivamente la aziende telefoniche e gli ISP avranno 3 giorni di tempo per fornire una descrizione più dettagliata sull'accaduto. Per di più per agevolare tale adempimento il Garante ha predisposto un modello di comunicazione disponibile online sul suo sito. Oltretutto dopo le dovute verifiche, le aziende telefoniche ed i provider dovranno comunicare al Garante per la privacy anche le modalità con le quali hanno posto rimedio alla violazione e le misure adottate per prevenirne di nuove. Tuttavia nei casi più gravi, oltre al Garante, le società telefoniche e gli ISP avranno l'obbligo di informare anche ciascun utente delle violazioni di dati personali subite. In più i criteri per la comunicazione dovranno basarsi sul grado di giudizio che la perdita o la distruzione dei dati può comportare, (ad esempio, furto di identità, danno fisico, danno alla reputazione), sulla attualità dei dati, (poiché i dati più recenti possono rivelarsi più interessanti per i malintenzionati), sulla qualità dei dati, (per esempio finanziari, sanitari, giudiziari ecc...), e sulla quantità dei dati coinvolti. Comunque anche in questi casi la comunicazione ai clienti deve avvenire al massimo entro 3 giorni dalla violazione e non è necessaria solo nel caso in cui si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono illegibili i dati. Comunque in caso di violazione dei dati personali oppure nel caso in cui si provveda in ritardo a tali pericoli, le società telefoniche ed i provider rischiano sanzioni amministrative che vanno da 25.000 a 150.000 euro; mentre per mancata comunicazione agli interessati si parla di sanzioni che possono andare da 150 a 1.000 euro; infine la mancata previsione di un inventario aggiornato comporta invece delle sanzioni che vanno ad 20.000 a 120.000 euro.

Commenti