Introdotto un regolamento che punta a tutelare i consumatori in caso di perdita o furto di dati personali detenuti da operatori di telecomunicazioni e Internet provider.
La Commissione europea ha introdotto nuove regole su come gli operatori delle telecomunicazioni e i fornitori di servizi Internet (Isp) debbano comportarsi in caso di perdita, furto o compromissione dei dati personali dei clienti.
Si tratta di misure tecniche di attuazione che puntano a garantire che, in caso di violazione di dati, tutti i clienti ricevano un trattamento equivalente in tutta l’Ue e le imprese possano adottare un approccio paneuropeo a tale problema nel caso in cui operino in più di un paese.
Le regole sono state concordate in seno a un comitato di Stati membri e sottoposte al vaglio del Parlamento europeo e del Consiglio; sono state adottate in forma di regolamento della Commissione, che è direttamente applicabile e non richiede alcun recepimento a livello nazionale, ed entreranno in vigore due mesi dopo la pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Gli operatori di Tlc e i fornitori di servizi
Internet detengono una serie di dati dei loro clienti quali nome,
indirizzo e coordinate bancarie, oltre alle informazioni sulle
telefonate effettuate e ricevute e i siti web visitati.
Dal 2011
queste imprese sono tenute a rispettare l’obbligo generale di informare
le autorità nazionali e gli abbonati delle violazioni di dati personali.
Con il regolamento le imprese potranno
adempiere a tali obblighi contando su una maggiore chiarezza e i clienti
avranno ulteriori garanzie circa il modo in cui ci si occuperà dei loro
problemi.
Talie imprese devono:
• informare dell’incidente l’autorità nazionale competente entro 24 ore
dalla sua rilevazione al fine di contenerne quanto più possibile le
conseguenze; nel caso in cui non sia possibile fornire informazioni
complete entro tale termine, comunicarne una prima serie entro 24 ore,
con il resto a seguire entro tre giorni;
• indicare le informazioni compromesse e le misure che l’impresa ha attuato o intende attuare;
• nel valutare la necessità di informare gli abbonati
(secondo il criterio del rischio di ripercussioni negative
dell’infrazione sui dati personali o sulla vita privata) le imprese
devono avere riguardo al tipo di dati compromessi, in
particolare, per quanto riguarda le telecomunicazioni, a informazioni
finanziarie, dati sulla localizzazione, file di connessione a internet,
cronologie di navigazione in rete, dati inerenti alla posta elettronica
ed elenchi dettagliati delle chiamate;
• utilizzare un formato standard (ad esempio, un modulo online uguale per tutti gli Stati membri dell’Ue) per la notifica all’autorità nazionale competente.
L’Ue intende inoltre incentivare le imprese a criptare i dati personali.
A tal fine, in collaborazione con l’Enisa, la Commissione europea
pubblicherà anche una lista indicativa di misure tecnologiche di
protezione, ad esempio di cifratura, che rendano i dati inintelligibili
per coloro che non siano autorizzati a leggerli.
Applicando tali
tecniche l’impresa interessata da una violazione di dati sarebbe
dispensata dall’obbligo di informare l’abbonato, in quanto tale
violazione, di fatto, non ne rivelerebbe i dati personali.
