Si tratta di nuove linee guida, in ottemperanza alla direttiva europea su sicurezza e privacy recepite dal nostro Paese, che si focalizzano su cinque punti chiave.
Dal Garante della Privacy arrivano le nuove regole alle quali dovranno attenersi sia le società telefoniche sia gli Internet service provider.
In particolare, il Garante evidenzia quali sono i nuovi obblighi rispetto ai casi di violazione dei database dai quali possano derivare perdita, furto o eventuale diffusione indebita dei dati personali degli utenti.
Si tratta di nuove linee guida, in ottemperanza alla direttiva europea su sicurezza e privacy recepite dal nostro Paese, che si focalizzano su cinque punti chiave.
In primo luogo vengono delineati i soggetti in capo ai quali vige l’obbligo di comunicazione della violazione: gli unici obbligati sono i fornitori di servizi telefonici e i fornitori di servizi di accesso a Internet, che devono darne notizia al garante entro 24 ore dalla scoperta della violazione, così da consentirne una tempestiva valutazione in termini di entità.
Entro tre giorni, ed è questo il secondo obbligo, sarà sempre obbligo dei provider descrivere dettagliatamente l’evento, utilizzando come griglia di riferimento il modello di comunicazione pubblicato sul sito stesso del Garante e le misure adottate sia per rimediare a quanto accaduto sia per evitare successive ulteriori violazioni.
Il terzo obbligo riguarda la comunicazione all’utente, che è sempre da effettuarsi nei casi più gravi, vale a dire quando vi sono fondati sospetti che la violazione possa tradursi in furti di identità, danni fisici o alla reputazione, quando i dati violati riguarda informazioni finanziarie, sanitarie, giudiziarie, o quando il volume di dati villati è particolarmente importanti.
Anche in questo caso, il limite temporale è fissato in tre giorni e l’obbligo non sussiste se il provider utilizza sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati.
I provider sono inoltre tenuti a mantenere un inventario aggiornato delle violazioni per facilitare l’attività del Garante: è questo il quarto punto precisato dall’Autorità che riserva il quinto punto alle sanzioni. L’inottemperanza alle nuove disposizioni in merito alla denuncia di sottrazione dei dati prevede una sanzione da 25.000 a 150.000 euro mentre la mancata comunicazione all’utente prevede una multa da 150 a 1.000 euro per ogni società o soggetto coinvolto. Sanzionabile è anche la mancata tenuta dell’inventario: in questo caso l’ammenda è da 20.000 a 120.000 euro.
