Dal Garante per la Privacy nuove regole per gli operatori di telefonia e Isp in caso di violazione dei dati personali.
Dal Garante della Privacy arrivano le nuove regole cui dovranno attenersi sia le società telefoniche sia gli Internet service provider.
In particolare, il Garante sottolinea quali sono i nuovi obblighi rispetto ai casi di violazione dei database dai quali possano derivare perdita, furto o eventuale diffusione indebita dei dati personali dei loro utenti.
Si tratta di nuove linee guida, che ottemperano alla direttiva europea su sicurezza e privacy recepite dal nostro Paese che si focalizzano su cinque punti chiave.
In primo luogo i soggetti in capo ai quali vige l’obbligo di comunicazione della violazione: gli unici obbligati sono i fornitori di servizi telefonici e i fornitori di servizi di accesso ai Internet, che devono darne notizia al garante entro 24 ore dalla scoperta della violazione, così da consentirne una tempestiva valutazione in termini di entità.
Entro tre giorni, ed è questo il secondo obbligo, sarà sempre obbligo dei provider descrivere dettagliatamente l’evento, utilizzando come griglia di riferimento il modello di comunicazione pubblicato sul sito stesso del Garante (www.garanteprivacy.it), e le misure adottate sia per rimediare a quanto accaduto sia per evitare successive ulteriori violazioni.
Il terzo obbligo riguarda la comunicazione all’utente, che è obbligatori nei casi più gravi, vale a dire quando vi sono fondati sospetti che la violazione possa tradursi in furti di identità, danni fisici o alla reputazione, quando i dati violati riguarda informazioni finanziarie, sanitarie, giudiziarie, o quando il volume di dati villati è particolarmente importanti.
Anche in questo caso il limite temporale è fissato in tre giorni e l’obbligo non sussiste se il provider utilizza sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati.
I provider hanno l’obbligo di mantenere un inventario aggiornato delle violazioni, per facilitare l’attività del Garante: è questo il quarto punto precisato dall’Autorità che riserva il quinto punto alle sanzioni.
L’inottemperanza all’obbligo di denuncia prevede una sanzione da 25.000 a 150.000 euro, mentre la mancata comunicazione all’utente prevede una multa da 150 a 1000 euro per ogni società o soggetto coinvolto.
Sanzionabile è anche la mancata tenuta dell’inventario: in questo caso l’ammenda è da 20.000 a 120.000 euro.
