Nuove regole a tutela della privacy degli utenti contro il rischio di perdita, distruzione o diffusione indebita dei loro dati personali. In attuazione della direttiva europea sulla privacy nel settore delle comunicazioni elettroniche, d’ora in poi le società telefoniche e i fornitori dei servizi internet dovranno comunicare al Garante della privacy e, nei casi più gravi, agli utenti le violazioni occorse ai loro dati personali, contenuti innanzi tutto nei propri data base, trattati per la fornitura di determinati servizi.
A stabilirlo è stato il Garante che, con un provvedimento a carattere generale, ha chiarito gli obblighi da ottemperare nei casi di “data breach”, cioè di violazioni che mettono in pericolo informazioni riservate.
Dal momento in cui si scopre che un attacco hacker o eventi avversi, come incendi o altre calamità, hanno provocato perdita, furto, distruzione dei dati degli utenti, i fornitori di servizi telefonici e di accesso a internet sono tenuti a comunicare entro 24 ore le violazioni all’Authority.
L’obbligo ricade dunque sugli Isp e non sui singoli siti internet che diffondono contenuti, sui motori di ricerca, sugli internet point o sui responsabili delle reti aziendali. In seguito alla segnalazione il Garante Privacy provvederà a una prima valutazione dell’entità dell’infrazione.
Nei casi più gravi, poi, gli operatori telefonici e gli Isp dovranno mettere al corrente anche ciascun utente coinvolto, facendo riferimento ad alcuni parametri fondamentali: il grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto d’identità, danno fisico, danno alla reputazione); l’attualità dei dati (quelli più recenti possono rivelarsi più interessanti per i malintenzionati); la qualità (dati finanziari, sanitari, giudiziari) e la quantità dei dati coinvolti.
La comunicazione all’utente non è obbligatoria se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati, anche se l’Autorità può comunque imporla nei casi più gravi.
La mancata o ritardata comunicazione al Garante della privacy può comportare pene amministrative alle società responsabili per una somma compresa tra 25mila e 150mila euro; inoltre, le aziende potranno essere chiamate a pagare somme complrese fra 150 euro a 1000 euro per ogni soggetto (dalle società, agli enti o alle persone fisiche) a cui non è stata comunicata la violazione dei rispettivi dati personali.
Le società telefoniche e i fornitori dei servizi – per favorire l’attività di accertamento del Garante e comunque evitare ulteriori sanzioni comprese fra 20mila a 120mila euro – dovranno tenere un inventario costantemente aggiornato delle violazioni subite che dia conto delle circostanze in cui queste si sono verificate, delle conseguenze che hanno avuto e dei provvedimenti adottati a seguito del loro verificarsi.
