L’obbligo per gli Isp e le telco dell’Ue di comunicare entro 24 ore ai Garanti Privacy e ai cittadini dell’Unione il furto o lo smarrimento dei dati personali del cliente. Questo il provvedimento più innovativo che rientra nel giro di vite della Commissione Europea sugli obblighi in capo a Isp e operatori Tlc in caso di furto, perdita o compromissione di dati personali dei clienti. In concreto, la Commissione introduce nuove regole standard a livello paneuropeo per le imprese che operano in diversi paesi, valide in tutto il territorio dell’Ue, attraverso “misure tecniche di attuazione” per garantire a tutti i clienti un trattamento equivalente in tutta l’Ue. Le nuove regole entreranno in vigore attorno a fine agosto
La Commissione dà attuazione a queste norme a seguito della consultazione pubblica del 2011 che ha fatto emergere un ampio favore dei portatori di interesse per un approccio armonizzato in questo settore. Le regole sono state concordate in seno a un comitato di Stati membri e sottoposte al vaglio del Parlamento europeo e del Consiglio; sono state adottate in forma di regolamento della Commissione, che è direttamente applicabile e non richiede alcun recepimento a livello nazionale, ed entreranno in vigore due mesi dopo la pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Contesto
Gli operatori delle telecomunicazioni e i fornitori di servizi Internet detengono una serie di dati dei loro clienti quali nome, indirizzo e coordinate bancarie, oltre alle informazioni sulle telefonate effettuate e ricevute e i siti web visitati. Dal 2011 queste imprese sono tenute a rispettare l’obbligo generale di informare le autorità nazionali e gli abbonati delle violazioni di dati personali (IP/11/622).
Grazie a un regolamento della Commissione le imprese potranno adempiere a tali obblighi contando su una maggiore chiarezza e i clienti avranno ulteriori garanzie circa il modo in cui ci si occuperà dei loro problemi. Ad esempio, le imprese devono informare dell’incidente l’autorità nazionale competente (il Garante Privacy ndr) entro 24 ore dalla sua rilevazione per limitarne al massimo le conseguenze; nel caso in cui non sia possibile fornire informazioni complete entro tale termine, comunicarne una prima serie entro 24 ore, con il resto a seguire entro tre giorni.
Indicare le informazioni compromesse e le misure che l’impresa ha attuato o intende attuare.
Nel valutare la necessità di informare gli abbonati (secondo il criterio del rischio di ripercussioni negative dell’infrazione sui dati personali o sulla vita privata) le imprese devono avere riguardo al tipo di dati compromessi, in particolare, per quanto riguarda le tlc, a informazioni finanziarie, dati sulla localizzazione, file di connessione a internet, cronologie di navigazione in rete, dati inerenti alla posta elettronica ed elenchi dettagliati delle chiamate.
Utilizzare un formato standard (ad esempio, un modulo online uguale per tutti gli Stati membri dell’Ue) per la notifica all’autorità nazionale competente.
La Commissione intende inoltre incentivare le imprese a criptare i dati personali. A tal fine, in collaborazione con l’Enisa, la Commissione pubblicherà anche una lista indicativa di misure tecnologiche di protezione, ad esempio di cifratura, che rendano i dati inintelligibili per coloro che non siano autorizzati a leggerli. Applicando tali tecniche l’impresa interessata da una violazione di dati sarebbe dispensata dall’obbligo di informare l’abbonato, in quanto tale violazione, di fatto, non ne rivelerebbe i dati personali.
Neelie Kroes, vicepresidente della Commissione europea, ha dichiarato: “Per tutelarsi, se necessario, i consumatori devono sapere se i loro dati personali sono stati compromessi, e le imprese hanno bisogno di semplicità: un contesto di condizioni eque che queste nuove misure di carattere concreto realizzano”.
Le nuove misure rientrano nell’ambito della direttiva sulla privacy digitale rivista, e non hanno legami con lo scandalo del ‘datagate’ su cui anzi non hanno impatto. Le norme riguardano soltanto gli operatori delle telecomunicazioni e i fornitori di servizi internet, e anzi la stessa direttiva prevede un’esenzione generale in caso di ragioni motivate di sicurezza nazionale.
La direttiva e-Privacy del 2002 prevede che gli operatori delle telecomunicazioni e i fornitori di servizi Internet mantengano i dati personali in condizioni di riservatezza e sicurezza. Tuttavia, i dati possono essere rubati o smarriti oppure possono avervi accesso persone non autorizzate: sono questi i casi di “violazione di dati personali”. Secondo la direttiva e-Privacy riveduta (2009/136/CE), al verificarsi di una violazione di dati personali il fornitore di servizi deve darne segnalazione a una specifica autorità nazionale, solitamente l’autorità nazionale garante della protezione dei dati o l’autorità di regolamentazione delle comunicazioni. Inoltre, il fornitore deve informare l’abbonato interessato direttamente nel caso in cui la violazione possa compromettere dati personali o la vita privata. Per garantire l’applicazione coerente delle norme sulla violazione di dati in tutti gli Stati membri la direttiva e-Privacy consente alla Commissione di proporre “misure tecniche di attuazione” – regole pratiche che integrano la normativa vigente — per definire le circostanze, i formati e le procedure per gli obblighi di notifica.
La direttiva e-Privacy stabilisce che, nel predisporre le misure, la Commissione “coinvolge tutti i soggetti interessati”. Ciò è stato fatto nel 2011 in forma di consultazione pubblica alla quale ha risposto un’ampia gamma di soggetti, comprese le autorità nazionali, i fornitori di servizi e la società civile. Dai risultati sono emersi un ampio sostegno dei portatori di interesse in favore di norme armonizzate e la conferma di approcci nazionali in parte divergenti. Nel predisporre le misure la Commissione ha consultato anche l’ Agenzia europea per la sicurezza delle reti e dell’informazione (Enisa), il Gruppo dell’articolo 29 per la tutela dei dati e il Garante europeo della protezione dei dati (Gepd). Queste misure sono separate e distinte dalla revisione del quadro giuridico dell’UE per la protezione dei dati proposta dalla Commissione e dalla proposta della Commissione inerente a una direttiva sulla sicurezza delle reti e dell’informazione.