Al via l’obbligo per le società di telecomunicazioni e gli Internet provider di segnalare gli abusi sulla privacy subiti dagli utenti e le violazione dei propri data base. Lo annuncia il Garante della Privacy che ha adottato, al termine di una consultazione pubblica, un provvedimento generale che fissa gli adempimenti per i casi in cui si dovessero verificare i cosiddetti ‘data breach’.
Il provvedimento, pubblicato oggi in Gazzetta Ufficiale, precisa che l’obbligo di comunicare le violazioni spetta ai fornitori di servizi telefonici e di accesso a Internet (e non, ad esempio, ai siti internet che diffondono contenuti, ai motori di ricerca, agli internet point, alle reti aziendali). L’obbligo va adempiuto entro 24 ore dalla scoperta dell’evento. Allo scopo il Garante ha predisposto un modello di comunicazione, disponibile sul suo sito (www.garanteprivacy.it).
Nei casi piu’ gravi, oltre che l’Authority, le societa’ telefoniche e gli Internet provider dovranno informare entro tre giorni anche ciascun utente coinvolto, facendo riferimento ad alcuni parametri fondamentali: il grado di pregiudizio che la perdita o la distruzione dei dati puo’ comportare (furto di identita’, danno fisico, danno alla reputazione); l’ attualita’ dei dati (dati piu’ recenti possono rivelarsi piu’ interessanti per i malintenzionati); la qualita’ (finanziari, sanitari, giudiziari etc.) e la quantita’.
La comunicazione agli utenti non e’ dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati, ma il Garante puo’ comunque imporla. Per consentire l’attivita’ di accertamento del Garante, le societa’ telefoniche e i provider dovranno tenere un inventario costantemente aggiornato delle violazioni subite. La mancata o ritardata comunicazione e’ punita con una sanzione amministrativa che va da 25mila a 150mila euro. Sono previste sanzioni anche per la omessa o mancata comunicazione agli utenti che vanno da 150 euro a 1000 euro per ogni societa’, ente o persona interessata. La mancata tenuta dell’inventario aggiornato e’ punita con la sanzione da 20mila a 120mila euro.
L’obbligo di segnalazione da parte delle societa’ telefoniche e degli Internet provider delle violazioni dei propri data base scatta non solo quando i dati sono oggetto di attacchi informatici ma anche quando si registrano eventi avversi, come incendi o altre calamita’, che possano comportare perdita, distruzione o diffusione indebita dei dati stessi.
