Garante per la protezione
    dei dati personali


Comunicato Stampa

NUOVE REGOLE PER LASICUREZZA DEI DATI IN RETE E NELLE TLC


In caso di distruzione o perdita dei datipersonali società telefoniche e Internet provider avranno l'obbligo di avvisaregli utenti

Società telefoniche e Internet provider dovranno assicurare la massimaprotezione ai dati personali perché tra i loro nuovi obblighi ci sarà quello diavvisare gli utenti dei casi più gravi di violazioni ai loro data base chedovessero comportare perdita, distruzione o diffusione indebita di dati.

In attuazione della direttiva europea in materia di sicurezza eprivacy nel settore delle comunicazioni elettroniche, di recente recepitadall'Italia, il Garante per la privacy ha fissato un primo quadro di regole inbase alle quali le società di tlc e i fornitori di servizi di accesso aInternet saranno tenuti a comunicare, oltre che alla stessa Autorità, ancheagli utenti le "violazioni di dati personali" ("databreaches") che i loro data base dovessero subire a seguito di attacchiinformatici, o di eventi avversi, quali incendi o altre calamità.

Le Linee guida adottate dal Garantestabiliscono chi deve adempiere all'obbligo di comunicare, in quali casi scattal'obbligo di avvisare gli utenti, le misure di sicurezza tecniche eorganizzative da mettere in atto per avvisare l'Autorità e gli utenti di unavvenuto "data breach", i tempi e i contenuti della comunicazione.

Al fine di armonizzare le procedure e le modalità di notifica,l'Autorità ha comunque deciso di avviare una consultazione pubblica (conpubblicazione sulla G.U.), per acquisire da parte delle società telefoniche edegli Isp elementi utili a valutare l'adeguatezza delle misure individuate.

Ecco in sintesi i punti principali delle Linee guida del Garante.

Chi deve comunicare le violazioni


L'obbligo di comunicare le violazione di dati personali spettaesclusivamente ai fornitori di servizitelefonici e di accesso a Internet. L'adempimento non riguarda quindi lereti aziendali, gli Internet point (che si limitano a mettere a disposizionedei clienti i terminali per la navigazione), i motori di ricerca, i sitiInternet che diffondono contenuti.

La comunicazione al Garante


La comunicazione della violazione dovrà avvenire in manieratempestiva: entro 24 ore dallascoperta dell'evento, aziende tlc e Internet provider dovranno fornire leinformazioni per consentire una prima valutazione dell'entità della violazione(tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione,indicazione del luogo dove è avvenuta la violazione). Aziende telefoniche ointernet provider avranno 3 giorni di tempo per una descrizione piùdettagliata. Per agevolare l'adempimento il Garante ha predisposto un modello di comunicazione(*) disponibile on line sul suosito (www.garanteprivacy.it)

All'esito delle verifiche, i provider dovranno comunicare al Garantele modalità con le quali hanno posto rimedio alla violazione e le misureadottate per prevenirne di nuove.

La comunicazione agli utenti


Nei casi più gravi, oltre al Garante, le società telefoniche e gli Ispavranno l'obbligo di informare anche ciascun utente delle violazioni di datipersonali subite. I criteri per la comunicazione dovranno basarsi sul grado di pregiudizio che la perdita ola distruzione dei dati può comportare (furto di identità, danno fisico, dannoalla reputazione), sulla "attualità"dei dati (dati più recenti possono rivelarsi più interessanti per imalintenzionati), sulla qualitàdei dati (finanziari, sanitari, giudiziari etc.), sulla quantità dei dati coinvolti.

La comunicazione agli utenti deve avvenire al massimo entro 3 giornidalla violazione e non è dovuta se si dimostra di aver utilizzato misure disicurezza e sistemi di cifratura e di anonimizzazione che rendonoinintelligibili i dati.

I controlli del Garante


Per consentire l'attività di accertamento del Garante, i providerdovranno tenere un inventariocostantemente aggiornato delle violazioni subite che dia conto dellecircostanze in cui queste si sono verificate, le conseguenze che hanno avuto ei provvedimenti adottati a seguito del loro verificarsi.

Le sanzioni


Non comunicare al Garante la violazione dei dati personali oprovvedere in ritardo espone a una sanzione amministrativa che va da 25mila a150mila euro. Stesso discorso per la omessa o mancata comunicazione agliinteressati, siano essi soggetti pubblici, privati o persone fisiche: qui lasanzione prevista va da 150 euro a 1000euro per ogni società o persona interessata. La mancata tenutadell'inventario aggiornato è punita con la sanzione da 20mila a 120mila euro.

Roma, 1 agosto 2012

 

NOTE

(*) Il modello va aperto, compilato e, dopoaver apposto la firma digitale, salvato come un file .pdf sul propriocomputer. Infine, il modello va inviato al Garante unicamente tramite postaPEC all'indirizzo: dcrt@pec.gpdp.it.