| Garante per la protezione dei dati personali NUOVE REGOLE PER LASICUREZZA DEI DATI IN RETE E NELLE TLC In caso di distruzione o perdita dei datipersonali società telefoniche e Internet provider avranno l'obbligo di avvisaregli utenti Società telefoniche e Internet provider dovranno assicurare la massimaprotezione ai dati personali perché tra i loro nuovi obblighi ci sarà quello diavvisare gli utenti dei casi più gravi di violazioni ai loro data base chedovessero comportare perdita, distruzione o diffusione indebita di dati. In attuazione della direttiva europea in materia di sicurezza eprivacy nel settore delle comunicazioni elettroniche, di recente recepitadall'Italia, il Garante per la privacy ha fissato un primo quadro di regole inbase alle quali le società di tlc e i fornitori di servizi di accesso aInternet saranno tenuti a comunicare, oltre che alla stessa Autorità, ancheagli utenti le "violazioni di dati personali" ("databreaches") che i loro data base dovessero subire a seguito di attacchiinformatici, o di eventi avversi, quali incendi o altre calamità. Le Al fine di armonizzare le procedure e le modalità di notifica,l'Autorità ha comunque deciso di avviare una consultazione pubblica (conpubblicazione sulla G.U.), per acquisire da parte delle società telefoniche edegli Isp elementi utili a valutare l'adeguatezza delle misure individuate. Ecco in sintesi i punti principali delle Linee guida del Garante. Chi deve comunicare le violazioni L'obbligo di comunicare le violazione di dati personali spettaesclusivamente ai fornitori di servizitelefonici e di accesso a Internet. L'adempimento non riguarda quindi lereti aziendali, gli Internet point (che si limitano a mettere a disposizionedei clienti i terminali per la navigazione), i motori di ricerca, i sitiInternet che diffondono contenuti. La comunicazione al Garante La comunicazione della violazione dovrà avvenire in manieratempestiva: entro 24 ore dallascoperta dell'evento, aziende tlc e Internet provider dovranno fornire leinformazioni per consentire una prima valutazione dell'entità della violazione(tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione,indicazione del luogo dove è avvenuta la violazione). Aziende telefoniche ointernet provider avranno 3 giorni di tempo per una descrizione piùdettagliata. Per agevolare l'adempimento il Garante ha predisposto un All'esito delle verifiche, i provider dovranno comunicare al Garantele modalità con le quali hanno posto rimedio alla violazione e le misureadottate per prevenirne di nuove. La comunicazione agli utenti Nei casi più gravi, oltre al Garante, le società telefoniche e gli Ispavranno l'obbligo di informare anche ciascun utente delle violazioni di datipersonali subite. I criteri per la comunicazione dovranno basarsi sul La comunicazione agli utenti deve avvenire al massimo entro 3 giornidalla violazione e non è dovuta se si dimostra di aver utilizzato misure disicurezza e sistemi di cifratura e di anonimizzazione che rendonoinintelligibili i dati. I controlli del Garante Per consentire l'attività di accertamento del Garante, i providerdovranno tenere un inventariocostantemente aggiornato delle violazioni subite che dia conto dellecircostanze in cui queste si sono verificate, le conseguenze che hanno avuto ei provvedimenti adottati a seguito del loro verificarsi. Le sanzioni Non comunicare al Garante la violazione dei dati personali oprovvedere in ritardo espone a una sanzione amministrativa che va da 25mila a150mila euro. Stesso discorso per la omessa o mancata comunicazione agliinteressati, siano essi soggetti pubblici, privati o persone fisiche: qui lasanzione prevista va da 150 euro a 1000euro per ogni società o persona interessata. La mancata tenutadell'inventario aggiornato è punita con la sanzione da 20mila a 120mila euro. Roma, 1 agosto 2012
(*) Il modello va aperto, compilato e, dopoaver apposto la firma digitale, salvato come un file .pdf sul propriocomputer. Infine, il modello va inviato al Garante unicamente tramite postaPEC all'indirizzo: |