Garante Privacy: violazione dati personali, utenti dovranno essere avvertiti

In caso di distruzione, perdita o diffusione indebita dei dati personali, esito di attacchi informatici o di eventi avversi, società telefoniche e internet provider dovranno avvisare gli utenti. Dal Garante per la Privacy arrivano nuove regole per la sicurezza dei dati in rete e nelle telecomunicazioni, con linee guida che attuano quanto previsto dalla normativa europea in tema di “data breaches”, le violazioni dei dati personali.

I motivi possono essere i più svariati, ma il risultato è sempre un incidente nella sicurezza in cui dati sensibili, protetti o confidenziali vengono trasmessi, copiati, visti, rubati o usati da persone non autorizzate: si può trattare di informazioni finanziarie come quelle che riguardano le carte di credito, dati sensibili sulla salute, dati che riguardano la proprietà intellettuale, email, password. Ora, informa il Garante Privacy, “società telefoniche e Internet provider dovranno assicurare la massima protezione ai dati personali perché tra i loro nuovi obblighi ci sarà quello di avvisare gli utenti dei casi più gravi di violazioni ai loro data base che dovessero comportare  perdita, distruzione o diffusione indebita di dati”.

Il Garante ha infatti fissato, in attuazione della direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche, un primo quadro di regole in base alle quali le società di tlc e i fornitori di servizi di accesso a Internet saranno tenuti a comunicare, oltre che alla stessa Autorità, anche agli utenti le  “violazioni di dati personali” (“data breaches”) che i loro data base dovessero subire a seguito di attacchi informatici, o di eventi avversi, quali incendi o altre calamità. Sarà inoltre avviata una consultazione pubblica.

Le linee guida del Garante prevedono prima di tutto che l’obbligo di comunicare le violazioni dei dati personali spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet. Sono escluse le reti aziendali, gli Internet point, i motori di ricerca e i siti internet che diffondono contenuti.

La comunicazione al Garante Privacy dovrà essere tempestiva: entro 24 ore dalla scoperta dell’evento, aziende tlc e Internet provider dovranno fornire le informazioni per consentire una prima valutazione dell’entità della violazione (tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione). Aziende telefoniche o internet provider avranno 3 giorni di tempo per una descrizione più dettagliata.

C’è poi la comunicazione agli utenti: nei casi più gravi, le società telefoniche e gli Isp avranno l’obbligo di informare anche ciascun utente delle violazioni di dati personali subite. In questo caso, i criteri da seguire riguardano il grado di pregiudizio che la perdita o la distruzione dei dati può portare – basti pensare al furto di identità – insieme all’attualità dei dati (perché quelli più recenti possono risultare più interessanti),  alla qualità dei dati, finanziari, sanitari e giudiziari, nonché alla quantità dei dati coinvolti. La comunicazione deve avvenire al massimo entro tre giorni dalla violazione ma non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati.

I provider dovranno tenere un inventario aggiornato delle violazioni subite, per permettere i controlli del Garante. Previste infine sanzioni: la mancata comunicazione al Garante Privacy della violazione dei dati personali, o il ritardo nella comunicazione, espone a una sanzione amministrativa che va da 25mila a 150mila euro. Stesso discorso per l’omessa o mancata comunicazione agli interessati, siano essi soggetti pubblici, privati o persone fisiche: qui la sanzione prevista va da 150 euro a 1000 euro per ogni società o persona interessata.  La mancata tenuta dell’inventario aggiornato è punita con la sanzione da 20mila a 120mila euro.