Nuovo provvedimento del Garante
Il Garante per la privacy ha adottato, al termine di una consultazione pubblica, un provvedimento, in attuazione della direttiva europea sulla privacy nel settore delle comunicazioni elettroniche, sugli adempimenti per i casi di "data breach", cioè quelle gravi violazioni delle informazioni personali contenute nelle banche dati, a causa di attacchi informatici o eventi avversi: tali eventi, se non affrontati in modo adeguato e tempestivo, possono provocare un grave danno economico e sociale agli utenti, tra cui il furto d'identità e il danno alla reputazione 1.
Il provvedimento stabilisce l'obbligo per società telefoniche e Internet provider (non per i siti internet che diffondono contenuti, i motori di ricerca, gli internet point, le reti aziendali) di comunicare al Garante le violazioni di dati personali, contenuti in particolare in data base elettronici o cartacei entro 24 ore dalla scoperta dell'evento; le informazioni devono consentire una valutazione dell'entità della violazione (ad esempio, tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione). Nei casi più gravi dovranno essere immediatamente informati anche gli utenti coinvolti, a meno che siano già state adottate misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendano inintelligibili i dati, salvo diversa decisione del Garante. Le società interessate devono tenere un inventario costantemente aggiornato delle violazioni subite, delle loro cause, delle conseguenze e dei provvedimenti adottati.
Sono previste sanzioni in caso di mancata o ritardata comunicazione al Garante, mancata comunicazione agli utenti o mancata tenuta dell'inventario aggiornato.
1 Vedi il provvedimento n. 161 del 4 aprile 2013: norme di attuazione della disciplina sulla comunicazione delle violazioni di dati personali. Le direttive 2002/58/Ce e 2009/136/Ce (recepite con il decreto legislativo n. 69 del 2012) prevedono l’obbligo per i fornitori di servizi di comunicazione elettronica di "appropriate misure tecniche e organizzative" per assicurare "un livello di sicurezza adeguato al rischio esistente”..