Garante per la protezione
    dei dati personali


Comunicato Stampa

PRIVACY:SCATTA L'OBBLIGO PER SOCIETà TELEFONICHE E INTERNET PROVIDER DI SEGNALARE AGLI UTENTI LE VIOLAZIONI SUBITE DAI PROPRI DATA BASE



Scatta l'obbligo per società telefoniche e Internetprovider di avvisare il Garante privacy e gli utenti quando i dati trattati perfornire i servizi subiscono gravi violazioni a seguito di attacchi informaticio di eventi avversi, come incendi o altre calamità, che possano comportareperdita, distruzione o diffusione indebita di dati.



Il Garante perla privacy ha infatti adottato, all'esito di una consultazione pubblica, un provvedimento generale che fissa, in attuazione delladirettiva europea sulla privacy nel settore delle comunicazioni elettroniche,gli adempimenti per i casi in cui si dovessero verificare i cosiddetti"data breach".



Il provvedimento, pubblicato oggi nellaGazzetta Ufficiale, stabilisce che l'obbligo di comunicare le violazioni didati personali, contenuti in particolare in data base elettronici o cartacei,spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet(e non, ad esempio, ai siti internet che diffondono contenuti, ai motori diricerca, agli internet point, alle reti aziendali).

Entro 24 ore dalla scopertadell'evento, società di tlc e Isp devono fornire al Garante le informazioninecessarie a consentire una prima valutazione dell'entità della violazione (adesempio, tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione,indicazione del luogo dove è avvenuta la violazione).

Per agevolare questoadempimento il Garante ha predisposto un modello di comunicazione disponibilesul suo sito (www.garanteprivacy.it).



Nei casi più gravi diviolazione, però, oltre che l'Authority, le società telefoniche e gli Ispdovranno informare entro tre giorni anche ciascun utente coinvolto, facendoriferimento a alcuni parametri fondamentali: il grado di pregiudizio che laperdita o la distruzione dei dati può comportare (furto di identità, dannofisico, danno alla reputazione); l' "attualità" dei dati (dati piùrecenti possono rivelarsi più interessanti per i malintenzionati); la qualità(finanziari, sanitari, giudiziari etc.) e la quantità dei dati coinvolti.

Lacomunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misuredi sicurezza e sistemi di cifratura e di anonimizzazione che rendonoinintelligibili i dati, ma il Garante può comunque imporla nei casi più gravi.

Per consentire l'attività di accertamento del Garante, le società telefoniche ei provider dovranno tenere un inventario costantemente aggiornato delleviolazioni subite che dia conto delle circostanze in cui queste si sonoverificate, le conseguenze che hanno avuto e i provvedimenti adottati a seguitodel loro verificarsi.



La mancata o ritardata comunicazione alGarante espone le società telefoniche e gli Internet provider a una sanzioneamministrativa che va da 25mila a 150mila euro. Sanzioni previste anche per laomessa o mancata comunicazione agli utenti che vanno da 150 euro a 1000 europer ogni società, ente o persona interessata. La mancata tenuta dell'inventarioaggiornato è punita con la sanzione da 20mila a 120mila euro.



Roma, 26 aprile 2013