Garante privacy, nuove regole per la tutela dei dati online

L'Authority impone la comunicazione immediata all'utente di eventuali violazioni

mercoledì 8 agosto 2012

D'ora in poi, se i nostri dati personali saranno persi o distrutti da parte di una società telefonica o di un internet provider, scatterà per queste ultime l'obbligo di avvisarci. Aumenta, dunque, la sicurezza dei dati informatici degli utenti grazie alle nuove Linee guida in materia di attuazione della disciplina dell'UE sulla comunicazione delle violazioni di dati personali, attuate dall'Autorità garante per la privacy, presieduta da Antonello Soro, con il provvedimento 121 del 26 luglio scorso.

Si tratta del primo quadro di regole fissate in attuazione della direttiva europea in materia, recentemente recepita dall'Italia. Il primo obbligo sarà proprio quello di comunicare, oltre che alla stessa Authority, anche agli utenti interessati le eventuali violazioni di dati personali (i cosiddetti "data breaches") avvenuti a causa di attacchi di hacker o di calamità come incendi o altri eventi avversi. La prima comunicazione tempestiva, contenente indicazioni in merito all'entità della violazione (come la tipologia dei dati e la descrizione dei sistemi coinvolti, nonché l'indicazione del luogo), dovrà avvenire entro 24 ore, mentre ci saranno altri tre giorni di tempo per una descrizione più dettagliata e per stabilire le misure da adottare per rimediare alla violazione e per prevenirne di nuove. Il modello di comunicazione è disponibile online sul sito ufficiale del Garante della privacy.

Le violazioni subite dovranno anche essere registrate in un inventario costantemente aggiornato, in modo da consentire al Garante di rispettare le disposizioni in questione. Nei casi più gravi (sulla base del grado di pregiudizio comportato dalla perdita o dalla distruzione dei dati, ma anche sulla qualità, quantità e attualità dei dati stessi), inoltre, le società di TLC e gli ISP dovranno informare entro la stessa scadenza di tre giorni anche ciascun utente colpito. L'unico caso in cui l'azienda sarà dispensata dalla comunicazione è quello in cui si sia messa in atto una criptatura dei dati tali da renderli illeggibili da parte dei malintenzionati. L'obbligo di comunicazione riguarda solamente i fornitori della connettività e dell'accesso, non dunque le reti aziendali, gli Internet point, i motori di ricerca o qualsiasi sito che si limiti a diffondere contenuti.

La comunicazione immediata, al centro di queste nuove linee guida, si rivelerà di estrema importanza nel caso di perdita, furto o eventuale diffusione indebita di dati personali. Dare agli utenti la piena consapevolezza della violazione subita e dei rischi che stanno correndo rappresenta infatti una contromisura in grado di limitare i danni in maniera consistente. Inoltre per rimediare all'eventuale ritrosia ad attenersi alle nuove normative – magari a causa del timore di danni alla reputazione da parte delle società - il Garante per la protezione dei dati personali ha anche predisposto le sanzioni per l'eventuale violazione delle stesse: per la mancata o ritardata comunicazione all'Authority le multe andranno da 25 mila a 150 mila Euro, mentre per quella ai diretti interessati si pagherà tra i 150 e i 1000 Euro per ogni persona coinvolta. Da 20 mila a 120 mila Euro, invece, la sanzione amministrativa prevista per la mancata tenuta dell'inventario.

Fabrizio Corgnati