Diritto

Società telefoniche e internet provider: nuovi obblighi di segnalazione per le fughe di dati

Le società telefoniche e i gestori di servizi internet sono obbligati a segnalare al Garante della Privacy e agli utenti le violazioni subite in seguito ad attacchi informatici o eventi avversi in grado di determinare la perdita o la fuga indebita dei dati contenuti nei propri archivi
Le società telefoniche e i gestori di servizi internet sono obbligati a segnalare al Garante della Privacy e agli utenti le violazioni subite in seguito ad attacchi informatici o eventi avversi in grado di determinare la perdita o la fuga indebita dei dati contenuti nei propri archivi

Le società telefoniche e i gestori di servizi internet sono obbligati a segnalare al Garante della Privacy e agli utenti le violazioni subite in seguito ad attacchi informatici o eventi avversi in grado di determinare la perdita o la fuga indebita dei dati contenuti nei propri archivi.

L’obbligo è stato introdotto da un recente provvedimento dell’authority sulla privacy (pubblicato sulla G.U. del 26 aprile 2013), adottato all’esito di un procedimento di consultazione che ha evidenziato la necessita di adeguare l’ordinamento interno alla direttiva europea sulla privacy in materia di “data breach”.

Il provvedimento prevede l’obbligo per le società telefoniche e gli Internet provider di segnalare al Garante e – limitatamente ai casi più gravi – agli utenti, le circostanze in cui i dati trattati per fornire i servizi abbiano subito “gravi violazioni a seguito di attacchi informatici o di eventi avversi, come incendi o altre calamità, in grado di comportare la perdita, la distruzione o la diffusione indebita di dati”.

L’obbligo di comunicazione riguarda esclusivamente i fornitori di servizi telefonici e di accesso a internet e non anche i siti internet e gli operatori che forniscono servizi accessori, quali motori di ricerca e internet point.

La comunicazione – che potrà essere compilata attraverso un modello tipo reperibile sul sito dell’autorità garante – dovrà essere inoltrata entro le 24 ore successive alla scoperta dell’evento, unitamente alle informazioni necessarie a consentire una prima valutazione dell’entità della violazione (tipologia dei dati coinvolti, descrizione dei sistemi, luogo di avvenuta violazione).

Nei casi più gravi, gli operatori dovranno altresì informare, entro tre giorni dall’evento, ciascun utente coinvolto. Tale comunicazione può essere omessa laddove il gestore sia in grado di dimostrare di aver utilizzato misure di sicurezza e sistemi di cifratura in grado di proteggere i dati fuoriusciti.

La mancata o la ritardata comunicazione determina l’applicabilità di una sanzione variabile da 25 mila a 150 mila euro.

Per consentire l’attività di accertamento del Garante, le società telefoniche e gli internet provider dovranno tenere un inventario costantemente aggiornato delle violazioni subite, nel quale dovranno essere indicate le circostanze in cui queste si sono verificate e i provvedimenti adottati per la loro rimozione.

La mancata tenuta o aggiornamento dell’inventario è punita con una sanzione variabile da un minimo di 20 mila ad un massimo di 120 mila euro.

Tags

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Close