Privacy: nuove regole a tutela dei dati online

Il Garante per la Privacy detta nuove regole per la sicurezza dei dati personali online: così dovranno comportarsi le aziende in caso di violazione.
Privacy: nuove regole a tutela dei dati online
Il Garante per la Privacy detta nuove regole per la sicurezza dei dati personali online: così dovranno comportarsi le aziende in caso di violazione.

Al termine di una stagione nella quale si è assistito ad un susseguirsi di violazioni su server che hanno portato alla fuga di ingenti quantitativi di dati personali, il Garante per la Privacy ha voluto dettare le proprie regole per fare in modo che, in caso di emergenza, si possa operare con protocolli severi e condivisi a tutela dell’utenza ed a monito delle aziende che non seguono un comportamento lineare.

Società telefoniche e Internet provider dovranno assicurare la massima protezione ai dati personali perché tra i loro nuovi obblighi ci sarà quello di avvisare gli utenti dei casi più gravi di violazioni ai loro data base che dovessero comportare perdita, distruzione o diffusione indebita di dati.

Il cuore dell’intervento è proprio nella comunicazione immediata: gli utenti debbono essere consapevoli di quanto sta accadendo e debbono sapere quali rischi stanno correndo (ed eventualmente come ridurre eventuali pericoli). Il caso del PlayStation Network, insomma, ha fatto scuola: Sony ai tempi tardò le comunicazioni all’utenza ed il danno peggiore fu proprio identificato in un ritardo che mise milioni di utenti in pericolo.

Il Garante per la sicurezza dei dati personali ha stabilito regole precise che fin da ora dettano i passi attraverso cui deve svilupparsi la situazione nel momento in cui una violazione diventi conclamata e, in particolare, «Le Linee guida […] stabiliscono chi deve adempiere all’obbligo di comunicare, in quali casi scatta l’obbligo di avvisare gli utenti, le misure di sicurezza tecniche e organizzative da mettere in atto per avvisare l’Autorità e gli utenti di un avvenuto “data breach”, i tempi e i contenuti della comunicazione». Seguire tali procedure potrebbe limitare i danni tanto per l’utenza coinvolta, quanto per l’azienda che si troverebbe altrimenti a rispondere di gravi violazioni per le quali sono già state previste anche specifiche sanzioni.

  • Chi deve comunicare le violazioni
    L’obbligo di comunicare le violazione di dati personali spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet. L’adempimento non riguarda quindi le reti aziendali, gli Internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca, i siti Internet che diffondono contenuti.
  • La comunicazione al Garante
    La comunicazione della violazione dovrà avvenire in maniera tempestiva: entro 24 ore dalla
    scoperta dell’evento, aziende tlc e Internet provider dovranno fornire le informazioni per consentire una prima valutazione dell’entità della violazione (tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione). Aziende telefoniche o internet provider avranno 3 giorni di tempo per una descrizione più dettagliata. Per agevolare l’adempimento il Garante ha predisposto un modello di comunicazione disponibile on line sul suo sito (www.garanteprivacy.it). All’esito delle verifiche, i provider dovranno comunicare al Garante le modalità con le quali hanno posto rimedio alla violazione e le misure adottate per prevenirne di nuove.
  • La comunicazione agli utenti
    Nei casi più gravi, oltre al Garante, le società telefoniche e gli Isp avranno l’obbligo di informare anche ciascun utente delle violazioni di dati personali subite. I criteri per la comunicazione dovranno basarsi sul grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione), sulla “attualità” dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati), sulla qualità dei dati (finanziari, sanitari, giudiziari etc.), sulla quantità dei dati coinvolti. La comunicazione agli utenti deve avvenire al massimo entro 3 giorni dalla violazione e non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati.
  • I controlli del Garante
    Per consentire l’attività di accertamento del Garante, i provider dovranno tenere un inventario costantemente aggiornato delle violazioni subite che dia conto delle circostanze in cui queste si sono verificate, le conseguenze che hanno avuto e i provvedimenti adottati a seguito del loro verificarsi.
  • Le sanzioni
    Non comunicare al Garante la violazione dei dati personali o provvedere in ritardo espone a
    una sanzione amministrativa che va da 25mila a 150mila euro. Stesso discorso per la omessa o
    mancata comunicazione agli interessati, siano essi soggetti pubblici, privati o persone fisiche: qui la sanzione prevista va da 150 euro a 1000 euro per ogni società o persona interessata. La mancata tenuta dell’inventario aggiornato è punita con la sanzione da 20mila a 120mila euro.

Ti consigliamo anche

Link copiato negli appunti