Bologna
/ Ancona
/ Ascoli
/ Cesena
/ Civitanova Marche
/ Fano
/ Fermo
/ Ferrara
/ Forli
/ Imola
/ Macerata
/ Modena
/ Pesaro
/ Ravenna
/ Reggio Emilia
/ Rimini
/ Rovigo
Cambiano le regole per la sicurezza in rete e nelle telecomunicazioni: in caso di distruzione o perdita dei dati personali società telefoniche e Internet service provider avranno l’obbligo di informativa. Multe pesanti
Roma, 8 agosto 2012 - Dati personali sottratti, dati personali perduti. Chissà quante volte gli hacker hanno violato le reti di tlc e degli isp senza che il cliente (ignaro per principio) ne sapesse nulla. Tutti zitti: gestori telefonici e internet service provider. Non foss'altro per risparmiarsi la figuraccia, la perdita di reputazione o la fuga del cliente. Da oggi stop al malcostume, alla furbata - italica ma non solo. Stamattina sono state pubblicate sulla Gazzetta ufficiale le nuove disposizioni del Garante per la Protezione dei dati personali.
QUADRO PRIMO - Le novità sono molte. E significative. "In attuazione della Direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche, di recente recepita dall’Italia - informa la nota dell'Authority -, il Garante per la privacy ha fissato un primo quadro di regole in base alle quali le società di tlc e i fornitori di servizi di accesso a Internet saranno tenuti a comunicare, oltre che alla stessa Autorità, anche agli utenti le “violazioni di dati personali” (“data breaches”) che i loro data base dovessero subire a seguito di attacchi informatici, o di eventi avversi, quali incendi o altre calamità".
CASISTICA - Le linee guida adottate dal Garante stabiliscono chi deve adempiere all’obbligo di comunicare, in quali casi scatta l’obbligo di avvisare gli utenti, le misure di sicurezza tecniche e organizzative da mettere in atto per avvisare l’Autorità e gli utenti di un avvenuto “data breach”, i tempi e i contenuti della comunicazione.
CHI FA COSA - L’obbligo di comunicare le violazione di dati personali "spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet". L’adempimento non riguarda quindi le reti aziendali, gli Internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca, i siti Internet che diffondono contenuti".
COME SI COMUNICA - Spiega l'Autorità garante: "La comunicazione della violazione dovrà avvenire in maniera tempestiva: entro 24 ore dalla scoperta dell’evento, aziende tlc e Internet provider dovranno fornire le informazioni per consentire una prima valutazione dell’entità della violazione (tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione). Aziende telefoniche o internet provider avranno 3 giorni di tempo per una descrizione più dettagliata. Per agevolare l’adempimento il Garante ha predisposto un modello di comunicazione disponibile on line sul suo sito www.garanteprivacy.it. All’esito delle verifiche, i provider dovranno comunicare al Garante le modalità con le quali hanno posto rimedio alla violazione e le misure adottate per prevenirne di nuove".
CLIENTI GARANTITI - "Nei casi più gravi, oltre al Garante, le società telefoniche e gli Isp avranno l’obbligo di informare anche ciascun utente delle violazioni di dati personali subite. I criteri per la comunicazione - ricorda la nota dell'Authority presieduta da Antonello Soro - dovranno basarsi sul grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione), sulla “attualità” dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati), sulla qualità dei dati (finanziari, sanitari, giudiziari etc.), sulla quantità dei dati coinvolti. La comunicazione agli utenti deve avvenire al massimo entro tre giorni dalla violazione".
LE ECCEZIONI - La comunicazione agli utenti non è dovuta "se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati".
I CONTROLLI - "I provider - informa il Garante - dovranno tenere un inventario costantemente aggiornato delle violazioni subite che dia conto delle circostanze in cui queste si sono verificate, le conseguenze che hanno avuto e i provvedimenti adottati a seguito del loro verificarsi".
LE SANZIONI - Multe salate per gestori telefonici o isp inadempienti o distratti. "Non comunicare la violazione dei dati personali o provvedere in ritardo - ricorda l'Autorità di Piazza Montecitorio - espone a una sanzione amministrativa che va da 25mila a 150mila euro". Stesso discorso per la omessa o mancata comunicazione agli interessati, siano essi soggetti pubblici, privati o persone fisiche: "Qui la sanzione prevista va da 150 euro a 1.000 euro per ogni società o persona interessata". Infine, un pesante stop a chi non si uniformasse. " La mancata tenuta dell’inventario aggiornato è punita con la sanzione da 20mila a 120mila euro". Mica uno scherzo. Specialmente per gli Isp meno strutturati, sin qui sopravvissuti alla selezione della specie. Ma ora l'asticella diventerà più alta.
Condividi l'articolo
Segui le notizie su Facebook
Segui le notizie di Quotidiano.Net su Facebook
