Privacy: telefonia e internet, obbligo segnalare violazioni

Scatta l'obbligo per societa' telefoniche e Internet provider di segnalare agli utenti le violazionisubite dai propri data base (data breaches). Il provvedimento - pubblicato oggi sulla Gazzetta ufficiale - da attuazione ad una direttiva europea: le società di Tlc e Isp devono fornire al Garante le informazioni necessarie a valutare il danno entro 24 ore dalla scoperta della violazione.

Per agevolare questo adempimento il Garante ha predisposto un modello di comunicazione disponibile sul suo sito (www.garanteprivacy.it): dovrà essere riferita tra l'altro la tipologia dei dati coinvolti, la descrizione dei sistemi di elaborazione, l'indicazione del luogo dove è avvenuta la violazione). «Nei casi piu' gravi di violazione, oltre che l'Authority - spiega una nota del Garante della Privacy - le societa' telefoniche e gli Isp dovranno informare entro tre giorni anche ciascun utente coinvolto». In questo caso bisognerà fare riferimento a parametri fondamentali come il grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione); l'attualità dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati); la qualità (finanziari, sanitari, giudiziari etc.) e la quantità dei dati coinvolti.

La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati, ma il Garante può comunque imporla nei casi più gravi. Per consentire l'attività di accertamento del Garante, le società telefoniche e i provider dovranno tenere un inventario costantemente aggiornato delle violazioni subite che dia conto delle circostanze in cui queste si sono verificate, le conseguenze che hanno avuto e i provvedimenti adottati a seguito del loro verificarsi.

La mancata o ritardata comunicazione al Garante espone le società telefoniche e gli Internet provider a una sanzione amministrativa che va da 25mila a 150mila euro. Sanzioni previste anche per la omessa o mancata comunicazione agli utenti che vanno da 150 euro a 1000 euro per ogni società, ente o persona interessata. La mancata tenuta dell'inventario aggiornato è punita con la sanzione da 20mila a 120mila euro.