Flavio Calcagno è junior project
manager e si occupa principamente di project planning e opportunità di
investimento. Laureato in Scienze Politiche e specializzato in Governo
dell’Unione Europea e Politica Internazionale è da sempre affascinato dal mondo
dell’editoria e dell’informazione digitale. Scrive per conto di diverse realtà
in ambito sociale e imprenditoriale.
I tuoi dati personali sono stati violati? Le compagnie telefoniche e i provider internet a cui si è abbonati dovranno avvisarti, attuando una serie di procedure per garantire il ripristino della sicurezza nel caso in cui i loro database venissero in qualche modo compromessi. Lo dice la direttiva europea in materia di sicurezza e privacy nelle comunicazioni elettroniche, recepita recentemente dall’Italia, secondo la quale le società telefoniche e Internet provider dovranno assicurare la massima protezione ai dati personali perché tra i loro nuovi obblighi ci sarà quello di avvisare gli utenti dei casi più gravi di violazioni ai loro database che dovessero comportare perdita, distruzione o diffusione indebita di dati. In questo senso, l'Autorità Garante per la privacy ha stilato un primo quadro di regole per le società di tlc e i fornitori di servizi di accesso a Internet.
Innanzitutto, come già detto, esse saranno tenute a comunicare, oltre che alla stessa Autorità, anche agli utenti ogni violazione riguardante dati personali (data breaches) che i loro data base dovessero subire a seguito di attacchi informatici, o di eventi avversi, quali incendi o altre calamità. L'obbligo di comunicare le violazione di dati personali sarà a carico esclusivamente dei fornitori di servizi, pertanto l'adempimento non riguarderà le reti aziendali, gli Internet point, i motori di ricerca, i siti Internet che diffondono contenuti. Inoltre, la comunicazione della violazione dovrà essere immediata, non oltre le 24 ore dalla scoperta dell'evento. In particolare, le aziende tlc e internet provider dovranno assicurare tutte le informazioni necessarie per consentire una prima valutazione riguardante l’entità e il tipo di violazione, fornendo ad esempio la tipologia dei dati coinvolti, la descrizione dei sistemi di elaborazione, l’ indicazione del luogo protagonista della violazione. Successivamente, le aziende suddette avranno a disposizione 3 giorni di tempo per rilasciare una descrizione degli eventi più accurata.
Per ottemperare al meglio all’obbligo di comunicazione, il Garante ha predisposto un modello di comunicazione disponibile on line sul suo sito www.garanteprivacy.it. All'esito delle verifiche, i provider saranno chiamati nuovamente per comunicare al Garante le modalità con le quali hanno rimediato al danno e le misure di prevenzione adottate al fine di ridurre sensibilmente il rischio di una ulteriore riproposizione dell’evento avverso.
Un ulteriore obbligo scatta nei casi più gravi, quando la perdita o la distruzione dei dati può comportare situazioni di furto di identità, danno fisico, danno alla reputazione, oppure quando i dati violati siano talmente “attuali” da potersi rivelare notevolmente interessanti per i malintenzionati, o ancora quando l’illecito mette in pericolo dati qualitativamente rilevanti (finanziari, sanitari, giudiziari etc.) o quantitativamente significativi. In questi casi, oltre al Garante, le società telefoniche e gli Isp avranno l'obbligo di informare anche ciascun utente delle violazioni di dati personali subite. Anche questa volta la comunicazione agli utenti deve avvenire al massimo entro 3 giorni dalla violazione, tranne nel caso in cui è possibile dimostrare di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati.
Per favorire l'attività di accertamento del Garante, i provider dovranno predisporre un inventario costantemente aggiornato delle violazioni subite, contenente le circostanze in cui queste si sono verificate, le conseguenze che hanno avuto e i provvedimenti adottati a seguito del loro verificarsi.
Decidere di non comunicare al Garante la violazione dei dati personali o provvedere in ritardo a tale adempimento comporta una sanzione amministrativa che va da 25mila a 150mila euro. Discorso identico per la omessa o mancata comunicazione agli interessati, siano essi soggetti pubblici, privati o persone fisiche, con una sanzione prevista che va da 150 euro a 1000 euro per ogni società o persona interessata. Infine, la mancata predisposizione dell'inventario aggiornato è passibile di un’ammenda che va dai 20mila ai 120mila euro.
L’Autorità ha in ogni caso deciso di procedere con una consultazione pubblica (con pubblicazione sulla G.U.), per coinvolgere società telefoniche e Isp nella fase di armonizzazione delle procedure e delle modalità di notifica, in modo da poter acquisire anche da parte loro informazioni utili a valutare l'adeguatezza delle misure individuate.
