Si rinnovano le regole su Internet per il rispetto della privacy e la sicurezza dei dati degli utenti: protocolli severi e condivisi ai quali le aziende online dovranno conformarsi, pena l’applicazione di pesanti sanzioni.
Le nuove norme del Garante per la Privacy danno attuazione alla direttiva UE in tema di Comunicazioni Elettroniche e mercato TLC.
Le novità sono dovute alla crescente necessità di proteggere i dati sensibili degli utenti in Rete dagli attacchi dei cyber criminali, che sempre più spesso sfruttano falle nei sistemi delle società che li conservano nei propri data base o che li gestiscono.
Le nuove procedure stabilite dal Garante della Privacy – comunicazione, adozione di misure di sicurezza tecniche e organizzative e avviso tempestivo delle Autorità competenti – mirano a limitare i danni di eventuali “data breach” sia per gli utenti sia per le aziende.
In caso di violazioni gravi – perdita, distruzione o diffusione dei dati – le aziende sono infatti obbligate ad avvisare immediatamente gli utenti interessati. L’obbligo di comunicazione immediata consentirà agli utenti – consapevoli dei rischi a cui sono esposti – di correre ai ripari tempestivamente.
Imprese coinvolte
L’obbligo di comunicare eventuali violazione ai dati personali spetta esclusivamente ai fornitori di servizi telefonici (TLC) e di accesso a Internet.
Entro 24 ore dalla scoperta della violazione, aziende TLC e Internet provider dovranno darne comunicazione al Garante. A tale scopo è possibile utilizzare il modello di comunicazione predisposto dal Garante e disponibile sul proprio sito.
La comunicazione dovrà contenere anche informazioni sull’evento: tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, luogo dove è avvenuta la violazione e quant’altro possa risultare utile per effettuare una prima valutazione sull’entità della violazione.
Gli ISP avranno a disposizione ulteriori 3 giorni per elaborare una descrizione più dettagliata dell’avvenimento.
Il Garante dovrà essere messo aggiornato sull’esito delle verifiche effettuate e sulle misure di contrasto e prevenzione delle violazioni.
I provider dovranno infine tenere un inventario costantemente aggiornato delle violazioni subite, nel quale dettagliare le circostanze che hanno portato al loro verificarsi, le conseguenze e i provvedimenti adottati. Tale inventario sarà utilizzato dal Garante per le proprie attività di accertamento.
Esclusi. Non sono chiamati all’adempimento le reti aziendali, gli Internet point, i motori di ricerca ed i siti Internet che diffondono contenuti.
Comunicazione agli utenti
Le aziende sono chiamate a informare ogni singolo utente entro 3 giorni dall’avvenuta scoperta della violazione, ma solo nel caso in cui le violazioni siano ritenute gravi. Il livello di gravità andrà valutato in base a:
- grado di pregiudizio, ovvero se la perdita o la distruzione dei dati può portare a casi di furto di identità, danno fisico, danno alla reputazione, etc;
- grado di attualità dei dati, più sono “freschi” e più è grave la violazione;
- qualità dei dati (finanziari, sanitari, giudiziari etc.);
- quantità dei dati coinvolti.
Esclusi. Sono esonerati dalla comunicazione tempestiva ad ogni singolo utente, aziende ed ISP in grado di dimostrare di aver utilizzato misure di sicurezza e sistemi di cifratura e anonimizzazione che rendono inintelligibili i dati.
Sanzioni
In caso di mancata o ritardata comunicazione al Garante della Privacy dell’avvenuta violazione dei dati, aziende TLC e ISP saranno puniti con una sanzione amministrativa che può andare da 25mila a 150mila euro.
In caso di omessa o ritardata comunicazione agli utenti coinvolti le sanzioni andranno da 150 euro a 1.000 euro per ogni soggetto interessato, sia esso una società pubblica o privata o persona fisica.
In caso di mancata tenuta o aggiornamento dell’inventario la sanzione applicata andrà dai 20mila ai 120mila euro.
***
- Linee guida Garante Privacy sulla comunicazione delle violazioni di dati personali
- Modello di comunicazione al Garante