Gli operatori telefonici e gli Internet Service Provider d'ora in poi dovranno obbligatoriamente segnalare agli utenti le eventuali violazioni informatiche subite dai propri database. Venerdì scorso la Gazzetta Ufficiale ha pubblicato il provvedimento che stabilisce che l'obbligo di comunicare le violazioni di dati personali, contenuti in particolare in database elettronici o cartacei, spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet. Ovviamente rientrano in questa casistica ogni tipo di incidenti, quindi cyber-attacchi, errori o calamità.
"Il Garante per la privacy ha infatti adottato, all'esito di una consultazione pubblica, un provvedimento generale che fissa, in attuazione della direttiva europea sulla privacy nel settore delle comunicazioni elettroniche, gli adempimenti per i casi in cui si dovessero verificare i cosiddetti data breach", si legge nella nota ufficiale del Garante.
Data Breach
Entro 24 ore dalla rilevazione dei fatti, ISP e società TLC dovranno fornire al Garante le informazioni necessarie a consentire una prima valutazione dell'entità della violazione. Ad esempio tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione. "Per agevolare questo adempimento il Garante ha predisposto un modello di comunicazione disponibile sul suo sito (www.garanteprivacy.it)", prosegue la nota.
Nei casi più gravi di violazione oltre che l'Authority, dovranno essere informati anche gli utenti coinvolti. In 3 giorni al massimo dovranno essere chiari "il grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione)". Non meno importante la data di riferimento dei dati e la loro qualità (finanziari, sanitari, giudiziari etc.) nonché quantità.
Obbligo di trasparenza sulle violazioni
L'unico caso in cui la comunicazione agli utenti non è dovuta è quando l'azienda coinvolta "dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati". Resta il fatto che il Garante può comunque imporla nei casi più gravi. Sarà creato un registro costantemente aggiornato delle violazioni subite che dia conto delle circostanze in cui queste si sono verificate, le conseguenze e i provvedimenti adottati.
"La mancata o ritardata comunicazione al Garante espone le società telefoniche e gli Internet provider a una sanzione amministrativa che va da 25mila a 150mila euro", conclude la nota. "Sanzioni previste anche per la omessa o mancata comunicazione agli utenti che vanno da 150 euro a 1000 euro per ogni società, ente o persona interessata. La mancata tenuta dell'inventario aggiornato è punita con la sanzione da 20mila a 120mila euro".
Al solito le multe sono ridicole (sebbene rispettose dei regolamenti), e comunque meno costose di un'eventuale campagna per riparare a danni d'immagine provocati da un "data breach".