Le nuove regole per la sicurezza dei dati in rete e nelle TLC, comunicate in queste ultime ore dal Garante della Privacy, lasciano comprendere quanta poca trasparenza vi sia stata fino ad ora nel settore. C'è voluta un direttiva europea in materia di sicurezza e privacy per obbligare l'Italia ad affrontare seriamente il tema.
Ecco quindi l'obbligo per le società telefoniche e gli Internet provider di avvisare gli utenti in caso di distruzione o perdita dei dati personali. In pratica gravi malfunzionamenti, incidenti, calamità o violazioni dei dati di accesso obbligheranno le aziende a informare correttamente la clientela e la stessa Authority.
"Le Linee guida adottate dal Garante stabiliscono chi deve adempiere all'obbligo di comunicare, in quali casi scatta l'obbligo di avvisare gli utenti, le misure di sicurezza tecniche e organizzative da mettere in atto per avvisare l'Autorità e gli utenti di un avvenuto data breach, i tempi e i contenuti della comunicazione", sottolinea nel comunicato ufficiale il Garante della Privacy.
Parlare di sanzioni è così poco chic
"Al fine di armonizzare le procedure e le modalità di notifica, l'Autorità ha comunque deciso di avviare una consultazione pubblica (con pubblicazione sulla G.U.), per acquisire da parte delle società telefoniche e degli ISP elementi utili a valutare l'adeguatezza delle misure individuate".
In sintesi i punti principali delle Linee guida del Garante riguardano le responsabilità e le comunicazioni. L'obbligo di comunicare le violazione di dati personali ad esempio spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet. Si escludono le reti aziendali, gli Internet point, i motori di ricerca e i siti Internet che diffondono contenuti.
Inoltre la comunicazione della violazione dovrà avvenire entro 24 ore dalla scoperta dell'evento. Dovranno essere fornite informazioni "per consentire una prima valutazione dell'entità della violazione (tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione)". Aziende telefoniche o Internet provider avranno 3 giorni di tempo per una descrizione più dettagliata. All'esito delle verifiche, i provider dovranno comunicare al Garante le modalità con le quali hanno posto rimedio alla violazione e le misure adottate per prevenirne di nuove.
"Nei casi più gravi, oltre al Garante, le società telefoniche e gli ISP avranno l'obbligo di informare anche ciascun utente delle violazioni di dati personali subite", conclude il documento del Garante. "I criteri per la comunicazione dovranno basarsi sul grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione), sull'attualità dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati), sulla qualità dei dati (finanziari, sanitari, giudiziari etc.), sulla quantità dei dati coinvolti".
Sanzioni da dimenticare purtroppo: al solito adeguate per infastidire un operatore del Terzo Mondo e nulla più. Si parla di 25/150mila euro per mancata o ritardata comunicazione al Garante. Stesso discorso per la omessa o mancata comunicazione agli interessati, siano essi soggetti pubblici, privati o persone fisiche: qui la sanzione prevista va da 150 euro a 1000 euro per ogni società o persona interessata.