PRIVACY

Data breach: nuovo provvedimento del Garante Privacy sulle modalità di notifica

| 10 Maggio 2013

Dal Garante per la Protezione dei Dati Personali arriva l’obbligo, per società telefoniche e Internet service providers, di avvisare l’Autorità medesima e gli utenti nel caso in cui i dati trattati per fornire i servizi subissero gravi violazioni a seguito di attacchi informatici o di eventi avversi, come incendi o altre calamità, che possano comportare la perdita, la distruzione o la diffusione indebita di dati.

Il Garante ha adottato, all’esito di una consultazione pubblica, un provvedimento generale che fissa gli adempimenti per i casi in cui si dovessero verificare i cosiddetti “data breach”, in attuazione della direttiva europea sulla privacy nel settore delle comunicazioni elettroniche.

La direttiva 2009/136/CE (che ha modificato, in parte, la direttiva 2002/58/CE) ha tenuto conto del rischio che un evento avverso, coinvolgente i dati personali, se non trattato in modo adeguato e tempestivo, può provocare un grave danno economico e sociale alle persone cui fanno riferimento i suddetti dati. È innegabile, infatti, la situazione di pregiudizio che possa derivare dalla perdita, distruzione o diffusione indebita dei dati che può culminare, nelle ipotesi più gravi, nel furto o l’usurpazione di identità, il danno fisico, l’umiliazione grave o il danno alla reputazione.

Il decreto legislativo 28 maggio 2012, n.69, ha introdotto nel nostro ordinamento gli obblighi imposti dalla disciplina comunitaria. In particolare, è stata sancita, all’art. 4, comma 3, lett. g-bis) del decreto legislativo 30 giugno 2003, n. 196 (il “Codice”), la definizione di 'violazione di dati personali' intesa come “violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico”.

Nonostante il carattere molto ampio di detta definizione, l’ambito soggettivo interessato è ristretto ai soli fornitori di servizi di comunicazione elettronica accessibili al pubblico e non già all’universalità dei titolari dei trattamenti. Costoro dovranno notificare, non già una qualsiasi violazione subita, quanto quegli eventi che coinvolgano database attinenti, in maniera specifica, al servizio offerto al pubblico.

A ben vedere, le modifiche apportate al Codice, da parte del decreto legislativo n. 69/2012, non riguardano solo la gestione delle fasi successive ad eventuali perdite o violazioni dei dati ma operano già sul terreno della prevenzione e gestione della sicurezza.

In capo ai titolari dei trattamenti, fornitori di servizi di comunicazione elettronica, vige ora l’obbligo di condurre una preliminare ricognizione dei dati personali trattati e dei rischi ai quali sono soggetti cui dovrà seguire l’adozione di idonee misure di sicurezza a presidio dei dati stessi .

La comunicazione della violazione, anche sottoforma di sommarie informazioni, dovrà avvenire in maniera tempestiva, entro 24 ore dall’avvenuta conoscenza e deve consentire all'Autorità di effettuare una prima valutazione dell'entità della stessa. Entro tre giorni, invece, i fornitori di servizi di comunicazione elettronica dovranno produrre una descrizione più dettagliata dell’accaduto.


Nei casi più gravi di violazioni, è previsto l’obbligo di informare anche ciascun contraente coinvolto, facendo riferimento ad alcuni parametri fondamentali quali: il grado di pregiudizio che la perdita o la distruzione dei dati può comportare; l’“attualità”, la tipologia e la quantità dei dati coinvolti.

La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendano inintelligibili i dati, ma il Garante può comunque imporla, nei casi più gravi, o autorizzare i titolari dei trattamenti interessati a differirla oltre il periodo prefissato di tre giorni.

Per consentire l’attività di accertamento del Garante, i fornitori di reti di comunicazioni elettroniche dovranno tenere un inventario costantemente aggiornato delle violazioni subite, che dia conto delle circostanze in cui queste si sono verificate, le conseguenze che hanno avuto e i provvedimenti adottati a seguito del loro verificarsi. Questo inventario - del quale dovranno essere garantite l’integrità ed immodificabilità - dovrà essere continuamente aggiornato e messo a disposizione, qualora l'Autorità garante dovesse richiederne l’accesso.

Per le ipotesi di violazione dei nuovi obblighi di sicurezza, sono state introdotte nel Codice nuove sanzioni amministrative.

La omessa o ritardata comunicazione della violazione di dati personali al Garante, è punita con una sanzione amministrativa da 25.000€ a 150.000€; la omessa o ritardata comunicazione della violazione di dati personali al contraente o ad altra persona è punita con la sanzione amministrativa da 150€ a 1.000€ per ciascun contraente o altra persona interessata.

La mancata tenuta di un aggiornato inventario delle violazioni di dati personali, è punita con la sanzione amministrativa da 20.000€ a 120.000€.



Consulta il Provvedimento del Garante Privacy in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach) - 4 aprile 2013, (Pubblicato sulla Gazzetta Ufficiale n. 97 del 4 aprile 2013)

Vetrina