Tlc e Internet Provider: scatta l`obbligo di segnalazione di

NOTIZIARIO DIPENDENTI
PAGINA 3
Tlc e Internet Provider: scatta l’obbligo di segnalazione
di “data breach”
Pubblicato in Gazzetta Ufficiale lo scorso 26 Aprile, il
provvedimento emanato dal Garante per la Privacy – in attuazione
della direttiva europea in materia di dati personali nel settore delle
comunicazioni elettroniche – obbliga le società di comunicazione e
gli internet provider a segnalare gli abusi sulla privacy e le violazioni
dei propri database, a seguito di attacchi informatici o di eventi
calamitosi per cui può verificarsi la perdita, la diffusione indebita o la
distruzione dei dati.
Autodenuncia in caso
di violazioni: parte dalle
TLC il nuovo obbligo di
pubblicità che sarà
esteso a tutti i titolari
con il nuovo
Regolamento Europeo
Fissando gli adempimenti da osservare in caso di “data breach”
l’Autorità stabilisce che è compito esclusivo dei fornitori dei servizi
telefonici e di accesso ad internet comunicare eventuali violazioni di
dati. L´obbligo deve essere adempiuto entro 24 ore dalla scoperta
dell´evento. Per facilitare la comunicazione il Garante ha predisposto
un apposito modello, disponibile sul suo sito (www.garanteprivacy.it).
Oltre che all’Autorità – nei casi più gravi – dovrà essere informato
entro tre giorni anche ciascun utente coinvolto, facendo riferimento a
una serie di parametri fondamentali quali il grado di pregiudizio che la
perdita o la distruzione dei dati può comportare (furto di identità,
danno fisico, danno alla reputazione); l’"attualità" dei dati (dati più
recenti possono rivelarsi più interessanti per i malintenzionati); la
qualità (finanziari, sanitari, giudiziari etc.) e la quantità dei dati
coinvolti.
Nel caso in cui sia stato dimostrato l’utilizzo di misure di sicurezza
e sistemi di cifratura e di anonimizzazione tali da rendere i dati
inintelligibili non è obbligatoria la comunicazione agli utenti, anche se
il Garante ha comunque la facoltà di imporla.
Provider e società telefoniche sono tenute a tenere un inventario
– costantemente aggiornato – delle violazioni subite al fine di
consentire lo svolgimento delle attività di accertamento del Garante,
compilato in modo da fornire informazioni precise in merito alle
circostanze e alle conseguenze delle infrazioni subite e ai
provvedimenti adottati.
E’ prevista una multa che va da 25mila a 150mila euro per la
mancata o ritardata comunicazione della violazione all’Autorità,
mentre le sanzioni per l’omessa o mancata comunicazione agli utenti
vanno dai 150 euro ai 1000 euro per ogni società, ente o persona
interessata. Infine, la multa prevista per la mancata tenuta
dell’inventario aggiornato partendo da un minimo di 20mila euro può
arrivare sino ai 120mila euro.
Fonte: Consulente legale informatico – Avv. Frediani
Pentha servizi Integrati per le imprese PAG.
3