Il Garante della privacy, Antonello Soro, ha approvato le linee guida per l’attuazione del decreto legislativo 69/2012, con il provvedimento 121 del 26 luglio 2012, che prevede obblighi specifici in caso di compromissione di dati personali degli utenti. Secondo queste norme, gli operatori telefonici e gli Internet Provider sono obbligati ad avvisare immediatamente il Garante della privacy e l’utente interessato nel caso di perdita, distruzione o diffusione indebita di dati personali. I casi dei quali si tratta, sono quelli definiti dal nuovo articolo 32-bis comma 6 del codice dalla privacy data breach: cioè quelle situazioni in cui il database di una società di telecomunicazioni o di fornitura di servizi Internet subisce un attacco di pirateria informatica o viene coinvolto in incidenti, come incendi, allagamenti o altre calamità.
Ovviamente i recenti casi di che hanno messo a rischio dati di diversi utenti pesano molto; ricordiamo tutti per esempio l’incendio alla server farm di Aruba in Italia, ma anche il caso internazionale con al centro PlayStation Network (PSN). Però la cosa strana è che questo obbligo non è richiesto anche ad altri soggetti che custodiscono tantissimi dati di utenti come le reti aziendali, gli internet point, i motori di ricerca o anche i siti internet che diffondono contenuti.
Le comunicazione dell’avvenuta perdita, distruzione o diffusione dei dati, deve avvenire entro 24 ore dalla scoperta dell’evento, per fornire una prima informazione iniziale, che deve indicare il tipo dei dati persi o diffusi, la descrizione dei sistemi di elaborazione usati, il tipo di danno e l’indicazione del luogo dove è avvenuta la violazione; nei tre giorni seguenti, dovranno essere forniti maggiori dettagli sull’accaduto e a tale scopo il Garante ha predisposto un modello di comunicazione disponibile online sul suo sito.
Solo nei casi più gravi, oltre al Garante, gli operatori telefonici e gli ISP dovranno informare anche ciascun utente delle violazioni subite ai loro danni. I criteri per la comunicazione agli utenti dovranno essere basati sul danno reale che la perdita o la distruzione dei dati può causare e cioè furto di identità, danno fisico e danno alla reputazione, su quanto tali dati sono recenti, quindi naturalmente più appetibili per i malintenzionati e sulla loro tipologia, ovviamente quelli finanziari, sanitari o giudiziari sono molto più rilevanti, ma anche sulla qualità dell’utenza coinvolta. La comunicazione agli utenti dovrà avvenire al massimo entro 3 giorni dalla violazione commessa.
Pacman
Nostradamus
Magical Cat Adventure
Snake