Caro gestore telefonico, caro internet provider, ove mai qualcuno penetrasse nei tuoi database e si impadronisse dei miei dati personali o comunque di informazioni riservate sul mio conto – che ti ho confidato solo affinché tu mi fornissi il servizio – non fare finta di niente e dimmelo. In caso contrario ilGarante per la privacy può appiopparti una multa. E’ tutto scritto qui, nelle “Linee guida in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali “ del 26 luglio 2012.
Dice il Garante che l’obbligo di comunicare le violazione di dati personali “spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet. L’adempimento non riguarda quindi le reti aziendali, gli Internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca, i siti Internet che diffondono contenuti.
Dice il Garante che queste regole, introdotte “in attuazione della direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche, di recente recepita dall’Italia”, sono sottoposte a “consultazione pubblica (con pubblicazione sulla G.U.), per acquisire da parte delle società telefoniche e degli Isp elementi utili a valutare l’adeguatezza delle misure individuate”.
Eccole in sintesi:
Chi deve comunicare le violazioni
L’obbligo di comunicare le violazione di dati personali spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet. L’adempimento non riguarda quindi le reti aziendali, gli Internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca, i siti Internet che diffondono contenuti.
La comunicazione al Garante
La comunicazione della violazione dovrà avvenire in maniera tempestiva: entro 24 ore dalla scoperta dell’evento, aziende tlc e Internet provider dovranno fornire le informazioni per consentire una prima valutazione dell’entità della violazione (tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione). Aziende telefoniche o internet provider avranno 3 giorni di tempo per una descrizione più dettagliata. Per agevolare l’adempimento il Garante ha predisposto un modello di comunicazione disponibile on line sul suo sito (www.garanteprivacy.it)
La comunicazione agli utenti
Nei casi più gravi, oltre al Garante, le società telefoniche e gli Isp avranno l’obbligo di informare anche ciascun utente delle violazioni di dati personali subite. I criteri per la comunicazione dovranno basarsi sul grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione), sulla “attualità” dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati), sulla qualità dei dati (finanziari, sanitari, giudiziari etc.), sulla quantità dei dati coinvolti. La comunicazione agli utenti deve avvenire al massimo entro 3 giorni dalla violazione e non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati.
I controlli del Garante
Per consentire l’attività di accertamento del Garante, i provider dovranno tenere un inventario costantemente aggiornato delle violazioni subite che dia conto delle circostanze in cui queste si sono verificate, le conseguenze che hanno avuto e i provvedimenti adottati a seguito del loro verificarsi.
Le sanzioni
Non comunicare al Garante la violazione dei dati personali o provvedere in ritardo espone a una sanzione amministrativa che va da 25mila a 150mila euro. Stesso discorso per la omessa o mancata comunicazione agli interessati, siano essi soggetti pubblici, privati o persone fisiche: qui la sanzione prevista va da 150 euro a 1000 euro per ogni società o persona interessata. La mancata tenuta dell’inventario aggiornato è punita con la sanzione da 20mila a 120mila euro”.
Dunque, se abbiamo inteso bene, sono esclusi social network e multinazionali digitali che, in un modo o nell’altro, custodiscono i nostri dati personali. E se un delinquente informatico penetra Google o Facebook o Twitter o Apple o Amazon (che per farci usare i loro store ci chiedono vita morte e miracoli) e fa razzia di informazioni sensibili che ci riguardano? Neanche un rimbrotto?