Perdita dati personali? Dalla Commissione UE nuove regole a tutela dei cittadini
Cosa devono fare gli operatori di tlc o i fornitori di servizi Internet in caso di perdita, furto o compromissione dei dati personali dei loro clienti? La risposta arriva dalla Commissione Europea che adotta un regolamento che introduce nuove “misure tecniche di attuazione” per garantire agli utenti (in caso di violazione dei loro dati) un trattamento equivalente in tutta l’Unione Europea. Le imprese dovranno adottare lo stesso approccio al problema anche nel caso in cui operino in più di un paese: entro 24 ore dall’incidente dovranno informare l’autorità nazionale, indicando tutti i dettagli e le misure attuate; potranno usare un formato standard per la notifica.
Dal 2011 le aziende di telecomunicazioni e i fornitori di servizi Internet, che detengono una serie di dati dei loro clienti, hanno l’obbligo di informare le autorità nazionali e gli abbonati delle violazioni di dati personali. Grazie a un regolamento della Commissione le imprese potranno contare su una maggiore chiarezza e i clienti avranno ulteriori garanzie in caso di perdita dei loro dati. Ad esempio, le imprese devono:
- informare dell’incidente l’autorità nazionale competente entro 24 ore dalla sua rilevazione per contenerne quanto più possibile le conseguenze; nel caso in cui non sia possibile fornire informazioni complete entro tale termine, comunicarne una prima serie entro 24 ore, con il resto a seguire entro 3 giorni;
- indicare le informazioni compromesse e le misure che l’impresa ha attuato o intende attuare;
- nel valutare la necessità di informare gli abbonati (secondo il criterio del rischio di ripercussioni negative dell’infrazione sui dati personali o sulla vita privata) le imprese devono avere riguardo al tipo di dati compromessi, in particolare, per quanto riguarda le telecomunicazioni, a informazioni finanziarie, dati sulla localizzazione, file di connessione a internet, cronologie di navigazione in rete, dati inerenti alla posta elettronica ed elenchi dettagliati delle chiamate;
- utilizzare un formato standard (ad esempio, un modulo online uguale per tutti gli Stati membri dell’UE) per la notifica all’autorità nazionale competente.
La Commissione intende inoltre incentivare le imprese a criptare i dati personali: in collaborazione con l’ENISA, la Commissione pubblicherà anche una lista indicativa di misure tecnologiche di protezione, ad esempio di cifratura, che rendano i dati inintelligibili per coloro che non siano autorizzati a leggerli. Applicando tali tecniche l’impresa interessata da una violazione di dati sarebbe dispensata dall’obbligo di informare l’abbonato, in quanto tale violazione, di fatto, non ne rivelerebbe i dati personali.
he è direttamente applicabile e non richiede alcun recepimento a livello nazionale, ed entreranno in vigore due mesi dopo la pubblicazione nella Gazzetta ufficiale dell’Unione europea.
