Scatta l’obbligo per società telefoniche e Internet provider di avvisare il Garante  privacy e gli utenti quando i dati trattati per fornire i servizi  subiscono gravi violazioni a seguito di attacchi informatici o di eventi avversi, come incendi o altre calamità, che possano comportare perdita, distruzione o diffusione indebita di dati. Lo ha deciso il Garante Privacy che ha infatti adottato, all’esito di una consultazione pubblica, un provvedimento generale che fissa gli adempimenti per i casi in cui si dovessero verificare i cosiddetti “data breach”.
In sostanza, le società hanno l’obbligo di comunicare le violazioni di dati personali, contenuti in particolare in data base elettronici o cartacei. Entro 24 ore dalla scoperta dell’evento, società di tlc e Isp devono fornire al Garante le informazioni necessarie a consentire una prima valutazione dell’entità della violazione (ad esempio, tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione). Per agevolare questo adempimento il Garante ha predisposto un modello di comunicazione disponibile sul suo sito (www.garanteprivacy.it). La mancata o ritardata comunicazione al Garante espone le società telefoniche e gli Internet provider a una sanzione amministrativa che va da 25mila a 150mila euro. Sanzioni previste anche per la omessa o mancata comunicazione agli utenti che vanno da 150 euro a 1000 euro per ogni società, ente o persona interessata. La mancata tenuta dell’inventario aggiornato è punita con la sanzione da 20mila a 120mila euro.
Nei casi più gravi di violazione, però, oltre che l’Authority, le società telefoniche e gli Isp dovranno informare entro tre giorni anche ciascun utente coinvolto, facendo riferimento a alcuni parametri fondamentali: il grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione); l’ “attualità” dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati); la qualità (finanziari, sanitari, giudiziari etc.) e la quantità dei dati coinvolti.
La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati, ma il Garante può comunque imporla nei casi più gravi.  Per consentire l’attività di accertamento del Garante, le società telefoniche e i provider dovranno tenere un inventario costantemente aggiornato delle violazioni subite che dia conto delle circostanze in cui queste si sono verificate, le conseguenze che hanno avuto e i provvedimenti adottati a seguito del loro verificarsi.

Scrive per noi

Redazione
Redazione
Marco Fratoddi, giornalista professionista e formatore, insegna Scrittura giornalistica al Dipartimento di Lettere e Filosofia dell’Università di Cassino dove ha centrato il proprio corso sulla semiotica della notizia ambientale e le applicazioni giornalistiche dei nuovi media. È direttore responsabile del periodico culturale "Sapereambiente", ha contribuito a fondare la “Federazione italiana media ambientali” di cui è divenuto segretario generale nel 2014. Collabora con il Movimento difesa del cittadino come caporedattore del progetto "Io scrivo originale" per l'educazione alla legalità nelle scuole della Campania, partecipa come direttore artistico all'organizzazione del Festival della virtù civica di Casale Monferrato (Al). E' stato Direttore editoriale dell’Istituto per l’ambiente e l’educazione Scholé futuro-Weec network di Torino, ha diretto dal 2005 all’ottobre 2016 “La Nuova Ecologia”, il mensile di Legambiente, dove si è occupato a lungo di educazione ambientale e associazionismo di bambini. Fa parte di “Stati generali dell’innovazione” dove segue in particolare le tematiche ambientali e le attività di comunicazione. Fra le sue pubblicazioni: Salto di medium. Dinamiche della comunicazione urbana nella tarda modernità (in “L’arte dello spettatore”, Franco Angeli, 2008), Bolletta zero (Editori riuniti, 2012), A-Ambiente (in Alfabeto Grillo, Mimesis, 2014).

Parliamone ;-)