Da oggi, società telefoniche e Internet Service Provider avranno obblighi di massima trasparenza nei confronti dei propri utenti: secondo le nuove linee guida del Garante della Privacy [1], in caso di violazioni dei loro database, che dovessero comportare la perdita, la distruzione o la diffusione indebita di dati (“data breaches”), tali aziende dovranno comunicarlo non soltanto all’Autorità (polizia e Garante AgCom), ma anche ai clienti danneggiati.
In altre parole, in caso di attacchi informatici o altri eventi avversi come incendi o altre calamità, gli utenti ne dovranno essere messi subito al corrente. Le compagnie, a tal fine, avranno l’obbligo di predisporre le misure di sicurezza tecniche e organizzative necessarie per garantire una “politica di sicurezza”.
In particolare, qualora si verifichi una violazione di dati personali e da essa possa derivare un pregiudizio alla riservatezza del/dei soggetto/i cui si riferiscono i dati violati, oltre alla comunicazione al Garante, i fornitori sono tenuti a comunicare la violazione, senza ritardo, anche a tale/i soggetto/i.
In questo caso, il fornitore deve procedere alla comunicazione entro tre giorni dalla conoscenza della violazione. Tale comunicazione potrà essere effettuata col mezzo che il fornitore riterrà più idoneo (tenendo conto, per esempio, della gravità della violazione o del numero di soggetti danneggiati).
La predetta comunicazione non è dovuta se il fornitore è in grado di dimostrare al Garante di aver applicato ai dati violati misure tecnologiche di protezione che li hanno resi inintelligibili ai non autorizzati (cioè di aver adottato delle tecniche di cifratura).
In ogni caso, in base all’entità del possibile pregiudizio per gli interessati, devono essere sempre comunicate immediatamente ai contraenti le violazioni che riguardano le credenziali di autenticazione (nome utente e password, anche se quest’ultima sia cifrata o sottoposta a funzioni di hashing) o le chiavi di cifratura utilizzate dai contraenti medesimi.
L’obbligo di comunicare le violazione di dati personali spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet.
L’adempimento non riguarda quindi le reti aziendali, gli Internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca, i siti Internet che diffondono contenuti.
[1] In attuazione della direttiva europea 2002/58/Ce in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche, di recente recepita dall’Italia con d.lgs. 28.05.2012 n. 69.
fonte: laleggepertutti.it