Provvedimento Garante per la privacy n. 221 del 26 luglio 2012: procedura di comunicazione in caso di violazione dei data base di società telefoniche e internet provider

0
515

Approvate le linee guida per tutelare la privacy dei cittadini

 

Premessa. In base alla normativa comunitaria, i fornitori di servizi di comunicazione elettronica devono garantire livelli di sicurezza adeguati per le banche dati in loro possesso perché la diffusione di tali dati può comportare gravi danni alle persone interessate 1.
Secondo le più recenti disposizioni, i fornitori di servizi di comunicazione elettronica devono comunicare al Garante della privacy (ed anche alle persone direttamente interessate, nei casi in cui la violazione determini un pregiudizio ai dati personali o alla loro riservatezza), i casi di "violazione della sicurezza dei dati personali" (dovuti a attacchi informatici o a fatti accidentali), con conseguente distruzione o modifica o rivelazione non autorizzata ai dati personali elaborati nell’ambito della fornitura di un servizio di comunicazione accessibile al pubblico 2.
Al fine di dare una concreta attuazione a tale disposizione, il Garante ha approvato alcune Linee guida che integrano le disposizioni già emanate per alcuni settori, come quello bancario 3, avviando contestualmente una consultazione pubblica su di esse al fine di un successivo miglioramento della disciplina.
Operatori interessati. Sono tenuti al rispetto della normativa quei soggetti (pubblici o privati) che mettono a disposizione del pubblico servizi consistenti "nella trasmissione di segnali su reti di comunicazioni elettroniche". Rientrano in tale ambito anche i c.d. operatori virtuali di rete mobile (Mobile Virtual Network Operator, MVNO), ossia le società che forniscono servizi di telefonia mobile e che utilizzano a tale scopo le infrastrutture di uno o più operatori mobili reali (MNO). Sono invece esclusi, tra gli altri, gli operatori che offrono direttamente servizi di comunicazione elettronica a gruppi delimitati di persone, gli internet point, i gestori di motori di ricerca e i gestori dei siti Internet che diffondono contenuti sulla rete (c.d. content provider).
Le informative al Garante. Il Garante dovrà ricevere una prima informatica entro 24 ore dall’evento, cui farà seguito una relazione più dettagliata con l’elenco delle misure adottate per porre rimedio alla violazione e prevenire nuovi analoghi eventi; è stata a tal fine predisposta una apposita modulistica. Sempre al fine di consentire al Garante ogni opportuno controllo, gli operatori dovranno disporre di un proprio inventario nel quale annotare le caratteristiche dei singoli eventi.
La comunicazione agli utenti. Entro tre giorni, anche i diretti interessati devono essere informati nei casi più gravi: (furto di identità, danno fisico, danno alla reputazione), tenuto conto anche della "attualità" dei dati (i più recenti sono di solito quelli più utili), della loro qualità (ad es. i dati finanziari, sanitari, giudiziari etc.) e della quantità dei dati coinvolti. Possono essere adottate forme di comunicazione ad personam ovvero, in alcuni casi, si può ricorrere ad avvisi su quotidiani o tramite emittenti radiofoniche Tale informativa non è di norma dovuta se l’operatore dimostra di aver utilizzato reso i dati inintelligibili.
Misure di sicurezza. Gli operatori sono tenuti a pianificare procedure adeguate per prevenire tali eventi (ad esempio, consentendo l’accesso ai dati personali solo al personale autorizzato per fini legalmente autorizzati, controllando le attività svolte dal personale incaricato e adottando particolare cautele nell’utilizzo di terminali mobili) e contrastare tempestivamente azioni fraudolente.
Sanzioni. Il ritardato o mancato adempimento alle disposizioni sopra analizzate comporta multe a carico degli operatori. Sono puniti con la reclusione (da sei mesi a tre anni) coloro che forniscono  notizie o documenti falsi in caso di comunicazione al Garante.
 

6 agosto 2012



1 Cfr. in particolare la direttiva comunitaria 58 del 2002.
2 Vedi in particolare il decreto legislativo 28 maggio 2012, n. 69 e gli artt. 32 e 32-bis del Codice per la protezione dei dati personali.
3 Cfr. il provvedimento del 12 maggio 2011.