Pubblicate le Linee Guida del Garante privacy in caso di “data breaches”

Il 2 agosto 2012 il Garante per la privacy ha pubblicato le Linee Guida che gli internet service provider e le società di telecomunicazioni dovranno seguire per comunicare al Garante, e nei casi più gravi, anche agli utenti, la violazione dei loro database verificatasi a seguito di attacchi informatici ovvero di altri eventi come calamità, incendi, etc…

Il Garante ha opportunamente precisato che tale obbligo di comunicazione incombe esclusivamente sui fornitori di servizi telefonici e di accesso a Internet, con la conseguente esclusione delle reti aziendali, degli internet point, dei motori di ricerca nonché dei siti internet che forniscono contenuti.

I tempi per la comunicazione sono piuttosto stretti: dal momento in cui si è verificata la violazione la società di TLC o l’Internet Provider ha a disposizione 24 ore per trasmettere al Garante le informazioni necessarie per una prima valutazione dell’accaduto, rappresentando il tipo di dati coinvolti, i sistemi di elaborazione e il luogo dove è avvenuta la violazione. Entro tre giorni, invece, potranno essere trasmesse informazioni più dettagliate. Per agevolare l’adempimento degli oneri comunicativi il Garante ha comunque messo a disposizione sul proprio sito un modello di comunicazione. Una volta, poi, esaurite tutte le verifiche del caso, i soggetti obbligati sono tenuti ad indicare al Garante tutte le misure adottate, da un lato, per porre rimedio alle violazioni già commesse, e dall’altro, per prevenirne di nuove in futuro.

Nei casi più gravi, l’obbligo informativo si estende anche agli utenti i cui dati sono stati coinvolti nella violazione. Per distinguere i casi più gravi da quelli in cui tale comunicazione non è dovuta, il Garante ha dettato alcuni criteri che fanno leva sui rischi connessi con la violazione (per esempio, furto di identità, danno alla reputazione, etc…), sulla attualità dei dati nonché sulla qualità (dati sensibili, giudiziari, etc…) e quantità de dati interessati. In questi casi la comunicazione all’utente è dovuta entro tre giorni, salvo che il soggetto obbligato non dimostri di aver cifrato o comunque anonimizzato i dati violati con conseguente esclusione di qualsiasi rischio per la privacy dell’utente.

Al fine di agevolare le attività di accertamento del Garante, i provider devono inoltre tenere un inventario avente ad oggetto tutte le violazioni subite con la descrizione delle circostanze in cui si sono verificate e dei rimedi approntati per porvi rimedio.

Tutti gli obblighi in questione sono assistiti da sanzioni pecuniarie di rilevante importo nel caso di una loro violazione; ad esempio, per l’omessa o ritardata comunicazione al Garante, può essere applicata una sanzione da € 25.000 a € 150.000; nel caso invece in cui la comunicazione omessa riguardi l’interessato, la sanzione amministrativa prevista va da € 150 a € 1.000 per ciascun soggetto che non ha ricevuto la comunicazione cui aveva diritto.