
Soggetti obbligati. Sono obbligati alla comunicazione delle violazioni dei dati solo i fornitori di servizi telefonici e di accesso a internet. Nessuna incombenza, dunque, è prevista per le reti aziendali, gli internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca, i siti internet che diffondono contenuti.
Comunicazione al Garante. Le linee guida precisano i termini in cui deve avvenire la comunicazione al Garante. Si tratta di tempi strettissimi e cioè entro 24 ore dalla scoperta dell'evento per una prima informazione iniziale. Nella comunicazione devono essere indicati: tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione. Nei tre giorni successivi aziende telefoniche o internet provider dovranno inoltrare una descrizione più dettagliata. Per agevolare l'adempimento il Garante ha predisposto un modello di comunicazione disponibile on line sul sito www.garanteprivacy.it. Altra comunicazione è prevista all'esito delle verifiche: si devono circostanziare i rimedi adottati e le misure di prevenzione.
Comunicazione agli utenti. Nei casi più gravi le società telefoniche e gli Isp avranno l'obbligo di informare anche ciascun utente delle violazioni di dati personali subite. Il Garante fissa i criteri per valutare la gravità: contano il grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione); la «attualità» dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati); la qualità dei dati (finanziari, sanitari, giudiziari); la quantità dei dati coinvolti. Anche qui ci sono tre giorni di tempo. La comunicazione non sarà fatta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati.
Controlli e sanzioni del Garante. I provider dovranno tenere un inventario costantemente aggiornato delle violazioni subite e dei provvedimenti adottati a seguito del loro verificarsi. Non comunicare al Garante la violazione dei dati personali o provvedere in ritardo espone a una sanzione amministrativa che va da 25 mila a 150 mila euro. Stesso discorso per la omessa o mancata comunicazione agli interessati: qui la sanzione va da 150 euro a 1.000 euro per ogni società o persona interessata. La mancata tenuta dell'inventario aggiornato è punita con la sanzione da 20 mila a 120 mila euro.