Data breach: l'alert violazione deve essere immediato

Le società telefoniche e gli internet provider devono avvisare il Garante e l'interessato nel caso di perdita o distruzione o diffusione indebita dei dati personali. Con provvedimento 121 del 26 luglio 2012 il Garante della privacy, presieduto da Antonello Soro, ha elaborato le linee guida sull'attuazione del decreto legislativo 69/2012, che, appunto, ha previsto a carico dei fornitori di servizi di comunicazione elettronica accessibili al pubblico specifici obblighi informativi nell'ipotesi di violazione dei dati personali, definita «data breach» (nuovo articolo 32-bis comma 6 del codice della privacy, dlgs 196/2003). In sostanza, quando un data base di società di telecomunicazioni e di fornitori di servizi di accesso a internet subiscono attacchi informatici, o eventi avversi, quali incendi o altre calamità saranno tenuti a comunicare il fatto oltre che al garante, anche agli utenti.

Soggetti obbligati. Sono obbligati alla comunicazione delle violazioni dei dati solo i fornitori di servizi telefonici e di accesso a internet. Nessuna incombenza, dunque, è prevista per le reti aziendali, gli internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca, i siti internet che diffondono contenuti.

Comunicazione al Garante. Le linee guida precisano i termini in cui deve avvenire la comunicazione al Garante. Si tratta di tempi strettissimi e cioè entro 24 ore dalla scoperta dell'evento per una prima informazione iniziale. Nella comunicazione devono essere indicati: tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione. Nei tre giorni successivi aziende telefoniche o internet provider dovranno inoltrare una descrizione più dettagliata. Per agevolare l'adempimento il Garante ha predisposto un modello di comunicazione disponibile on line sul sito www.garanteprivacy.it. Altra comunicazione è prevista all'esito delle verifiche: si devono circostanziare i rimedi adottati e le misure di prevenzione.

Comunicazione agli utenti. Nei casi più gravi le società telefoniche e gli Isp avranno l'obbligo di informare anche ciascun utente delle violazioni di dati personali subite. Il Garante fissa i criteri per valutare la gravità: contano il grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione); la «attualità» dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati); la qualità dei dati (finanziari, sanitari, giudiziari); la quantità dei dati coinvolti. Anche qui ci sono tre giorni di tempo. La comunicazione non sarà fatta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati.

Controlli e sanzioni del Garante. I provider dovranno tenere un inventario costantemente aggiornato delle violazioni subite e dei provvedimenti adottati a seguito del loro verificarsi. Non comunicare al Garante la violazione dei dati personali o provvedere in ritardo espone a una sanzione amministrativa che va da 25 mila a 150 mila euro. Stesso discorso per la omessa o mancata comunicazione agli interessati: qui la sanzione va da 150 euro a 1.000 euro per ogni società o persona interessata. La mancata tenuta dell'inventario aggiornato è punita con la sanzione da 20 mila a 120 mila euro.