Il provvedimento stabilisce che l'obbligo di comunicare le violazioni di dati personali, contenuti in particolare in data base elettronici o cartacei, spetta esclusivamente ai fornitori di servizi telefonici e di accesso a internet (e non, ad esempio, ai siti internet che diffondono contenuti, ai motori di ricerca, agli internet point, alle reti aziendali). Entro 24 ore dalla scoperta dell'evento, società di tlc e Isp devono fornire al garante le informazioni necessarie a consentire una prima valutazione dell'entità della violazione. In caso di inadempimento scattano multe salatissime. In base all'articolo 162-ter del codice della privacy (dlgs 196/2003) la omessa comunicazione della violazione di dati personali al garante ex articolo 32-bis, comma 1, sempre del codice della privacy, e la ritardata comunicazione, e cioè quella effettuata oltre i termini indicati dal provvedimento del garante, è punita con la sanzione amministrativa del pagamento di una somma da 25 mila a 150 mila euro.
La omessa comunicazione della violazione di dati personali al contraente o ad altra persona ex 32-bis, comma 2, e la ritardata comunicazione, e cioè quella effettuata oltre i termini previsti dal garante è punita con la sanzione amministrativa del pagamento di una somma da 150 a 1.000 euro per ciascun contraente o altra persona interessata.
In tale ipotesi c'è un tetto massimo al cumulo materiale delle sanzioni: è il 5% del volume d'affari realizzato dallo stesso nell'ultimo esercizio chiuso anteriormente alla notificazione della contestazione della violazione amministrativa. È possibile, però, l'aumento fino al quadruplo se le sanzioni risultino inefficaci in ragione delle condizioni economiche del contravventore, ai sensi dell'articolo 164-bis, comma 4 del codice della privacy.
In base all'articolo 162-ter, comma 4, del codice della privacy la violazione della disposizione concernente la tenuta di un aggiornato inventario delle violazioni di dati personali (altro adempimento a carico di Isp e società di tlc), è punita con la sanzione amministrativa del pagamento di una somma da 20 mila euro a 120 mila euro.
Le stesse sanzioni previste per i fornitori si applicano anche nei confronti dei soggetti ai quali sia stata affidata l'erogazione dei servizi, qualora tali soggetti abbiano omesso di comunicare senza ritardo al fornitore tutte le informazioni necessarie allo stesso per adempiere ai propri obblighi (articolo 162-ter, comma 5).
Quanto alle sanzioni penali, l'articolo 168 del codice della privacy punisce, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni il fornitore che dichiari o attesti falsamente notizie o circostanze, o produca atti o documenti falsi in occasione della comunicazione al garante conseguente alla violazione di dati personali, e anche i soggetti, cui sia affidata l'erogazione del servizio, che effettuino false comunicazioni al fornitore.
© Riproduzione riservata
