in particolare, il Garante per la privacy, attuando una direttiva europea di recente recepita dall'Italia, ha dettato delle linee guida finalizzate a proteggere gli utenti dei cosiddetti "data breaches" (violazioni di dati personali) dovuti ad attacchi informatici o da calamità naturali.
Le società di tlc e i fornitori di servizi di accesso a Internet non solo debbono avvisare subito il Garante delle violazioni ma debbono anche comunicare l'accaduto agli utenti.
Queste le principali linee guida del garante:
Innanzitutto l'obbligo di comunicare la relazione dei dati personali "spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet" mentre non c'è questo obbligo per le reti aziendali, gli Internet point, i motori di ricerca, i siti Internet che diffondono contenuti.
La comunicazione va fatta in tempi brevissimi (entro 24 ore dalla scoperta dell'evento).
Con questa comunicazione dovranno essere fornite le informazioni necessarie per consentire subito di valutare l'entità dei danni.
Ci saranno poi tre giorni di tempo per presentare una descrizione più analitica.
Nel sito del Garante è anche disponibile un modello per la presentazione della comunicazione.
Successivamente i provider per dovranno indicare al Garante le modalità con cui hanno risolto il problema e quali sono le misure che hanno adottato per prevenire il ripetersi di episodi analoghi.
L'obbligo di comunicare agli utenti le violazioni sussiste nei casi più gravi.
Come spiega il garante "I criteri per la comunicazione dovranno basarsi sul grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione), sulla "attualità" dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati), sulla qualità dei dati (finanziari, sanitari, giudiziari etc.), sulla quantità dei dati coinvolti".
Anche tempi della comunicazione agli utenti sono molto brevi, essa infatti deve avvenire entro tre giorni.
Va però precisato che la comunicazione non va fatta se si dimostra che sono state adottate misure di sicurezza tali da rendere inintelligibili i dati.
I provider devono anche conservare un inventario delle violazioni subite delle conseguenze che hanno causato e dei provvedimenti successivamente adottati.
In caso della violazione dell'obbligo di inviare la comunicazione al Garante è prevista una sanzione amministrativa da 25mila a 150mila euro. Se invece manca la comunicazione agli interessati la sanzione va da 150 euro a 1000 euro per ogni società o persona interessata.
Se non è stato predisposto l'inventario la sanzione va da 20mila a 120mila euro.