Il Garante ha predisposto il modello per le nuove regole sulla sicurezza dei dati in rete e nelle TLC (telecomunicazioni).
Il modello e' reperibile sul sito del Garante, nella pagina dedicata alla modulistica: (http://www.garanteprivacy.it/home/modulistica), ed e' allegato altresi' al presente articolo.
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Si segnala che il modello perle nuove regole sulla sicurezza dei dati in rete e nelle TLC (telecomunicazioni), evidenzia, in particolare, quanto segue:
in caso di distruzione o perdita dei dati personali societa' telefoniche e Internet provider avranno l'obbligo di avvisare gli utenti;
societa' telefoniche e Internet provider dovranno assicurare la massima protezione ai dati personali;
le societa' di TLC e i fornitori di servizi di accesso a Internet saranno tenuti a comunicare, oltre che alla stessa Autorita', anche agli utenti le "violazioni di dati personali";
al fine di armonizzare le procedure e le modalita' di notifica, l'Autorita' ha comunque deciso di avviare una consultazione pubblica (con pubblicazione sulla G.U.), per acquisire da parte delle societa' telefoniche e degli ISP elementi utili a valutare l'adeguatezza delle misure individuate.
I punti principali delle linee guida del Garante sono elencati in sintesi nel seguente modulo.
Chi deve comunicare le violazioni. L'obbligo di comunicare le violazioni di dati personali spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet. L'adempimento non riguarda quindi le reti aziendali, gli Internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca, i siti Internet che diffondono contenuti.
La comunicazione al Garante. La comunicazione della violazione dovra' avvenire in maniera tempestiva: entro 24 ore dalla scoperta dell'evento, aziende di TLC e Internet provider dovranno fornire le informazioni per consentire una prima valutazione dell'entita' della violazione (tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove e' avvenuta la violazione). Aziende telefoniche o internet provider avranno 3 giorni di tempo per una descrizione piu' dettagliata. Per agevolare l'adempimento il Garante ha predisposto un modello di comunicazione(*) disponibile on line sul suo sito (www.garanteprivacy.it). All'esito delle verifiche, i provider dovranno comunicare al Garante le modalita' con le quali hanno posto rimedio alla violazione e le misure adottate per prevenirne di nuove.
La comunicazione agli utenti. Nei casi piu' gravi, oltre al Garante, le societa' telefoniche e gli ISP avranno l'obbligo di informare anche ciascun utente delle violazioni di dati personali subite. I criteri per la comunicazione dovranno basarsi sul grado di pregiudizio che la perdita o la distruzione dei dati puo' comportare (furto di identita', danno fisico, danno alla reputazione), sulla "attualita'" dei dati (dati piu' recenti possono rivelarsi piu' interessanti per i malintenzionati), sulla qualita' dei dati (finanziari, sanitari, giudiziari etc.), sulla quantita' dei dati coinvolti. La comunicazione agli utenti deve avvenire al massimo entro 3 giorni dalla violazione e non e' dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati.
I controlli del Garante. Per consentire l'attivita' di accertamento del Garante, i provider dovranno tenere un inventario costantemente aggiornato delle violazioni subite che dia conto delle circostanze in cui queste si sono verificate, le conseguenze che hanno avuto e i provvedimenti adottati a seguito del loro verificarsi.
Le sanzioni. Non comunicare al Garante la violazione dei dati personali o provvedere in ritardo espone a una sanzione amministrativa che va da 25mila a 150mila euro. Stesso discorso per la omessa o mancata comunicazione agli interessati, siano essi soggetti pubblici, privati o persone fisiche: qui la sanzione prevista va da 150 euro a 1000 euro per ogni societa' o persona interessata. La mancata tenuta dell'inventario aggiornato e' punita con la sanzione da 20mila a 120mila euro.
Roma, 1 agosto 2012
(*) Il modello va aperto, compilato e, dopo aver apposto la firma digitale, salvato come un file .pdf sul proprio computer. Infine, il modello va inviato al Garante unicamente tramite posta PEC all'indirizzo: dcrt@pec.gpdp.it.
Si avvisa che l'ufficio del Garante sta studiando modalita' alternative per l'invio delle comunicazioni. Il modello e' stato predisposto utilizzando lo standard di fatto PDF ed e' leggibile attraverso un software gratuito e facilmente scaricabile in rete, oltre che nella disponibilita' della generalita' degli operatori ai quali e' destinato il provvedimento del Garante. Per qualunque necessita' il modulo puo' essere richiesto via PEC, anche in via precauzionale (prima che si verifichino eventuali violazioni) in modo da avere il modulo immediatamente disponibile per le eventuali notifiche al Garante. L'ufficio e' disponibile per ogni ulteriore chiarimento, oltre che aperto ai suggerimenti che perverranno attraverso la consultazione pubblica.