Se i tuoi dati in rete vengono violati
tlc e provider devono avvertirti
L'Italia ha recepito la direttiva europea in materia di sicurezza nelle comunicazioni elettroniche e l'Autorit? ha stilato una serie di regole alle quali le compagnie telefoniche e i provider internet dovranno attenersi in caso di perdita o distruzione dei dati personali degli utenti. Fra queste comunicare l'eventuale rischio ai diretti interessati e al garante stesso e provvedere a ripristinare la sicurezza.
DA ORA IN AVANTI se un gestore telefonico a cui siamo abbonati o un internet provider perderanno i nostri dati in rete o subiranno attacchi informatici, saranno tenuti ad osservare una serie di regole, fra le quali avvertirci del pericolo "potenziale" che corriamo a seguito della perdita, distruzione o diffusione indebita di dati, comunicare l'incidente al pi? presto all'autorit? garante di riferimento e prendere tutta una serie di iniziative per ripristinare la sicurezza e assicurare la massima protezione ai dati personali. ? quanto ha deciso il Garante della Privacy, in attuazione della direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche, di recente recepita dall'Italia. L'Autorit? ha fissato un quadro di regole in base alle quali le societ? di telecomunicazioni e i fornitori di servizi di accesso a internet dovranno rigorosamente attenersi.
Le Linee guida adottate dall'Autorit? Garante per la privacy, presieduta da Antonello Soro, stabiliscono l'obbligo di comunicare, oltre che alla stessa Autorit?, anche agli utenti le "violazioni di dati personali" ('data breaches') che i loro data base dovessero subire a seguito di attacchi informatici, o di eventi avversi, quali incendi o altre calamit?. Ma non solo. Ecco, in sintesi i punti principali delle Linee guida del Garante.
Chi deve comunicare le violazioni. L'obbligo di comunicare le violazione di dati personali spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet. L'adempimento non riguarda quindi le reti aziendali, gli Internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca, i siti Internet che diffondono contenuti.
La comunicazione al Garante. La comunicazione della violazione dovr? avvenire in maniera tempestiva: entro 24 ore dalla scoperta dell'evento, aziende tlc e internet provider dovranno fornire le informazioni per consentire una prima valutazione dell'entit? della violazione (tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove ? avvenuta la violazione). Aziende telefoniche o internet provider avranno 3 giorni di tempo per una descrizione pi? dettagliata. Per agevolare l'adempimento il Garante ha predisposto un modello di comunicazione disponibile on line sul suo sito Garante per la protezione dei dati personali 1. All'esito delle verifiche, i provider dovranno comunicare al Garante le modalit? con le quali hanno posto rimedio alla violazione e le misure adottate per prevenirne di nuove.
La comunicazione agli utenti. Nei casi pi? gravi, oltre al Garante, le societ? telefoniche e gli Isp avranno l'obbligo di informare anche ciascun utente delle violazioni di dati personali subite. I criteri per la comunicazione dovranno basarsi sul grado di giudizio che la perdita o la distruzione dei dati pu? comportare (furto di identit?, danno fisico, danno alla reputazione), sulla "attualit?" dei dati (dati pi? recenti possono rivelarsi pi? interessanti per i malintenzionati), sulla qualit? dei dati (finanziari, sanitari, giudiziari etc.), sulla quantit? dei dati coinvolti. La comunicazione agli utenti deve avvenire al massimo entro 3 giorni dalla violazione e non ? dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati.
tlc e provider devono avvertirti
L'Italia ha recepito la direttiva europea in materia di sicurezza nelle comunicazioni elettroniche e l'Autorit? ha stilato una serie di regole alle quali le compagnie telefoniche e i provider internet dovranno attenersi in caso di perdita o distruzione dei dati personali degli utenti. Fra queste comunicare l'eventuale rischio ai diretti interessati e al garante stesso e provvedere a ripristinare la sicurezza.
DA ORA IN AVANTI se un gestore telefonico a cui siamo abbonati o un internet provider perderanno i nostri dati in rete o subiranno attacchi informatici, saranno tenuti ad osservare una serie di regole, fra le quali avvertirci del pericolo "potenziale" che corriamo a seguito della perdita, distruzione o diffusione indebita di dati, comunicare l'incidente al pi? presto all'autorit? garante di riferimento e prendere tutta una serie di iniziative per ripristinare la sicurezza e assicurare la massima protezione ai dati personali. ? quanto ha deciso il Garante della Privacy, in attuazione della direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche, di recente recepita dall'Italia. L'Autorit? ha fissato un quadro di regole in base alle quali le societ? di telecomunicazioni e i fornitori di servizi di accesso a internet dovranno rigorosamente attenersi.
Le Linee guida adottate dall'Autorit? Garante per la privacy, presieduta da Antonello Soro, stabiliscono l'obbligo di comunicare, oltre che alla stessa Autorit?, anche agli utenti le "violazioni di dati personali" ('data breaches') che i loro data base dovessero subire a seguito di attacchi informatici, o di eventi avversi, quali incendi o altre calamit?. Ma non solo. Ecco, in sintesi i punti principali delle Linee guida del Garante.
Chi deve comunicare le violazioni. L'obbligo di comunicare le violazione di dati personali spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet. L'adempimento non riguarda quindi le reti aziendali, gli Internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca, i siti Internet che diffondono contenuti.
La comunicazione al Garante. La comunicazione della violazione dovr? avvenire in maniera tempestiva: entro 24 ore dalla scoperta dell'evento, aziende tlc e internet provider dovranno fornire le informazioni per consentire una prima valutazione dell'entit? della violazione (tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove ? avvenuta la violazione). Aziende telefoniche o internet provider avranno 3 giorni di tempo per una descrizione pi? dettagliata. Per agevolare l'adempimento il Garante ha predisposto un modello di comunicazione disponibile on line sul suo sito Garante per la protezione dei dati personali 1. All'esito delle verifiche, i provider dovranno comunicare al Garante le modalit? con le quali hanno posto rimedio alla violazione e le misure adottate per prevenirne di nuove.
La comunicazione agli utenti. Nei casi pi? gravi, oltre al Garante, le societ? telefoniche e gli Isp avranno l'obbligo di informare anche ciascun utente delle violazioni di dati personali subite. I criteri per la comunicazione dovranno basarsi sul grado di giudizio che la perdita o la distruzione dei dati pu? comportare (furto di identit?, danno fisico, danno alla reputazione), sulla "attualit?" dei dati (dati pi? recenti possono rivelarsi pi? interessanti per i malintenzionati), sulla qualit? dei dati (finanziari, sanitari, giudiziari etc.), sulla quantit? dei dati coinvolti. La comunicazione agli utenti deve avvenire al massimo entro 3 giorni dalla violazione e non ? dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati.