Privacy: Nuove regole per la sicurezza dei dati in rete e nelle Tlc | T-Mag | il magazine di Tecnè

Privacy: Nuove regole per la sicurezza dei dati in rete e nelle Tlc

In un comunicato stampa, sulle nuove regole per la sicurezza dei dati in rete e nelle telecomunicazioni, diffuso dal Garante per la privacy, si legge: “Società telefoniche e Internet provider dovranno assicurare la massima protezione ai dati personali perché tra i loro nuovi obblighi ci sarà quello di avvisare gli utenti dei casi più gravi di violazioni ai loro data base che dovessero comportare perdita, distruzione o diffusione indebita di dati.
In attuazione della direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche, di recente recepita dall’Italia, il Garante per la privacy ha fissato un primo quadro di regole in base alle quali le società di tlc e i fornitori di servizi di accesso a Internet saranno tenuti a comunicare, oltre che alla stessa Autorità, anche agli utenti le “violazioni di dati personali” (“data breaches”) che i loro data base dovessero subire a seguito di attacchi informatici, o di eventi avversi, quali incendi o altre calamità.
Le Linee guida adottate dal Garante stabiliscono chi deve adempiere all’obbligo di comunicare, in quali casi scatta l’obbligo di avvisare gli utenti, le misure di sicurezza tecniche e organizzative da mettere in atto per avvisare l’Autorità e gli utenti di un avvenuto “data breach”, i tempi e i contenuti della comunicazione.
Al fine di armonizzare le procedure e le modalità di notifica, l’Autorità ha comunque deciso di avviare una consultazione pubblica (con pubblicazione sulla G.U.), per acquisire da parte delle società telefoniche e degli Isp elementi utili a valutare l’adeguatezza delle misure individuate.
Ecco in sintesi i punti principali delle Linee guida del Garante.
L’obbligo di comunicare le violazione di dati personali spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet. L’adempimento non riguarda quindi le reti aziendali, gli Internet point (che si limitano a mettere a disposizione dei clienti i terminali per la navigazione), i motori di ricerca, i siti Internet che diffondono contenuti.
La comunicazione della violazione dovrà avvenire in maniera tempestiva: entro 24 ore dalla scoperta dell’evento, aziende tlc e Internet provider dovranno fornire le informazioni per consentire una prima valutazione dell’entità della violazione (tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione). Aziende telefoniche o internet provider avranno 3 giorni di tempo per una descrizione più dettagliata. Per agevolare l’adempimento il Garante ha predisposto un modello di comunicazione disponibile on line sul suo sito (www.garanteprivacy.it)
All’esito delle verifiche, i provider dovranno comunicare al Garante le modalità con le quali hanno posto rimedio alla violazione e le misure adottate per prevenirne di nuove.
Nei casi più gravi, oltre al Garante, le società telefoniche e gli Isp avranno l’obbligo di informare anche ciascun utente delle violazioni di dati personali subite. I criteri per la comunicazione dovranno basarsi sul grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione), sulla “attualità” dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati), sulla qualità dei dati (finanziari, sanitari, giudiziari etc.), sulla quantità dei dati coinvolti.
La comunicazione agli utenti deve avvenire al massimo entro 3 giorni dalla violazione e non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati.
Per consentire l’attività di accertamento del Garante, i provider dovranno tenere un inventario costantemente aggiornato delle violazioni subite che dia conto delle circostanze in cui queste si sono verificate, le conseguenze che hanno avuto e i provvedimenti adottati a seguito del loro verificarsi.
Non comunicare al Garante la violazione dei dati personali o provvedere in ritardo espone a una sanzione amministrativa che va da 25mila a 150mila euro. Stesso discorso per la omessa o mancata comunicazione agli interessati, siano essi soggetti pubblici, privati o persone fisiche: qui la sanzione prevista va da 150 euro a 1000 euro per ogni società o persona interessata. La mancata tenuta dell’inventario aggiornato è punita con la sanzione da 20mila a 120mila euro”.

 

Scrivi una replica

News

Commercio, a giugno export dei prodotti industriali in crescita

«A giugno 2018 si stima una crescita congiunturale per le esportazioni (+4,6%) e un più contenuto aumento per le importazioni (+0,3%). Il sostenuto incremento congiunturale…

10 Ago 2018 / Nessun commento / Leggi tutto »

Regno Unito, nel secondo trimestre Pil in crescita dello 0,4% su base mensile

Nel secondo trimestre 2018, il Prodotto interno lordo del Regno Unito è cresciuto dello 0,4% su base mensile. Lo rende noto l’Office for Nationals Statistics,…

10 Ago 2018 / Nessun commento / Leggi tutto »

Giappone, Pil in crescita dello 0,5% nel secondo trimestre

Il Pil del Giappone nel secondo trimestre del 2018 ha registrato una crescita dello 0,5% su base trimestrale e dell’1,9% su base annuale. I dati…

10 Ago 2018 / Nessun commento / Leggi tutto »

Trump: «Usa raddoppia dazi su metalli della Turchia, passando dal 10 al 20%»

«Ho appena autorizzato un raddoppio dei dazi sull’acciaio e l’alluminio della Turchia in quanto la loro valuta, la lira turca, è in rapido calo nei…

10 Ago 2018 / Nessun commento / Leggi tutto »
Testata registrata presso il tribunale di Roma, autorizzazione n. 34/2012 del 13 febbraio 2012
Edito da Tecnè S.r.l - Partita Iva: 07029641003
Accedi | Disegnato da Tecnè Italia