Unione Europea
Nuove regole per uniformare le procedure attraverso cui gli operatori delle telecomunicazioni e i fornitori di servizi Internet (ISP) informano clienti e Autorità in caso di perdita, furto o compromissione in altro modo dei dati personali dei loro clienti.
La Commissione europea ha emanato oggi delle “misure tecniche di attuazione” per garantire che, in caso di violazione di dati, tutti i clienti ricevano un trattamento equivalente in tutta l’Unione europea e le imprese possano adottare un approccio paneuropeo a tale problema nel caso in cui operino in più di un paese.
L’obbligo di informare le autorità nazionali e gli abbonati delle violazioni di dati personali – quali nome, indirizzo e coordinate bancarie, oltre alle informazioni sulle telefonate effettuate e ricevute e i siti web visitati – è scattato nel 2011.
Grazie a un regolamento della Commissione le imprese potranno adempiere a tali obblighi contando su una maggiore chiarezza e i clienti avranno ulteriori garanzie circa il modo in cui ci si occuperà dei loro problemi. Ad esempio, le imprese devono:
• informare dell’incidente l’autorità nazionale competente entro 24 ore dalla sua rilevazione al fine di contenerne quanto più possibile le conseguenze; nel caso in cui non sia possibile fornire informazioni complete entro tale termine, comunicarne una prima serie entro 24 ore, con il resto a seguire entro tre giorni;
• indicare le informazioni compromesse e le misure che l’impresa ha attuato o intende attuare;
• nel valutare la necessità di informare gli abbonati (secondo il criterio del rischio di ripercussioni negative dell’infrazione sui dati personali o sulla vita privata) le imprese devono avere riguardo al tipo di dati compromessi, in particolare, per quanto riguarda le telecomunicazioni, a informazioni finanziarie, dati sulla localizzazione, file di connessione a internet, cronologie di navigazione in rete, dati inerenti alla posta elettronica ed elenchi dettagliati delle chiamate;
• utilizzare un formato standard (ad esempio, un modulo online uguale per tutti gli Stati membri dell’UE) per la notifica all’autorità nazionale competente.
La Commissione intende inoltre incentivare le imprese a criptare i dati personali. A tal fine, in collaborazione con l’ENISA, la Commissione pubblicherà anche una lista indicativa di misure tecnologiche di protezione, ad esempio di cifratura, che rendano i dati inintelligibili per coloro che non siano autorizzati a leggerli. Applicando tali tecniche l’impresa interessata da una violazione di dati sarebbe dispensata dall’obbligo di informare l’abbonato, in quanto tale violazione, di fatto, non ne rivelerebbe i dati personali.
Neelie Kroes, Vicepresidente della Commissione europea, ha dichiarato: “Per tutelarsi, se necessario, i consumatori devono sapere se i loro dati personali sono stati compromessi, e le imprese hanno bisogno di semplicità: un contesto di condizioni eque che queste nuove misure di carattere concreto realizzano”.
La Commissione dà attuazione a queste norme a seguito della consultazione pubblica del 2011 che ha fatto emergere un ampio favore dei portatori di interesse per un approccio armonizzato in questo settore. Le regole sono state concordate in seno a un comitato di Stati membri e sottoposte al vaglio del Parlamento europeo e del Consiglio; sono state adottate in forma di regolamento della Commissione, che è direttamente applicabile e non richiede alcun recepimento a livello nazionale, ed entreranno in vigore due mesi dopo la pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Link utili:
Regolamento della Commissione sulle misure applicabili alla notifica delle violazioni di dati personali a norma della direttiva e-Privacy
La privacy online nell’agenda digitale europea.
Direttiva relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.