29 aprile 2013
Privacy: scattano gli obblighi di segnalazione per i data-breach
I fornitori di servizi di comunicazione elettronica hanno l’obbligo di segnalare al Garante Privacy ogni violazione subita e, in talune ipotesi, di avvertire, successivamente gli interessati cui i dati si riferiscono.
E’ questo l’oggetto principale del recente provvedimento del Garante Privacy, pubblicato sulla Gazzetta Ufficiale dello scorso 24 aprile, attraverso il quale è stata varata la disciplina di dettaglio degli obblighi già previsti dagli artt. 32 2 32 bis del Codice Privacy.
Prima di guardare più da vicino al contenuto dei “nuovi” obblighi, appare opportuno, delimitare – come, peraltro, correttamente fatto dallo stesso Garante nel provvedimento – l’ambito di applicazione del provvedimento.
“I nuovi adempimenti gravano, infatti, esclusivamente sui fornitori di servizi di comunicazione elettronica accessibili al pubblico e, quindi, su quei soggetti che mettono a disposizione del pubblico, su reti pubbliche di comunicazione, servizi consistenti, esclusivamente o prevalentemente, ‘nella trasmissione di segnali su reti di comunicazioni elettroniche’”.
Non gravano, invece – ed è bene chiarirlo per evitare ogni rischio di confusione ed ambiguità – sui seguenti soggetti: “ coloro che offrono direttamente servizi di comunicazione elettronica a gruppi delimitati di persone (come, a titolo esemplificativo, i soggetti pubblici o privati che consentono soltanto a propri dipendenti e collaboratori di effettuare comunicazioni telefoniche o telematiche);
- i titolari e i gestori di esercizi pubblici o di circoli privati di qualsiasi specie che si limitino a porre a disposizione del pubblico, di clienti o soci apparecchi terminali utilizzabili per le comunicazioni, anche telematiche, ovvero punti di accesso a Internet utilizzando tecnologia senza fili, esclusi i telefoni pubblici a pagamento abilitati esclusivamente alla telefonia vocale;
- i gestori dei siti Internet che diffondono contenuti sulla rete (c.d. “content provider”). Qualora tali soggetti offrano anche il servizio di posta elettronica, limitatamente alla gestione dei dati personali relativi allo stesso, rientrano viceversa nel campo di applicazione della nuova disciplina;
- i gestori di motori di ricerca, salvo l’eventuale componente di trasmissione dati.”
I nuovi obblighi si applicano, infine, anche ai c.d. operatori di telecomunicazione virtuale e ai fornitori di servizi di pagamento elettronico che contemplano un’interazione diretta con la fornitura dei servizi di comunicazione elettronica.
I principali obblighi, oggetto della nuova disciplina sono tre.
(a) Obbligo di segnalazione al Garante privacy di ogni violazione dei trattamenti di dati personali subita. A tale adempimento il titolare deve provvedere non appena venuto a conoscenza della violazione e, comunque, almeno in maniera sommaria, entro 24 ore, salvo, comunque, l’obbligo di integrare tale prima sommaria segnalazione entro i successivi 3 giorni.
Il Garante ha, a tal fine, predisposto e messo a disposizione dei fornitori di servizi di comunicazione elettronica un apposito modello per tali segnalazioni.
(b) qualora dalla violazione di dati personali possa derivare un pregiudizio agli interessati cui i dati si riferiscono, oltre alla comunicazione al Garante, i fornitori sono tenuti a comunicare l’avvenuta violazione, senza ritardo, anche a tali soggetti entro 3 giorni dalla conoscenza dell’incidente.
Il Garante Privacy può autorizzare il differimento di tale comunicazione qualora quest’ultima rischi di compromettere gli accertamenti relativi.
La predetta comunicazione, infine, non è dovuta se il fornitore è in grado di dimostrare al Garante di aver applicato ai dati oggetto della violazione misure tecnologiche di protezione che li hanno resi inintelligibili a chiunque non sia autorizzato ad accedervi.
(c) al fine di consentire al Garante di svolgere il proprio compito di controllo sul rispetto, da parte dei fornitori, delle disposizioni in materia di violazione dei dati personali, è, infine, previsto che i soggetti destinatari dei nuovi obblighi debbano tenere un inventario aggiornato delle violazioni, contenente tutte (e soltanto) le informazioni necessarie a chiarire le circostanze nelle quali si sono verificate, le conseguenze che le stesse hanno avuto e i provvedimenti adottati per porvi rimedio.
Le violazioni dei citati obblighi sono, infine, punite con le sanzioni già previste dal Codice Privacy e, in particolare:
(a) la omessa comunicazione della violazione di dati personali al Garante, nonché la ritardata comunicazione è punita con la sanzione amministrativa del pagamento di una somma da venticinquemila euro a centocinquantamila euro;
(b) la omessa comunicazione della violazione di dati personali all’interessato, nonché la ritardata comunicazione è punita con la sanzione amministrativa del pagamento di una somma da centocinquanta euro a mille euro per ciascun contraente o altra persona interessata;
(c) la violazione dell’obbligo di tenuta di un aggiornato inventario delle violazioni di dati personali, è punita con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro.
Per chi volesse approfondire, il testo integrale del provvedimento, contenente una serie di utili informazioni per l’attuazione dello stesso è pubblicato qui.
Scritto il 5-8-2013 alle ore 13:26
Gentilissimo,
la ringrazio per il suo articolo e colgo l’occasione per un possibile chiarimento.
Una Organizzazione che pubblichi in Internet il proprio sito che comprende (previa registrazione) la funzionalità accessoria di chat ricade, secondo il suo giudizio, nella definizione di “fornitori di servizi di comunicazione elettronica accessibili al pubblico” e quindi è soggetto agli obblighi dell’Art. 123 e dell Art. 132 del Codice Privacy (nonchè al Provvedimento sulla Sicurezza dei dati di traffico telefonico e telematico – 17 gennaio 2008)
A disposizione.
Cordiali Saluti.