delle violazioni di dati personali per i fornitori di servizi di comunicazione
elettronica accessibili al pubblico sono in arrivo con il Regolamento (UE)
Commissione CE 24/06/2013, n. 611, G.U.U.E. 26/06/2013, che entrerà in
vigore il prossimo 25 agosto 2013.
In particolare, il Regolamento
prevede tutta una serie di misure tecniche di attuazione delle previsioni sulle
notifiche in caso di c.d. data breaches contenute nella direttiva 2002/50/CE – così
come modificata dalla direttiva 2009/136/CE – relativa alla vita privata e alle
comunicazioni elettroniche.
Con particolare riferimento all’ordinamento
italiano, poi, già il Decreto legislativo n. 69 del 28 maggio 2012, apportando
delle modifiche al Codice privacy, aveva introdotto per i casi di violazione
dei dati personali obblighi di comunicazione, sia agli utenti sia all’Autorità
Garante Privacy, a carico dei soggetti fornitori di servizi di comunicazione
elettronica accessibili al pubblico
Tra l’altro, il Garante Privacy
con provvedimento del 4 aprile 2013 ha ulteriormente fissato gli adempimenti necessari
nel caso di violazione dei dati personali e un modello per la comunicazione al
Garante.
Rispetto a quanto finora previsto
nel nostro ordinamento, le novità apportate dal Regolamento saranno più che
altro relative alla notifica all’abbonato o ad altra persona. Infatti, sono state
codificate le circostanze che permettono di valutare quando la violazione dei
dati rischia di pregiudicare questi soggetti, implicando la necessaria
comunicazione dell’avvenuta violazione. A partire dalla data di entrata in
vigore del Regolamento, i fornitori di servizi di comunicazione elettronica
accessibili al pubblico valuteranno l’opportunità della notifica
all’abbonato o ad altro interessato avendo riguardo:
a) alla natura e al contenuto dei
dati personali interessati, in particolare qualora essi riguardino informazioni
finanziarie, dati sensibili, nonché dati relativi all’ubicazione, file di
connessione a Internet, cronologie di navigazione in rete, dati relativi alla
posta elettronica ed elenchi dettagliati delle chiamate;
b) alle probabili conseguenze della violazione di dati personali per
l’abbonato o l’altra persona interessata, in particolare nel caso in cui la
violazione possa comportare furto o usurpazione di identità, danni fisici,
disagio psicologico, umiliazione o danni alla reputazione;
c) alle circostanze
della violazione di dati personali, in particolare nel caso in cui i dati siano
stati rubati o se il fornitore è a conoscenza del fatto che i dati sono in
possesso di un terzo non autorizzato.
Ha carattere innovativo rispetto
alle precedenti previsioni anche il contenuto dell’allegato II al Regolamento, il
quale stabilisce il contenuto minimo della notifica all’abbonato o ad altra
persona. Il soggetto interessato deve essere messo al corrente in modo
dettagliato di quanto accaduto e, in particolare gli devono essere comunicate
la natura e il contenuto dei dati personali violati e le probabili conseguenze
derivanti della violazione. Tra le informazioni previste come obbligatorie
nell’allegato II ai fini della notifica ci sono, tra
l’altro, quelle relative al nome del fornitore, ai contatti presso cui ottenere
maggiori informazioni, alla sintesi dell’incidente che ha provocato la
violazione di dati personali, nonché le informazioni relative alle misure
adottate dal fornitore per rimediare alla violazione di dati personali e a
quelle consigliate dal fornitore per attenuare i possibili effetti negativi.