Novità per la notifica delle violazioni di dati personali: pubblicato il Regolamento europeo

News 03/07/2013

 di dott.ssa Debora Montagna

In particolare, il Regolamento prevede tutta una serie di misure tecniche di attuazione delle previsioni sulle notifiche in caso di c.d. data breaches contenute nella direttiva 2002/50/CE - così come modificata dalla direttiva 2009/136/CE - relativa alla vita privata e alle comunicazioni elettroniche.

Con particolare riferimento all'ordinamento italiano, poi, già il Decreto legislativo n. 69 del 28 maggio 2012, apportando delle modifiche al Codice privacy, aveva introdotto per i casi di violazione dei dati personali obblighi di comunicazione, sia agli utenti sia all'Autorità Garante Privacy, a carico dei soggetti fornitori di servizi di comunicazione elettronica accessibili al pubblico

Tra l'altro, il Garante Privacy con provvedimento del 4 aprile 2013 ha ulteriormente fissato gli adempimenti necessari nel caso di violazione dei dati personali e un modello per la comunicazione al Garante.

Rispetto a quanto finora previsto nel nostro ordinamento, le novità apportate dal Regolamento saranno più che altro relative alla notifica all'abbonato o ad altra persona. Infatti, sono state codificate le circostanze che permettono di valutare quando la violazione dei dati rischia di pregiudicare questi soggetti, implicando la necessaria comunicazione dell'avvenuta violazione. A partire dalla data di entrata in vigore del Regolamento, i fornitori di servizi di comunicazione elettronica accessibili al pubblico valuteranno l'opportunità della notifica all'abbonato o ad altro interessato avendo riguardo:

a) alla natura e al contenuto dei dati personali interessati, in particolare qualora essi riguardino informazioni finanziarie, dati sensibili, nonché dati relativi all'ubicazione, file di connessione a Internet, cronologie di navigazione in rete, dati relativi alla posta elettronica ed elenchi dettagliati delle chiamate;

b) alle probabili conseguenze della violazione di dati personali per l'abbonato o l'altra persona interessata, in particolare nel caso in cui la violazione possa comportare furto o usurpazione di identità, danni fisici, disagio psicologico, umiliazione o danni alla reputazione;

c) alle circostanze della violazione di dati personali, in particolare nel caso in cui i dati siano stati rubati o se il fornitore è a conoscenza del fatto che i dati sono in possesso di un terzo non autorizzato.

Ha carattere innovativo rispetto alle precedenti previsioni anche il contenuto dell'allegato II al Regolamento, il quale stabilisce il contenuto minimo della notifica all'abbonato o ad altra persona. Il soggetto interessato deve essere messo al corrente in modo dettagliato di quanto accaduto e, in particolare gli devono essere comunicate la natura e il contenuto dei dati personali violati e le probabili conseguenze derivanti della violazione. Tra le informazioni previste come obbligatorie nell'allegato II ai fini della notifica ci sono, tra l'altro, quelle relative al nome del fornitore, ai contatti presso cui ottenere maggiori informazioni, alla sintesi dell'incidente che ha provocato la violazione di dati personali, nonché le informazioni relative alle misure adottate dal fornitore per rimediare alla violazione di dati personali e a quelle consigliate dal fornitore per attenuare i possibili effetti negativi.

 

 

Tag: violazione dati, obblighi di notifica, Regolamento europeo,data breaches, garante privacy, codice privacy