Cerca powered by Google

Sicurezza

Dataleaks: la protezione dei dati personali nell'Ue si normalizza

Introdotto un regolamento che punta a tutelare i consumatori in caso di perdita o furto di dati personali detenuti da operatori di telecomunicazioni e Internet provider.

25 Giugno 2013

La Commissione europea ha introdotto nuove regole su come gli operatori delle telecomunicazioni e i fornitori di servizi Internet (Isp) debbano comportarsi in caso di perdita, furto o compromissione dei dati personali dei clienti.

Si tratta di misure tecniche di attuazione che puntano a garantire che, in caso di violazione di dati, tutti i clienti ricevano un trattamento equivalente in tutta l'Ue e le imprese possano adottare un approccio paneuropeo a tale problema nel caso in cui operino in più di un paese.

Le regole sono state concordate in seno a un comitato di Stati membri e sottoposte al vaglio del Parlamento europeo e del Consiglio; sono state adottate in forma di regolamento della Commissione, che è direttamente applicabile e non richiede alcun recepimento a livello nazionale, ed entreranno in vigore due mesi dopo la pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Gli operatori di Tlc e i fornitori di servizi Internet detengono una serie di dati dei loro clienti quali nome, indirizzo e coordinate bancarie, oltre alle informazioni sulle telefonate effettuate e ricevute e i siti web visitati.
Dal 2011 queste imprese sono tenute a rispettare l'obbligo generale di informare le autorità nazionali e gli abbonati delle violazioni di dati personali.

Con il regolamento le imprese potranno adempiere a tali obblighi contando su una maggiore chiarezza e i clienti avranno ulteriori garanzie circa il modo in cui ci si occuperà dei loro problemi.
Talie imprese devono:
informare dell'incidente l'autorità nazionale competente entro 24 ore dalla sua rilevazione al fine di contenerne quanto più possibile le conseguenze; nel caso in cui non sia possibile fornire informazioni complete entro tale termine, comunicarne una prima serie entro 24 ore, con il resto a seguire entro tre giorni;
indicare le informazioni compromesse e le misure che l'impresa ha attuato o intende attuare;
• nel valutare la necessità di informare gli abbonati (secondo il criterio del rischio di ripercussioni negative dell'infrazione sui dati personali o sulla vita privata) le imprese devono avere riguardo al tipo di dati compromessi, in particolare, per quanto riguarda le telecomunicazioni, a informazioni finanziarie, dati sulla localizzazione, file di connessione a internet, cronologie di navigazione in rete, dati inerenti alla posta elettronica ed elenchi dettagliati delle chiamate;
• utilizzare un formato standard (ad esempio, un modulo online uguale per tutti gli Stati membri dell'Ue) per la notifica all'autorità nazionale competente.

L'Ue intende inoltre incentivare le imprese a criptare i dati personali. A tal fine, in collaborazione con l'Enisa, la Commissione europea pubblicherà anche una lista indicativa di misure tecnologiche di protezione, ad esempio di cifratura, che rendano i dati inintelligibili per coloro che non siano autorizzati a leggerli.
Applicando tali tecniche l'impresa interessata da una violazione di dati sarebbe dispensata dall'obbligo di informare l'abbonato, in quanto tale violazione, di fatto, non ne rivelerebbe i dati personali.