Arrivano nuove misure a garanzia di chi naviga sulle reti telematiche e utilizza gli strumenti di comunicazione elettronica: in particolare l'obbligo, per i fornitori di servizi di comunicazione elettronica, di comunicare al Garante e agli utenti le violazioni della sicurezza che comportano anche accidentalmente la perdita, la modifica o l'accesso non autorizzato ai dati personali.
IL D.LGS. 69/2012 IN PILLOLE
Il decreto legislativo 28 maggio 2012 n. 69 (pubblicato sulla «Gazzetta Ufficiale» n. 126, del 31 maggio 2012) introduce nel codice in materia di protezione dei dati personali (Dlgs n. 196 del 2003, in seguito anche "Codice" o "Codice privacy") delle disposizioni ulteriori per i fornitori di servizi telematici.
Si tratta per esempio della segnalazione all'utente dei cookie, cioè i piccoli programmi che registrano le informazioni sulla navigazione effettuata dall'utente, spesso utilizzati dai provider come strumenti, più o meno occultamente installati sul browser, per parametrare l'offerta pubblicitaria ai gusti del singolo consumatore; dello spamming e delle informazioni commerciali indesiderate inviate su computer e telefonini.
A fronte della violazione delle nuove disposizioni sono previste nuove ipotesi sanzionatorie a protezione dei dati su internet e sui telefoni.
QUANDO SCATTA L'OBBLIGO DI INFORMAZIONE AL GARANTE
Nel caso si verifichi una fuga di dati o comunque qualsiasi altro incidente, per il fornitore dei servizi di comunicazione scatta l'obbligo di darne comunicazione al Garante senza ritardo (articolo 32-bis, comma 1, del codice).
QUANDO SCATTA L'OBBLIGO DI INFORMAZIONE AL CONTRAENTE
Se la violazione rischia di arrecare un pregiudizio ai dati personali o alla riservatezza del contraente o di altra persona, il fornitore deve darne comunicazione anche a tali soggetti, salvo il caso in cui abbia dimostrato al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate ai dati oggetto della violazione. Il Garante ove ravvisi gli estremi della lesione o del forte rischio di lesione dei diritti degli utenti obbliga il fornitore alla comunicazione al cliente.
CONTENUTI DI UNA COMUNICAZIONE VALIDA
La comunicazione deve contenere gli elementi atti a far comprendere all'utente cosa sia accaduto e il modo per rimediare.
Occorre dunque comunicare:
- la natura della violazione dei dati e i punti di contatto presso cui si possono ottenere maggiori informazioni;
- elencare le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione;
- se la comunicazione viene eseguita dal Garante dovrà descrivere le conseguenze della violazione e le misure proposte o adottate dal fornitore per porvi rimedio.
COMUNICAZIONE DEL GARANTE
Quando la comunicazione viene fatta dal Garante potrà avvenire con emanazione di un proprio provvedimento che indica gli orientamenti e le istruzioni in relazione alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali, al formato della comunicazione, nonché alle relative modalità di effettuazione, tenuto conto delle eventuali misure tecniche di attuazione adottate dalla Commissione europea.
INVENTARIO AGGIORNATO DELLE VIOLAZIONI TENUTO DAI FORNITORI
Al fine di consentire al Garante di eseguire i necessari controlli, i fornitori sono obbligati a mantenere un registro delle violazioni sempre aggiornato con l'indicazione per ciascun incidente delle cause, delle conseguenze e dei rimedi adottati.
LE SANZIONI
In caso di mancata comunicazione della violazione al Garante, scatta una sanzione amministrativa da venticinquemila a centocinquantamila euro. Se invece la comunicazione omessa è quella dovuta al contraente o altro interessato, la cifra da pagare viene calcolata moltiplicando il numero degli interessati per una somma compresa fra centocinquanta e mille euro.