Mar21082018

Ultimo aggiornamento06:43:53

Obbligo di notifica per le violazioni di sicurezza dei dati personali anche nel settore telecomunicazioni

  • PDF

Ad oggi l'obbligo di notifica delle violazioni in materia di trattamento di dati personali riguarda in Italia solo il settore dei servizi di comunicazione elettronica ed il settore bancario, ma a breve, grazie all'entrata in vigore del nuovo Regolamento Europeo,  riguarderà qualunque ambito operativo. Si tratta in pratica dell'obbligo del Titolare di avvisare l'Autorità – e in alcuni casi anche l'interessato – ogni qualvolta si trovi a commettere una violazione di trattamento di dati personali.

 

Per quel che concerne il settore delle telecomunicazioni tale novità è stata introdotta grazie a due decreti legislativi del maggio 2012.

Il primo decreto legislativo recepisce la normativa europea (direttiva 2009/136/CE) in materia di reti e servizi di comunicazione elettronica; di accesso alle reti di comunicazione elettronica e risorse correlate e all'interconnessione delle medesime; di autorizzazioni per le reti e i servizi di comunicazione.

Il secondo decreto legislativo recepisce la normativa comunitaria (direttiva 2009/140/CE) in tema di servizio universale e diritti degli utenti in materia di reti e di servizi di comunicazione elettronica; trattamento dei dati personali e a tutela della vita privata nel settore delle comunicazioni elettroniche; cooperazione tra le autorità nazionali.

Le regole contenute sono finalizzate a rafforzare una maggiore tutela dei consumatori contro le violazioni dei dati personali e lo "spam", dando attuazione alle strategia comunitaria in materia di comunicazioni elettroniche.
In base a quanto stabilito nei decreti  i nomi,  le informazioni bancarie dei clienti dei fornitori di servizi di telecomunicazioni, gli indirizzi e-mail,e, in particolare, i dati su ogni telefonata e sessione in rete devono essere tenuti al sicuro da un uso non voluto, accidentale o illecito. I fornitori dei servizi devono rispondere della responsabilità che deriva loro dalla elaborazione e conservazione di queste informazioni.
Per i sopraddetti motivi le nuove norme introducono notifiche obbligatorie per le violazioni dei dati personali. In pratica  i fornitori di comunicazioni sono già obbligati a informare le autorità ed i loro clienti circa ogni violazioni della sicurezza effettuata che leda i dati personali di questi ultimi.
Per quel che concerne il mondo bancario si ricorda il provvedimento del  12 maggio 2011 (pubblicato sulla G. U. in data 3 giugno 2011)  dal titolo  “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie”, che ha introdotto l'obbligo di notifica delle violazioni. Più precisamente l'art. 5 che disciplina le Informazioni in caso di accessi non autorizzati”, stabilisce l'obbligo di comunicare senza ritardo all'interessato le operazioni di trattamento illecito effettuate - sui dati personali allo stesso riferiti - dagli incaricati. Tale tempestiva informazione, infatti, in termini generali, può consentire all'interessato l'adozione di appropriate misure e, ove possibile, una minimizzazione dei rischi connessi alla violazione della disciplina di protezione dei dati personali.

Tale comunicazione costituisce misura opportuna ai sensi dell'art. 154, comma 1, lett. c) del Codice. Il che significa che la violazione costituisce non solo violazione amministrativa di cui al 162, 2 ter  per la quale è prevista la sanzione fino a 180.000 euro, ma anche mancanza di misura idonea ai sensi dellart. 15 Codice Privacy, per la quale è prevista  la responsabilità civile in caso di verificarsi di un danno in capo all'interessato.

Ora, in seguito all'approvazione della Proposta di Regolamento Europeo del 25 gennaio 2012, di prossima introduzione nel nostro ordinamento, grazie agli articoli 31 e 32, la notifica della violazione si estende ad ogni ambito di trattamento. Detti articoli disciplinano rispettivamente la notificazione all'Autorità di Controllo e la comunicazione della violazione all'interessato. E' utile evidenziare che la notificazione della violazione va eseguita senza ritardo entro 24 ore dal momento in cui il Titolare nè è venuto a conoscenza. I contenuti minimi della notifica sono previsti dalla norma; quello che più colpisce è l'obbligo di elencare all'Autorità le misure raccomandate per attenuare eventuali effetti pregiudizievoli ed anche quello di descrivere eventuali conseguenze. La comunicazione all'interessato è obbligatoria solo quando la violazione rischia di pregiudicare i dati personali o di attentare alla vita privata dell’interessato.

Come si evince da quanto descritto tale nuovo obbligo va ad aggravare notevolmente gli adempimenti da adottarsi per una perfetta conformità Privacy. Ci si può solo auspicare a questo punto che le aziende che si mettano in regola, godano di qualche sorta di incentivo, sopratutto in considerazione del fatto che l'obbligo di Notifica della Violazione è una vera e propria autodenuncia, che come tale può comportare notevoli conseguenze, anche risarcitorie, per il Titolare che la effettua.

Si precisa che il Privacy Officer (Responsabile della Protezione dei dati personali, figura di nuova introduzione, prevista dal Regolamento) dovrà vegliare anche sulle violazioni e sulle successive comunicazioni del Titolare. E' bene cominciare a riflettere da subito sulla sua prossima designazione.

Ti può interessare anche:

Commenti (0)
Solo gli utenti registrati possono scrivere commenti!

Ultimo aggiornamento Lunedì 20 Agosto 2012 16:55

Focus

Privacy, utenti più tutelati con il giro di vite sul consenso

Privacy, utenti più tutelati con il giro di vite sul consenso

Amici che con vostro stupore sanno dove vi trovate o che musica state ascoltando, call center che vi bersagliano di telefonate promozionali nonostante non vi ricordiate di aver mai dato loro il...

18 Mag 2017 Letto:959

Leggi tutto

RGPD e profilazione: cosa cambia con il nuovo Regolamento?

RGPD e profilazione: cosa cambia con il nuovo Regolamento?

Il diavolo e l’acqua santa: il paradigma potrebbe apparire eccessivo ma descrive in sintesi il rapporto che accomuna le attività di profilazione ed il trattamento dei dati personali. Infatti se esaminiamo tutto...

15 Apr 2016 Letto:6034

Leggi tutto

La sicurezza dei sistemi di ICT in una prospettiva di law and techno…

La sicurezza dei sistemi di ICT in una prospettiva di law and technologies

La sicurezza è un bisogno innato nell’essere umano, legato alla costante presenza nell’ambiente di condizioni di imprevedibilità che determinano nell’uomo stati emozionali di insicurezza, di paura. Nella sua analisi delle motivazioni del...

04 Apr 2016 Letto:1510

Leggi tutto

I dati personali come un numero telefonico? Il diritto alla portabil…

I dati personali come un numero telefonico? Il diritto alla portabilità del dato nel nuovo Regolamento UE

I dati personali come un numero di telefono. Standardizzati, leggibili a macchina, in definitiva portabili. È l’obiettivo dichiarato dal nuovo articolo 18 del Regolamento Europea sulla protezione dei dati personali, secondo cui “l'interessato...

04 Apr 2016 Letto:1642

Leggi tutto

Nuovo Regolamento europeo: molto più complesso se si pensa allo scen…

Nuovo Regolamento europeo: molto più complesso se si pensa allo scenario

Il Regolamento europeo per la privacy, non è una semplice nuova legge, per le aziende sarà una innovazione che si dovrà inserire in un contesto estremamente complesso ed in uno scenario giuridico...

04 Apr 2016 Letto:2182

Leggi tutto

Multe & Sentenze

Il Corriere della Privacy S.r.l. P.I. 06199650489 - Testata registrata Tribunale di Firenze N.5871 del 08.05.2012
©Copyright 2011-2018 | | Direttore Responsabile: Nicola Bernardi