La direttiva comunitaria 2009/136/CE riguardante il trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche è stata recepita dal decreto legislativo n. 69 del 28 maggio 2012. Ora il Garante, a seguito di una consultazione pubblica avviata il 26 luglio 2012, ha emanato un apposito provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach) in data 4 aprile 2013.

Le società telefoniche e gli Internet provider pertanto devono avvisare entro 24 ore dall’evento il Garante privacy ed entro tre giorni i soggetti interessati quando i dati trattati per fornire i servizi subiscono gravi violazioni a seguito di attacchi informatici o di eventi avversi, come incendi o altre calamità, che possano comportare perdita, distruzione o diffusione indebita di dati, tramite un apposito modello di comunicazione.

Modello segnalazione data breach

Il modello va aperto, compilato e, dopo aver apposto la firma digitale, salvato come un file .pdf sul proprio computer. Infine, il modello va inviato al Garante unicamente tramite posta PEC all’indirizzo dcrt@pec.gpdp.it.

In ogni caso, in ragione dell’entità del possibile pregiudizio per gli interessati, devono essere sempre comunicate immediatamente “ai contraenti le violazioni che riguardano le credenziali di autenticazione (nome utente e password, ancorché quest’ultima sia cifrata o sottoposta a funzioni di hashing) o le chiavi di cifratura utilizzate dai contraenti medesimi”.

La comunicazione non è dovuta invece se il fornitore è in grado di dimostrare al Garante di aver applicato ai dati oggetto della violazione misure tecnologiche di protezione che li hanno resi inintelligibili a chiunque non sia autorizzato ad accedervi (cfr. art. 32-bis, comma 3, del Codice).

Il provvedimento è intervenuto ora a chiarire cosa si deve fare in caso di violazioni di dati personali (c.d. data breaches), intesa come la “violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico” (art. 4, comma 3, lett. g-bis), del Codice), trattando in particolare i seguenti argomenti:

– il quadro normativo;
– i soggetti obbligati;
-la gestione della sicurezza e delle violazioni (che implica un’attenta analisi dei rischi e l’adozione di adeguate misure di sicurezza);
– i tempi e il contenuto della comunicazione al Garante;
– l’inventario delle violazioni di dati personali;
– le comunicazioni al contraente o ad altre persone;
– le conseguenze per le ipotesi di mancato rispetto dei nuovi obblighi di sicurezza.

In particolare per quanto riguarda i soggetti obbligati alla segnalazione il Garante ha chiarito che essi siano i “fornitori di servizi di comunicazione elettronica accessibili al pubblico” ovvero “quei soggetti che realizzano esclusivamente, o prevalentemente, una trasmissione di segnali su reti di comunicazioni elettroniche, a prescindere dall’assetto proprietario della rete, e che offrono servizi a utenti finali secondo il principio di non discriminazione (cfr. anche direttiva 2002/21/Ce del Parlamento europeo e del Consiglio, che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica -c.d. direttiva quadro- e d.lg. n. 259/2003 recante il Codice delle comunicazioni elettroniche).
Al contrario non rientrano tra tali soggetti:
– coloro che offrono direttamente servizi di comunicazione elettronica a gruppi delimitati di persone (come, a titolo esemplificativo, i soggetti pubblici o privati che consentono soltanto a propri dipendenti e collaboratori di effettuare comunicazioni telefoniche o telematiche). Tali servizi, pur rientrando nella definizione generale di “servizi di comunicazione elettronica”, non possono essere infatti considerati come “accessibili al pubblico”;
– i titolari e i gestori di esercizi pubblici o di circoli privati di qualsiasi specie che si limitino a porre a disposizione del pubblico, di clienti o soci apparecchi terminali utilizzabili per le comunicazioni, anche telematiche, ovvero punti di accesso a Internet utilizzando tecnologia senza fili, esclusi i telefoni pubblici a pagamento abilitati esclusivamente alla telefonia vocale;
– i gestori dei siti Internet che diffondono contenuti sulla rete (c.d. “content provider”). Essi non sono, infatti, fornitori di un “servizio di comunicazione elettronica” come definito dall’art. 4, comma 2, lett. e) del Codice. Tale norma, infatti, nel rinviare, per i casi di esclusione, all’art. 2, lett. c) della direttiva 2002/21/Ce cit., esclude essa stessa i “servizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica

[…]”. Qualora tali soggetti offrano anche il servizio di posta elettronica, limitatamente alla gestione dei dati personali relativi allo stesso, rientrano viceversa nel campo di applicazione della nuova disciplina;
– i gestori di motori di ricerca, salvo l’eventuale componente di trasmissione dati.”