Dopo la consultazione scatta l'obbligo di comunicazione nel caso di data breaches - Studio Legale Lisi

di dott.ssa Debora Montagna – Digital & Law Department

Scatta l’obbligo per società telefoniche e Internet provider di avvisare il Garante Privacy e gli utenti quando i dati trattati per fornire i servizi subiscono gravi violazioni, a seguito di attacchi informatici o di eventi avversi – come incendi o altre calamità – che possono comportare perdita, distruzione o diffusione indebita di dati.
Questo è quanto si legge sul sito dell’Autorità Garante per la Privacy con riferimento agli obblighi di comunicazione dei data breaches. Ripercorriamo brevemente l’iter che ha portato a tale risoluzione.

Con il decreto legislativo n. 69 del 28 maggio 2012 – in recepimento della direttiva comunitaria 2009/136/CE riguardante il trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche – sono state apportate delle rilevanti modifiche al Codice in materia di protezione dei dati personali. In particolare sono stati introdotti obblighi di comunicazione agli utenti e all’Autorità Garante Privacy nei casi di violazione dei dati personali. Il 26 luglio 2012 il Garante Privacy aveva avviato la procedura di consultazione pubblica sulle Linee Guida relative alla disciplina per la comunicazione delle violazioni di dati personali, le quali costituivano un primo quadro di istruzioni da seguire in caso di violazione di dati personali e quindi nel caso di perdita, distruzione o indebita diffusione dei dati stessi. In seguito all’acquisizione dei contributi e delle osservazioni pervenuti all’Autorità Garante dai principali fornitori di servizi di comunicazione elettronica è stato approvato un provvedimento generale che ha, oltretutto, sostituito le Linee Guida in consultazione.
Con il provvedimento adottato sono stati quindi fissati gli adempimenti per i casi in cui si dovessero verificare i cosiddetti "data breaches”, in particolare sono stati analizzati:
– il quadro normativo;
– i soggetti obbligati;
– la gestione della sicurezza e delle violazioni (che implica un’attenta analisi dei rischi e l’adozione di adeguate misure di sicurezza);
– i tempi e il contenuto della comunicazione al Garante;
– l’inventario delle violazioni di dati personali;
– le comunicazioni al contraente o ad altre persone;
– le conseguenze per le ipotesi di mancato rispetto dei nuovi obblighi di sicurezza.

E così, entro 24 ore dalla scoperta dell’evento, società di telecomunicazioni e Internet service provider dovranno fornire al Garante le informazioni necessarie a consentire una prima valutazione dell’entità della violazione (ad esempio, tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione).
Quest’obbligo di comunicazione spetta solo ai fornitori di servizi telefonici e di accesso a Internet (e non, ad esempio, ai siti internet che diffondono contenuti, ai motori di ricerca, agli internet point, alle reti aziendali).
Il Garante ha inoltre predisposto un modello di comunicazione che è disponibile sul suo sito www.garanteprivacy.it.

Non bisogna però dimenticarsi dei soggetti coinvolti in eventuali violazioni di dati personali, anche questi, infatti, dovranno essere informati entro tre giorni dall’evento che ha comportato la violazione e nella comunicazione si dovrà fare riferimento:
– al grado di pregiudizio che la perdita o la distruzione dei dati può comportare (furto di identità, danno fisico, danno alla reputazione);
– all’ "attualità" dei dati (dati più recenti possono rivelarsi più interessanti per i malintenzionati);
– alla qualità dei dati coinvolti (finanziari, sanitari, giudiziari etc.);
– alla quantità dei dati coinvolti.

La comunicazione ai soggetti interessati non è obbligatoria nel caso in cui il soggetto obbligato possa dimostrare di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati, salva comunque l’eventuale imposizione da parte dell’Autorità Garante nei casi più gravi.
A tal riguardo il Garante ha specificato sia cosa si intende per inintelligibilità, sia quali siano le modalità di comunicazione al contraente o alle altre persone interessate dalla violazione. Ha, inoltre, suggerito quali potrebbero essere i parametri utilizzabili dai fornitori al fine di decidere che misure adottare per ridurre il rischio e attenuare il danno nel caso si verifichi la violazione, nonché al fine di decidere se comunicare l’accaduto al contraente e/o alle altre persone interessate dalla violazione.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Dopo la consultazione scatta l’obbligo di comunicazione nel caso di data breaches

Dopo la consultazione scatta l’obbligo di comunicazione nel caso di data breaches

Vengo dopo il DIGEAT – L’utilizzo corretto degli strumenti IT e di IA nelle organizzazioni pubbliche e private

Lo ho-BIT – Andata e Ritorno

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco