di Debora Montagna

Il Regolamento (UE) Commissione CE 24/06/2013, n. 611 (G.U.U.E.
26/06/2013) che entrerà in vigore il 25 agosto 2013 contiene delle
novità circa gli obblighi di notifica delle violazioni di dati personali per i
fornitori di servizi di comunicazione elettronica accessibili al pubblico.

Il Regolamento prevede infatti
delle misure di attuazione delle previsioni sulle notifiche in caso di c.d.
data breaches contenute nella direttiva 2002/58/CE (relativa alla vita privata
e alle comunicazioni elettroniche).

Nella normativa italiana il Decreto
legislativo n. 69 del 28 maggio 2012, apportando delle modifiche al Codice privacy,
ha già introdotto per i casi di violazione dei dati personali obblighi di
comunicazione (sia agli utenti, sia all’Autorità Garante Privacy) a carico dei
soggetti fornitori di servizi di comunicazione elettronica accessibili al
pubblico. Tra l’altro, il Garante Privacy con provvedimento del 4 aprile 2013,
ha poi ulteriormente fissato gli adempimenti necessari in caso di data breaches
e il modello da utilizzare per la relativa comunicazione al Garante.

Rispetto a quanto finora previsto
nel nostro ordinamento, il Regolamento europeo introduce delle modifiche
soprattutto in relazione alla notifica all’abbonato o ad altra persona, stabilendo dei parametri per valutare quando la violazione dei dati rischia di pregiudicare i
soggetti coinvolti e quindi sia necessaria la comunicazione dell’avvenuta
violazione. A partire dalla data di entrata in vigore del Regolamento, i
fornitori di servizi di comunicazione elettronica accessibili al pubblico
valuteranno l’opportunità di notifica all’abbonato – o ad altro
interessato – tenendo conto:

a) della natura e del contenuto
dei dati personali interessati, con una particolare attenzione verso le informazioni
finanziarie, i dati sensibili, quelli relativi all’ubicazione, file di
connessione a Internet, cronologie di navigazione in rete, dati relativi alla
posta elettronica ed elenchi dettagliati delle chiamate;

b) delle possibili conseguenze della violazione di dati personali per
l’abbonato o altra persona interessata, in particolare nel caso in cui la
violazione possa comportare furto o usurpazione di identità, danni fisici,
disagio psicologico, umiliazione o danni alla reputazione;

c) delle circostanze in
cui è avvenuta la violazione dei dati personali, in particolare nel caso in cui i dati
siano stati rubati o il fornitore sia a conoscenza del fatto che i dati sono in
possesso di un terzo non autorizzato.

Anche l‘allegato II al Regolamento
europeo contiene interessanti novità, dal momento che vi si stabilisce il
contenuto minimo che deve caratterizzare la notifica all’abbonato o ad altra
persona: è necessario infatti mettere al corrente l’interessato  in modo dettagliato di quanto accaduto e, in
particolare gli devono essere comunicate la natura e il contenuto dei dati
personali violati e le probabili conseguenze derivanti della violazione.
Tra le
informazioni previste come obbligatorie nell’allegato II
ai fini della notifica ci sono, tra l’altro, quelle relative al nome del
fornitore, ai contatti presso cui ottenere maggiori informazioni, alla sintesi
dell’incidente che ha provocato la violazione di dati personali, nonché le
informazioni relative alle misure adottate dal fornitore per rimediare alla
violazione di dati personali e a quelle consigliate dal fornitore per attenuare
i possibili effetti negativi.