Skip to main content

Nuove regole sulla data breach notification per Telco & ISP

Image
By


La Commissione europea presenta nuove regole sulla data breach notification di Telco e Internet Service Provider.

Il 26 giugno 2013, è stato pubblicato, nella Gazzetta ufficiale dell'Unione europea, un nuovo regolamento della Commissione che si rivolge, appunto, ad operatori di telecomunicazioni (telecom) e ad Internet Service Provider (ISP), indicando che cosa debba essere fatto in caso di “perdita, furto o altra compromissione” di dati personali dei clienti.
Lo scopo delle nuove norme è quello di consentire alle imprese, che operano in più di un paese dell'Unione europea, un approccio “paneuropeo” da tenersi in caso di data breach.

E’ noto che sin dal 2011, le Teleco e gli ISP hanno avuto l’obbligo, ai sensi del Regolamento “e-privacy” 2011, di comunicare alle Autorità nazionali per la protezione dei dati e a tutti gli interessati “colpiti” dalla violazione di sicurezza, le violazioni di dati personali verificatesi.

Tuttavia il Regolamento 2011 era carente con riguardo alla tempistica per procedere alla notifica delle violazioni. 

Secondo il nuovo regolamento, le aziende saranno tenute a comunicare la violazione dei dati personali all'Autorità nazionale competente entro 24 ore dal rilevamento della violazione, al fine di circoscriverne al massimo gli effetti. Nell’impossibilità di fornire un’informativa completa entro tale termine, si dovrà procedere ad una notifica "iniziale" (ovvero allo stato delle informazioni di cui si dispone) entro 24 ore mentre il resto delle informazioni (carenti in prima istanza) potranno essere comunicate entro 3 giorni.

L'allegato 1 del regolamento individua le informazioni che devono essere contenute nella notifica della violazione all'Autorità nazionale competente.

Nel valutare se procedere alla notificazione agli interessati delle violazioni avvenute, le società devono tenere in considerazione:
  1. la natura e il contenuto dei dati compromessi, in particolare quando i dati riguardino le informazioni finanziarie, i dati di localizzazione, i file di log di internet, la cronologia della navigazione, i dati delle e-mail e le liste delle chiamate dettagliate;
  2. le probabili conseguenze della violazione per l’interessato, e se
  3. i dati siano stati rubati o siano in possesso di un terzo non autorizzato.

L'allegato 2 del regolamento individua le informazioni che devono essere contenute nella notifica della violazione all’interessato.


Il Regolamento entrerà in vigore il 25 agosto 2013 e non necessita di una norma attuativa, avendo effetto diretto in ciascuno Stato membro.
Labels:

Comments

Post a Comment

Popular posts from this blog

Trattamento dati personali in un'epidemia, indicazioni per i datori di lavoro

By
Quello che segue è un estratto della dichiarazione del CEPD del 19 marzo 2020. Comitato europeo per la protezione dei dati - EDPB Estratto della “Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19” Adottata il 19 marzo 2020 [...] 1.2 Nel contesto lavorativo , il trattamento dei dati personali può essere necessario per adempiere un obbligo legale al quale è soggetto il datore di lavoro, per esempio in materia di salute e sicurezza sul luogo di lavoro o per il perseguimento di un interesse pubblico come il controllo delle malattie e altre minacce di natura sanitaria. Il RGPD prevede anche deroghe al divieto di trattamento di talune categorie particolari di dati personali, come i dati sanitari, se ciò è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica (articolo 9.2, lettera i), sulla base del diritto dell'Unione o nazionale, o laddove vi sia la necessità di proteggere gli interessi vitali del...
Post a Comment
continua a leggere

Samsung, LG, Apple ... per molti di noi basta Zopo ...

By
Spesso ci si lascia trascinare dalle campagne di marketing, lasciando che queste offuschino la nostra capacità di giudizio. Questo gioca 2 volte a nostro sfavore: 1) a causa della sindrome da Geek, ci facciamo andare bene caratteristiche che non sono realmente innovative; 2) spendiamo i nostri soldi in modo non sempre coerente con le nostre esigenze. Un giro su questo sito ( www.zopomobile.it ) e sui diversi modelli proposti, può farci risparmiare un po' di soldi con, tutto sommato, poche rinunce. Direte voi: ma la qualità e l'innovazione delle Big non sono paragonabili . Allora io vi rispondo: ma il baraccone che sta mettendo su Samsung per poi cercare di venderci il Galaxy S4 con un processore 4 core quando qualcuno, nel mondo, allo stesso prezzo, avrà la versione octa core, non è indegno? Oppure i "re-styling" di Apple che aggiunge un centimetro di lunghezza all' iPhone 4s e lo rivende come "nuovo" ... valgono i 700 eu...
Post a Comment
continua a leggere

Telemarketing, call center e regole disattese

By
Oggi mi sono imbattuto in questa notizia . I Call center potranno, se passa questo emendamento, contare su un'ulteriore proroga (si veda il comma 6) del famigerato decreto (poi convertito in legge) che a febbraio 2009 concesse l'uso dei dati personali per attività di teleselling fino al dicembre 2009 introducendo questo articolo: "1-bis. I dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1º agosto 2005, sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1º agosto 2005". Eppure nel marzo del 2009 il Garante, proprio per far fronte a quella cha aveva definito come una “selvaggia aggressione”, aveva promulgato un ulteriore provvedimento sfruttando i poteri riconosciuti alle autorità amministrative...
Post a Comment
continua a leggere