La Commissione europea presenta nuove regole sulla data
breach notification di Telco e Internet Service Provider.
Il 26 giugno 2013, è stato pubblicato, nella Gazzetta
ufficiale dell'Unione europea, un nuovo regolamento della Commissione che si
rivolge, appunto, ad operatori di telecomunicazioni (telecom) e ad Internet
Service Provider (ISP), indicando che cosa debba essere fatto in caso di “perdita,
furto o altra compromissione” di dati personali dei clienti.
Lo scopo delle nuove norme è quello di consentire alle
imprese, che operano in più di un paese dell'Unione europea, un approccio “paneuropeo”
da tenersi in caso di data breach.
E’ noto che sin dal 2011, le Teleco e gli ISP hanno avuto l’obbligo,
ai sensi del Regolamento “e-privacy” 2011, di comunicare alle Autorità
nazionali per la protezione dei dati e a tutti gli interessati “colpiti” dalla
violazione di sicurezza, le violazioni di dati personali verificatesi.
Tuttavia il Regolamento 2011 era carente con riguardo alla
tempistica per procedere alla notifica delle violazioni.
Secondo il nuovo regolamento, le aziende saranno tenute a comunicare la violazione dei dati personali all'Autorità
nazionale competente entro 24 ore dal rilevamento della violazione, al fine di circoscriverne
al massimo gli effetti. Nell’impossibilità di fornire un’informativa completa entro
tale termine, si dovrà procedere ad una notifica "iniziale" (ovvero allo stato delle informazioni di cui si dispone) entro 24 ore mentre il
resto delle informazioni (carenti in prima istanza) potranno essere comunicate
entro 3 giorni.
L'allegato 1 del regolamento individua le informazioni che
devono essere contenute nella notifica della violazione all'Autorità nazionale
competente.
Nel valutare se procedere alla notificazione agli
interessati delle violazioni avvenute, le società devono tenere in considerazione:
- la natura e il contenuto dei dati compromessi, in particolare quando i dati riguardino le informazioni finanziarie, i dati di localizzazione, i file di log di internet, la cronologia della navigazione, i dati delle e-mail e le liste delle chiamate dettagliate;
- le probabili conseguenze della violazione per l’interessato, e se
- i dati siano stati rubati o siano in possesso di un terzo non autorizzato.
L'allegato 2 del regolamento individua le informazioni che
devono essere contenute nella notifica della violazione all’interessato.
Il Regolamento entrerà in vigore il 25 agosto 2013 e non
necessita di una norma attuativa, avendo effetto diretto in ciascuno Stato
membro.
Comments
Post a Comment