Skip to main content

Nuove regole sulla data breach notification per Telco & ISP



La Commissione europea presenta nuove regole sulla data breach notification di Telco e Internet Service Provider.

Il 26 giugno 2013, è stato pubblicato, nella Gazzetta ufficiale dell'Unione europea, un nuovo regolamento della Commissione che si rivolge, appunto, ad operatori di telecomunicazioni (telecom) e ad Internet Service Provider (ISP), indicando che cosa debba essere fatto in caso di “perdita, furto o altra compromissione” di dati personali dei clienti.
Lo scopo delle nuove norme è quello di consentire alle imprese, che operano in più di un paese dell'Unione europea, un approccio “paneuropeo” da tenersi in caso di data breach.

E’ noto che sin dal 2011, le Teleco e gli ISP hanno avuto l’obbligo, ai sensi del Regolamento “e-privacy” 2011, di comunicare alle Autorità nazionali per la protezione dei dati e a tutti gli interessati “colpiti” dalla violazione di sicurezza, le violazioni di dati personali verificatesi.

Tuttavia il Regolamento 2011 era carente con riguardo alla tempistica per procedere alla notifica delle violazioni. 

Secondo il nuovo regolamento, le aziende saranno tenute a comunicare la violazione dei dati personali all'Autorità nazionale competente entro 24 ore dal rilevamento della violazione, al fine di circoscriverne al massimo gli effetti. Nell’impossibilità di fornire un’informativa completa entro tale termine, si dovrà procedere ad una notifica "iniziale" (ovvero allo stato delle informazioni di cui si dispone) entro 24 ore mentre il resto delle informazioni (carenti in prima istanza) potranno essere comunicate entro 3 giorni.

L'allegato 1 del regolamento individua le informazioni che devono essere contenute nella notifica della violazione all'Autorità nazionale competente.

Nel valutare se procedere alla notificazione agli interessati delle violazioni avvenute, le società devono tenere in considerazione:
  1. la natura e il contenuto dei dati compromessi, in particolare quando i dati riguardino le informazioni finanziarie, i dati di localizzazione, i file di log di internet, la cronologia della navigazione, i dati delle e-mail e le liste delle chiamate dettagliate;
  2. le probabili conseguenze della violazione per l’interessato, e se
  3. i dati siano stati rubati o siano in possesso di un terzo non autorizzato.

L'allegato 2 del regolamento individua le informazioni che devono essere contenute nella notifica della violazione all’interessato.


Il Regolamento entrerà in vigore il 25 agosto 2013 e non necessita di una norma attuativa, avendo effetto diretto in ciascuno Stato membro.

Comments

Popular posts from this blog

China data protection framework evolution

Il 1 giugno 2012 il MIIT (Ministro dell'Industria e dell'Information Technology) ha evidenziato l'adozione di un aggiornamento normativo, attualmente sottoposto a pubblica consultazione (in scadenza il 6 luglio 2012), che attiene la  raccolta e l'alterazione delle informazioni personali degli utenti. In esso  viene dato un giro di vite ad alcuni abusi perpetrati da parte dei produttori di telefonini (o comunque di mobile device) e degli Online Content Providers. Il provvedimento parte dalla constatazione che, accanto alla crescente diffusione di mobile device, è invalsa l'abusiva attività di commercio delle informazioni che riguardano l'utente finale, abbinata alla pre-installazione (già dalla "fabbrica") di "malware designed to siphon the users' mobile phone balance overtime". L'emendamento proibisce ai destinatari (manufacturer e OCP) di pre-installare ovvero fornire altrimenti agli utenti, qualsiasi applicazione che: - c...

Peppermint 2 ... Logistep SA raccoglie, segretamente, gli IP degli user delle reti p2p

Il caso è nato dal fatto che, su incarico di alcune case discografiche (e non solo) Logistep SA ha iniziato ad acquisire, nell'ambito delle reti p2p, gli indirizzi IP degli user coinvolti nell'attività di file sharing . In seguito alla raccolta di queste informazioni venivano avviati procedimenti penali finalizzati alla conoscenza degli estremi identificativi degli user stessi (in virtù del diritto alla consultazione degli atti) e alla conseguente richiesta di risarcimento in ambito civilistico. Conseguendone l'elusione del segreto delle comunicazioni, applicabile senza eccezioni nel diritto privato, e che può essere sciolto soltanto nell'ambito di un procedimento penale. L'IFPDT (l'Autorità per la protezione dei dati nella Confederazione Elvetica) giudicando questa pratica abusiva, in particolare perché l'utente interessato non è a conoscenza del trattamento di dati personali, come invece esige la legge sulla protezione dei dati, chiede in una raccomandazi...

Il Garante si pronuncia su telecomunicazioni e profilazione

Dall’attività ispettiva dell’Autorità sono emerse attività di profilazione prive dei presupposti di legge. Nulla di nuovo sotto il cielo, noi consumatori abbiamo sempre saputo che determinate telefonate, magari accompagnate da improvvise interruzioni della comunicazione nel momento in cui chiedevamo l’origine dei dati trattati dall’operatore, sottendevano che i nostri dati subissero trattamenti – non consentiti – anche molto tempo dopo aver cambiato operatore tlc. In parte noi consumatori dobbiamo assumerci le nostre responsabilità, diciamo la verità è piuttosto raro che un utente eserciti i diritti previsti dall’art. 7, comma 3, lettere b) e c) del codice privacy, ossia: - la richiesta di “cancellazione o trasformazione in forma anonima dei dati trattati in violazione di legge”; - l'attestazione che l’operazione di “cancellazione o trasformazione in forma anonima” sia stata portata a conoscenza, anche per quanto riguarda il contenuto, “di coloro ai quali i dati sono stati comunica...