Skip to main content

Nuove regole sulla data breach notification per Telco & ISP

Image
By


La Commissione europea presenta nuove regole sulla data breach notification di Telco e Internet Service Provider.

Il 26 giugno 2013, è stato pubblicato, nella Gazzetta ufficiale dell'Unione europea, un nuovo regolamento della Commissione che si rivolge, appunto, ad operatori di telecomunicazioni (telecom) e ad Internet Service Provider (ISP), indicando che cosa debba essere fatto in caso di “perdita, furto o altra compromissione” di dati personali dei clienti.
Lo scopo delle nuove norme è quello di consentire alle imprese, che operano in più di un paese dell'Unione europea, un approccio “paneuropeo” da tenersi in caso di data breach.

E’ noto che sin dal 2011, le Teleco e gli ISP hanno avuto l’obbligo, ai sensi del Regolamento “e-privacy” 2011, di comunicare alle Autorità nazionali per la protezione dei dati e a tutti gli interessati “colpiti” dalla violazione di sicurezza, le violazioni di dati personali verificatesi.

Tuttavia il Regolamento 2011 era carente con riguardo alla tempistica per procedere alla notifica delle violazioni. 

Secondo il nuovo regolamento, le aziende saranno tenute a comunicare la violazione dei dati personali all'Autorità nazionale competente entro 24 ore dal rilevamento della violazione, al fine di circoscriverne al massimo gli effetti. Nell’impossibilità di fornire un’informativa completa entro tale termine, si dovrà procedere ad una notifica "iniziale" (ovvero allo stato delle informazioni di cui si dispone) entro 24 ore mentre il resto delle informazioni (carenti in prima istanza) potranno essere comunicate entro 3 giorni.

L'allegato 1 del regolamento individua le informazioni che devono essere contenute nella notifica della violazione all'Autorità nazionale competente.

Nel valutare se procedere alla notificazione agli interessati delle violazioni avvenute, le società devono tenere in considerazione:
  1. la natura e il contenuto dei dati compromessi, in particolare quando i dati riguardino le informazioni finanziarie, i dati di localizzazione, i file di log di internet, la cronologia della navigazione, i dati delle e-mail e le liste delle chiamate dettagliate;
  2. le probabili conseguenze della violazione per l’interessato, e se
  3. i dati siano stati rubati o siano in possesso di un terzo non autorizzato.

L'allegato 2 del regolamento individua le informazioni che devono essere contenute nella notifica della violazione all’interessato.


Il Regolamento entrerà in vigore il 25 agosto 2013 e non necessita di una norma attuativa, avendo effetto diretto in ciascuno Stato membro.
Labels:

Comments

Post a Comment

Popular posts from this blog

Il provvedimento sugli amministratori di sistema - testo "vigente"

By
Di seguito le parti del provvedimento che hanno subito modifiche. Legenda: - in rosso barrato le parti sostituite o eliminate; - in verde le parti aggiunte; - in blu le note e le parti "illustrative". Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008)
1 comment
continua a leggere

La tirannia del titolare del trattamento

By
Con il Regolamento UE 2016/679 (“GDPR”) è stata introdotta una normativa che, in realtà, semplifica molti aspetti nel settore, ma che una parte consistente – e non necessariamente autorevole – di coloro che hanno esposizione sui media e sui social, ha voluto battezzare come pietra miliare della privacy, presentandola, peraltro, come contorta e pericolosa in termini sanzionatori. Molti dei tratti caratteristici del GDPR riguardano il metodo; quando, nel corso di una delle mie lezioni,  illustro il Regolamento, sono solito disegnare una linea, sulla quale, ad un dato punto, traccio una tacca: ciò, per spiegare che il GDPR, rispetto alla direttiva e alle relative norme attuative, sposta in avanti il momento del controllo (la tacca, appunto), comunicando a chi lo deve applicare: “implementa la sicurezza dei dati come ritieni opportuno, poi l’Autorità o l’interessato condurranno i propri controlli o eserciteranno i propri diritti”. Ai fini del GDPR non è rilevante se la tua pass
Post a Comment
continua a leggere

Voilà Samsung Note 4, Note Edge, Gear S e Gear VR ...

By
Alle 15 la presentazione del nuovo phablet di casa Samsung, il Galaxy Note 4, di seguito potrete godere il live stream ... Samsung presenta anche il nuovissimo Note Edge, Samsung Gear S e Samsung Gear VR ...
Post a Comment
continua a leggere