In attuazione della direttiva europea in materia di sicurezza e privacy nel settore delle comunicazioni elettroniche, recentemente recepita dall’Italia, il Garante per la privacy ha fissato un primo quadro di regole che impone alle società di TLC e ai fornitori di servizi di accesso a Internet di comunicare anche agli utenti – oltre che alla stessa Autorità – le violazioni di dati personali (‘data breaches’) che i loro data base dovessero subire a seguito di attacchi informatici o di eventi avversi.
Le Linee guida adottate dal Garante spiegano chi deve adempiere all’obbligo di comunicare e in quali casi scatta l’obbligo di avvisare gli utenti; illustrano, inoltre, le misure di sicurezza tecniche e organizzative da mettere in atto per avvisare l’Autorità e gli utenti, oltre che i tempi e i contenuti della comunicazione.
Per armonizzare le procedure e le modalità di notifica, l’Autorità ha deciso di lanciare una consultazione che è stata pubblicata, insieme alle Linee guida, sulla Gazzetta Ufficiale n. 183 del 7 agosto 2012. In questo modo, l’Autorità intende acquisire, da parte delle società telefoniche e degli Isp, elementi utili a valutare l’adeguatezza delle misure individuate. Le osservazioni potranno pervenire entro 90 giorni dalla pubblicazione della deliberazione.