Agenda digitale, nuove regole specifiche per i consumatori in caso di perdita o furto nell’UE di dati personali nelle telecomunicazioni

25 Giugno 2013
Modifica zoom
100%

La Commissione europea introduce nuove regole su come esattamente gli operatori delle telecomunicazioni e i fornitori di servizi Internet (ISP) debbano comportarsi in caso di perdita, furto o compromissione in altro modo dei dati personali dei loro clienti.

Il fine di tali “misure tecniche di attuazione” è garantire che, in caso di violazione di dati, tutti i clienti ricevano un trattamento equivalente in tutta l’Unione europea e le imprese possano adottare un approccio paneuropeo a tale problema nel caso in cui operino in più di un paese.
Gli operatori delle telecomunicazioni e i fornitori di servizi Internet detengono una serie di dati dei loro clienti quali nome, indirizzo e coordinate bancarie, oltre alle informazioni sulle telefonate effettuate e ricevute e i siti web visitati. Dal 2011 queste imprese sono tenute a rispettare l’obbligo generale di informare le autorità nazionali e gli abbonati delle violazioni di dati personali (IP/11/622).
Grazie a un regolamento della Commissione le imprese potranno adempiere a tali obblighi contando su una maggiore chiarezza e i clienti avranno ulteriori garanzie circa il modo in cui ci si occuperà dei loro problemi. Ad esempio, le imprese devono:

  • informare dell’incidente l’autorità nazionale competente entro 24 ore dalla sua rilevazione al fine di contenerne quanto più possibile le conseguenze; nel caso in cui non sia possibile fornire informazioni complete entro tale termine, comunicarne una prima serie entro 24 ore, con il resto a seguire entro tre giorni;
  • indicare le informazioni compromesse e le misure che l’impresa ha attuato o intende attuare;
  • nel valutare la necessità di informare gli abbonati (secondo il criterio del rischio di ripercussioni negative dell’infrazione sui dati personali o sulla vita privata) le imprese devono avere riguardo al tipo di dati compromessi, in particolare, per quanto riguarda le telecomunicazioni, a informazioni finanziarie, dati sulla localizzazione, file di connessione a internet, cronologie di navigazione in rete, dati inerenti alla posta elettronica ed elenchi dettagliati delle chiamate;
  • utilizzare un formato standard (ad esempio, un modulo online uguale per tutti gli Stati membri dell’UE) per la notifica all’autorità nazionale competente.

La Commissione intende inoltre incentivare le imprese a criptare i dati personali. A tal fine, in collaborazione con l’ENISA, la Commissione pubblicherà anche una lista indicativa di misure tecnologiche di protezione, ad esempio di cifratura, che rendano i dati inintelligibili per coloro che non siano autorizzati a leggerli. Applicando tali tecniche l’impresa interessata da una violazione di dati sarebbe dispensata dall’obbligo di informare l’abbonato, in quanto tale violazione, di fatto, non ne rivelerebbe i dati personali.
Neelie Kroes, Vicepresidente della Commissione europea, ha dichiarato: “Per tutelarsi, se necessario, i consumatori devono sapere se i loro dati personali sono stati compromessi, e le imprese hanno bisogno di semplicità: un contesto di condizioni eque che queste nuove misure di carattere concreto realizzano”.
La Commissione dà attuazione a queste norme a seguito della consultazione pubblica del 2011 che ha fatto emergere un ampio favore dei portatori di interesse per un approccio armonizzato in questo settore. Le regole sono state concordate in seno a un comitato di Stati membri e sottoposte al vaglio del Parlamento europeo e del Consiglio; sono state adottate in forma di regolamento della Commissione, che è direttamente applicabile e non richiede alcun recepimento a livello nazionale, ed entreranno in vigore due mesi dopo la pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Contesto
La direttiva e-Privacy del 2002 prevede che gli operatori delle telecomunicazioni e i fornitori di servizi Internet mantengano i dati personali in condizioni di riservatezza e sicurezza. Tuttavia, i dati possono essere rubati o smarriti oppure possono avervi accesso persone non autorizzate: sono questi i casi di “violazione di dati personali”. Secondo la direttiva e-Privacy riveduta (2009/136/CE), al verificarsi di una violazione di dati personali il fornitore di servizi deve darne segnalazione a una specifica autorità nazionale, solitamente l’autorità nazionale garante della protezione dei dati o l’autorità di regolamentazione delle comunicazioni. Inoltre, il fornitore deve informare l’abbonato interessato direttamente nel caso in cui la violazione possa compromettere dati personali o la vita privata. Per garantire l’applicazione coerente delle norme sulla violazione di dati in tutti gli Stati membri la direttiva e-Privacy consente alla Commissione di proporre “misure tecniche di attuazione” – regole pratiche che integrano la normativa vigente — per definire le circostanze, i formati e le procedure per gli obblighi di notifica.
La direttiva e-Privacy stabilisce che, nel predisporre le misure, la Commissione “coinvolge tutti i soggetti interessati”. Ciò è stato fatto nel 2011 in forma di consultazione pubblica alla quale ha risposto un’ampia gamma di soggetti, comprese le autorità nazionali, i fornitori di servizi e la società civile. Dai risultati sono emersi un ampio sostegno dei portatori di interesse in favore di norme armonizzate e la conferma di approcci nazionali in parte divergenti. Nel predisporre le misure la Commissione ha consultato anche l’ Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA), il Gruppo dell’articolo 29 per la tutela dei dati e il Garante europeo della protezione dei dati (GEPD).
Queste misure sono separate e distinte dalla revisione del quadro giuridico dell’UE per la protezione dei dati proposta dalla Commissione e dalla proposta della Commissione inerente a una direttiva sulla sicurezza delle reti e dell’informazione.

(Fonte: Commissione europea)

Scrivi un commento

Accedi per poter inserire un commento