90
settembre 2012
Come è ormai noto, l’attuale Governo ha, in attua-
zione della direttiva europea, emanato il decreto
legislativo 28 maggio 2012, n. 69, con il quale sono
state apportate significative modifiche al Codice
Privacy, introducendo la nuova disciplina concer-
nente la gestione delle violazioni di sicurezza nel
settore delle comunicazioni elettroniche.
Il Garante per la privacy ha fissato un primo qua-
dro di regole in base alle quali le società di TLC e
i fornitori di servizi di accesso a Internet saranno
tenuti a comunicare, oltre che alla stessa Autorità,
anche agli utenti le “violazioni di dati personali”
che i loro data base dovessero subire a seguito di
attacchi informatici o di eventi avversi.
I nuovi adempimenti gravano esclusivamente: sui
fornitori di servizi di comunicazione elettronica ac-
cessibili al pubblico e, quindi, su quei soggetti che
mettono a disposizione del pubblico, su reti pub-
bliche di comunicazione, servizi consistenti, esclu-
sivamente o prevalentemente, “nella trasmissione di
segnali su reti di comunicazioni elettroniche” - art.
4, comma 2, lett. d) ed e), del Codice.
I medesimi adempimenti sono inoltre connessi alla
particolare attività di fornitura dei predetti servizi,
quale ad esempio il servizio telefonico o quello di
accesso a Internet.
Ciò significa che se la violazione riguarda una banca
dati del fornitore che non attiene in maniera specifica
al servizio offerto dallo stesso, ma ad una qualun-
que delle altre attività che svolge, ad esempio alla
gestione del personale o alla contabilità, l’obbligo
di comunicazione non vige.
L’adempimento non riguarda quindi le reti aziendali,
gli Internet point, i motori di ricerca, i siti Internet
che diffondono contenuti.
Tuttavia il Garante nelle linee guida prevede i rischi
connessi agli obblighi di cui all’art. 32 del Codice
e, in un’ottica preventiva, invita tutti i fornitori ad
effettuare una preliminare ricognizione dell’insieme
dei dati personali trattati.
Infatti, in primo luogo è necessario, per il fornitore
identificare e attribuire un valore ai differenti dati
personali che detiene e ai pericoli cui gli stessi sono
esposti, individuando la propria soglia di accetta-
zione dei rischi e fissando le opportune strategie
di gestione.
Tale analisi dei rischi è necessaria alla predisposi-
zione, da parte dei fornitori, delle misure di sicu-
rezza “adeguate al rischio esistente” (nuovo art.
32, comma 1, del Codice) e all’individuazione di
quelle maggiormente in grado di porre rimedio
alla violazione eventualmente verificatasi, le quali
peraltro debbono essere descritte al Garante nel-
la comunicazione, come previsto dall’art. 32-bis,
comma 5, del Codice.
Come detto, il fornitore deve comunicare la viola-
violazione
di dati
personali:
SI cambia
Il Garante per la privacy ha fissato
un primo quadro di RIFERIMENTO.
Gabriele Faggioli, Maria Cristina Daga
IL PARERE
DEL LEGALE
