91
settembre 2012
zione dei dati personali al Garante “senza indebiti
ritardi”, ossia nel momento in cui lo stesso ne viene
a conoscenza.
Comunicare in maniera tempestiva
La comunicazione della violazione dovrà avvenire
in maniera tempestiva: entro 24 ore dalla scoperta
dell’evento, aziende TLC e Internet provider dovran-
no fornire sommarie informazioni per consentire
una prima valutazione dell’entità della violazione.
Aziende telefoniche o Internet provider avranno 3
giorni di tempo per una descrizione più dettagliata.
È stato ritenuto che tali soggetti nelle situazioni più
articolate possano, in un primo momento, limitarsi
a fornire all’Autorità sommarie informazioni in rela-
zione alla violazione verificatasi, purché ciò avven-
ga immediatamente dopo l’avvenuta conoscenza
della stessa, integrando poi la comunicazione in un
momento successivo.
Tali sommarie informazioni devono in ogni caso
consentire all’Autorità di effettuare una prima valu-
tazione dell’entità della violazione e devono, quindi,
comprendere:
- i dati identificativi del fornitore;
- una breve descrizione della violazione;
- l’indicazione della data anche presunta della vio-
lazione e del momento della sua scoperta;
- l’indicazione del luogo in cui è avvenuta la vio-
lazione dei dati, anche nel caso in cui essa sia
avvenuta a seguito di smarrimento di dispositivi;
- l’indicazione della natura e del contenuto dei dati
anche solo presumibilmente coinvolti;
- una sintetica descrizione dei sistemi di elabo-
razione o di memorizzazione dei dati coinvolti,
con indicazione della loro ubicazione.
All’esito delle verifiche, i fornitori dovranno comu-
nicare al Garante le modalità con le quali hanno
posto rimedio alla violazione e le misure adottate
per prevenirne di nuove.
Al fine di consentire al Garante di svolgere il pro-
prio compito di controllo sul rispetto, da parte dei
fornitori, delle disposizioni in materia di violazione
dei dati personali, è finalizzata la previsione relativa
alla tenuta di un inventario aggiornato delle viola-
zioni, di cui all’art. 32-bis, comma 7, del Codice. In
tale inventario, i fornitori devono inserire tutte (e
soltanto) le informazioni necessarie a chiarire le
circostanze nelle quali si sono verificate le viola-
zioni, le conseguenze che le stesse hanno avuto e
i provvedimenti adottati per porvi rimedio.
L’inventario dovrà essere continuamente aggiorna-
to dai fornitori e messo a disposizione del Garan-
te. Dovranno, inoltre, essere adottate dal fornitore
idonee misure atte a garantire l’integrità e l’immo-
dificabilità delle registrazioni in esso contenute.
Se dalla violazione di dati personali possa derivare
un pregiudizio ai dati personali o alla riservatezza di
un contraente o di altre persone, ossia dei soggetti
ai quali si riferiscono i dati violati, oltre alla comuni-
cazione al Garante, i fornitori sono tenuti a comu-
nicare l’avvenuta violazione, senza ritardo, anche
a tali soggetti (art. 32-bis, comma 2, del Codice).
In questo caso, è stato ritenuto che il fornitore debba
procedere alla suindicata comunicazione non oltre
il termine di 3 giorni dall’avvenuta conoscenza della
violazione. La predetta comunicazione non è dovuta
se il fornitore è in grado di dimostrare al Garante
di aver applicato ai dati oggetto della violazione
misure tecnologiche di protezione che li hanno resi
inintelligibili a chiunque non sia autorizzato ad ac-
cedervi (cfr. art. 32-bis, comma 3, del Codice), ad
esempio, tramite tecniche di cifratura.
I criteri per la comunicazione dovranno basarsi sul
grado di pregiudizio che la perdita o la distruzione
dei dati può comportare, sulla “attualità” dei dati
(dati più recenti possono rivelarsi più interessanti
per i malintenzionati), sulla qualità dei dati (finan-
ziari, sanitari, giudiziari etc.), sulla quantità dei dati
coinvolti.
Per le ipotesi di violazione dei nuovi obblighi di si-
curezza, il DL n. 69/2012 ha introdotto nel Codice
nuove e specifiche sanzioni amministrative ed ha
esteso quella penale prevista dall’art. 168 all’ipo-
tesi di falsità nelle notificazioni al Garante ai sensi
dell’art. 32-bis, commi 1 e 8.
Le linee guida adottate dal Garante per la prote-
zione dei dati personali hanno chiarito le modali-
tà e la tempistiche necessarie per l’attuazione dei
nuovi obblighi previsti in materia di dati personali.
Al fine di verificare la comprensibilità della riforma
sarà quindi opportuno vagliare, anche a seguito di
segnalazioni e denunce avanzate avanti la predetta
Autorità, la corretta applicazione di tali obblighi da
parte dei soggetti coinvolti nella riforma legislativa.
Maria Cristina Daga
Legale ISL S.r.l.
Gabriele Faggioli
Legale ISL S.r.l.
