za adeguate al rischio di cui all’art. 32 del Codice,
nonché dell’individuazione di quelle maggiormen-
te in grado di porre rimedio alla violazione even-
tualmente verificatasi; le quali, peraltro, debbono
essere descritte al Garante nella comunicazione,
come previsto dall’art. 32-bis, comma 5, del Codice.
I parametri utilizzabili
Come detto, è necessario che il fornitore effettui
una valutazione del rischio esistente e adotti le mi-
sure di sicurezza adeguate, attenui il danno qualora
si verifichi la violazione e decida se comunicarlo al
contraente e/o alle altre persone, consentendo loro,
così, di adottare le precauzioni necessarie. Tali valu-
tazioni dovrebbero essere svolte sulla base di criteri
determinati e comuni a tutti i fornitori, in modo tale
da porre in campo scelte ponderate e confrontabili.
A parere del Garante potrebbero essere utilizzati
quali parametri per la valutazione del rischio:
• I controlli e le misure di sicurezza già in essere
(quale, per esempio, la crittografia).
• La tipologia dei dati oggetto della violazione (fa-
cendo particolare attenzione ai dati di traffico
telefonico o telematico, nonché alle credenziali
di autenticazione utilizzate dagli utenti).
• La tipologia della violazione verificatasi (per esem-
92
Il Garante per la protezione dei dati personali ha ri-
tenuto necessario adottare, ai sensi dell’art. 32-bis,
comma 6, del Codice, un Provvedimento Generale
in sostituzione delle “Linee guida in materia di at-
tuazione della disciplina sulla comunicazione delle
violazioni di dati personali” (emanate con Del. n. 221
del 26 luglio 2012, in G.U. n. 183 del 7 agosto 2012)
al fine di fornire orientamenti e istruzioni puntuali
in relazione: 1) alle circostanze in cui il fornitore ha
l’obbligo di comunicare le violazioni di dati perso-
nali; 2) al formato applicabile a tale comunicazione;
3) alle modalità di effettuazione.
Come è noto, dal 2012, i fornitori di servizi di comu-
nicazione elettronica, per non incorrere in violazio-
ne dei dati, sono tenuti ad adottare “appropriate
misure tecniche e organizzative” per assicurare “un
livello di sicurezza adeguato al rischio esistente”
(art. 4, comma 1). Nonostante l’emanazione delle
Linee Guida, nel luglio 2012, il tema dell’individua-
zione (e delle modalità di adozione) delle misure
di sicurezza, da considerarsi adeguate al rischio
esistente, rimaneva in fase di consultazione.
Con il Provvedimento Generale di aprile 2013, il
Garante ha dettato delle specifiche previsioni sulle
modalità di predisposizione dell’analisi dei rischi alla
base di una corretta adozione di misure di sicurez-
Le misure
di sicurezza
nel data breach
Le novità principali del Provvedimento
Generale emanato dal Garante
lo scorso aprile.
Gabriele Faggioli, Maria Cristina Daga
IL PARERE
DEL LEGALE
giugno 2013
