Privacy: dal 25 agosto in vigore il nuovo regolamento UE sulle notifiche delle violazioni di dati personali

Il prossimo 25 agosto 2013 entrerà in vigore, senza necessità di apposita legge di recepimento, in tutti i Paesi dell'Unione il Regolamento UE n. 611/2013 del 24 giugno 2013.

Tale fonte normativa disciplina la materia della notifica delle violazioni di dati personali secondo quanto previsto dalla direttiva 2002/58/CE del Parlamento europeo e del Consiglio che si occupa di vita privata e comunicazioni elettroniche.

In particolare l’art. 4 di tale direttiva dispone che i fornitori di servizi di comunicazione elettronica accessibili al pubblico sono tenuti a notificare le violazioni di dati personali alle autorità nazionali competenti e in talune ipotesi anche agli abbonati o alle altre persone interessate.

Per tali motivi il regolamento in questione disciplina le modalità di notifica delle violazioni di dati personali all’autorità nazionale competente in materia di privacy.

In particolare l’art. 2 del Regolamento stabilisce che la notifica deve essere effettuata dal fornitore del servizio entro un termine di 24 ore a partire dal rilevamento della violazione ove possibile.

La stessa norma chiarisce poi che una violazione di dati personali può considerarsi effettivamente avvenuta quando il fornitore ha acquisito elementi sufficienti, relativi a un incidente di sicurezza che ha compromesso dati personali.

Quando, invece, non vi sono elementi sufficienti per accertare la presenza di una violazione (in particolare quelli indicati nell'allegato I al regolamento) il fornitore è autorizzato a trasmettere all’autorità nazionale competente una notifica iniziale entro 24 ore a partire dal rilevamento della violazione stessa.

Questa notifica iniziale all’autorità nazionale competente contiene le informazioni di cui alla sezione 1 dell’allegato I.

Non appena possibile, e al massimo entro tre giorni dalla notifica iniziale, il fornitore trasmette all’autorità nazionale competente una seconda notifica più completa (inserendo le informazioni di cui alla sezione 2 dell'allegato I).

Il fornitore che, malgrado le indagini effettuate, non sia in grado di fornire tutte le informazioni entro tre giorni dalla notifica iniziale, notifica tutte le informazioni di cui dispone entro tale termine e presenta all’autorità nazionale competente una giustificazione motivata per la notifica tardiva delle informazioni residue.

Non appena possibile, il fornitore notifica all’autorità nazionale competente tali informazioni residue e, se necessario, aggiorna le informazioni già fornite.

L’art. 3 del Regolamento prevede, poi che quando la violazione di dati personali rischia di pregiudicare i dati personali o la vita privata di un abbonato o di altra persona, in aggiunta alla notifica sopra indicata il fornitore comunica l’avvenuta violazione anche all’abbonato o all’altra persona.

Tale notifica deve essere eseguita facendo ricorso a mezzi di comunicazione che consentano un rapido recapito delle informazioni e la cui sicurezza sia garantita con le tecnologie più avanzate.

Non sarà, invece, necessaria questa seconda notifica all’abbonato quando il fornitore riesce a dimostrare in modo convincente all’autorità nazionale competente di avere utilizzato adeguate misure tecnologiche di protezione e che tali misure erano state applicate ai dati interessati dalla violazione della sicurezza.

Tali misure tecnologiche di protezione devono rendere i dati incomprensibili (ed ossia con tecniche di crittografia previste dal Regolamento) a chiunque non sia autorizzato ad accedervi.

Per approfondire tutte le disposizioni del regolamento e per leggerne il testo integrale è possibile scaricare il documento allegato al presente post.