Privacy, nuove regole per ISP e operatori
ISP e operatori telefonici saranno tenuti a comunicare ai diretti interessati e al Garante della privacy qualsiasi compromissione dei dati personali in loro possesso, in caso di smarrimento, distruzione o diffusione indebita. Lo ha stabilito l'authority presieduta da Antonello Soro, che ha recepito quanto previsto dal decreto legislativo 69/2012 sul trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche. L'intervento legislativo si è reso necessario alla luce dei numerosi episodi di cronaca che hanno visto data-center come quello di PlayStation Network al centro di attacchi informatici con relativo furto e diffusione di dati sensibili degli utenti oppure in caso di danneggiamenti come quelli avvenuti in seguito all'incendio che ha colpito i server di Aruba alcuni mesi fa.
Dinnanzi a situazioni di questo tipo ora ISP e operatori telefonici saranno tenuti a farne una prima comunicazione urgente all'authority entro 24 ore dalla rilevazione del problema, fornendo informazioni sulla natura della violazione come il luogo dove è avvenuta, il tipo di sistema colpito e la tipologia di dati coinvolti. Successivamente entro i tre giorni seguenti sarà necessario fornire ulteriori dettagli attraverso un modello già messo a disposizione dal Garante. Diversa la scelta per quello che riguarda la comunicazione agli utenti i cui dati sono stati coinvolti nel problema, affidata a parametri forse eccessivamente elastici; gli operatori infatti saranno tenuti ad informare gli internauti entro tre giorni solo nel caso in cui la violazione si dimostri grave, valutando il tipo di dati sottratti, smarriti o distrutti, quanto sono recenti e quale danno può essere causato da un loro uso improprio. In caso di violazioni si rischiano sanzioni da 25mila a 150mila euro, da 150 a 1000 per la mancata segnalazione agli organi competenti.
L'intervento del Garante si inserisce nella linea europea che chiede un atteggiamento di maggiore responsabilità degli ISP nei confronti delle informazioni degli utenti in loro possesso ma glissa in maniera palese su tutti gli altri soggetti che, in un modo o nell'altro, operando in rete immagazzinano enormi quantità di dati (dai siti internet ai motori di ricerca) ai quali sono legati dagli obblighi previsti solo dalle singole privacy policy adottate dai servizi ed accettate dagli utenti al momento della sottoscrizione.