PROVVEDIMENTO 4 aprile 2013 - Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach). (13A03743)

 
ESTRATTO GRATUITO

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

Visto il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196, di seguito «Codice») e, in particolare, gli articoli 32 e 32-bis;

Vista la precedente deliberazione del Garante recante «Linee guida in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali» (Del. n. 221 del 26 luglio 2012, nella Gazzetta Ufficiale n. 183 del 7 agosto 2012);

Tenuto conto delle risultanze dei contributi pervenuti al Garante dai principali fornitori di servizi di comunicazione elettronica, nonche' da alcune associazioni di studio e ricerca del settore, che hanno partecipato alla consultazione pubblica avviata con la richiamata deliberazione del 26 luglio 2012;

Considerati i primi casi di violazione di dati personali verificatisi dall'entrata in vigore della nuova disciplina e comunicati al Garante dai fornitori in ottemperanza a quanto previsto dall'art. 32-bis, comma 1, del Codice;

Ritenuto necessario adottare, ai sensi dell'art. 32-bis, comma 6, del Codice, un provvedimento generale - che sostituisce le suindicate Linee guida - al fine di fornire orientamenti e istruzioni in relazione alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali, al formato applicabile a tale comunicazione, nonche' alle relative modalita' di effettuazione;

Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

Premessa. 1. Considerazioni preliminari. La direttiva 2002/58/Ce (c.d. direttiva e-Privacy) afferma che i fornitori di servizi di comunicazione elettronica devono adottare «appropriate misure tecniche e organizzative» per assicurare «un livello di sicurezza adeguato al rischio esistente» (art. 4, comma 1). Nella direttiva 2009/136/Ce (che ha modificato la direttiva 2002/58/Ce) si e' tenuto conto, in particolare, del fatto che un evento che coinvolga i dati personali, se non trattato in modo adeguato e tempestivo, puo' provocare un grave danno economico e sociale al contraente (o alle altre persone interessate), tra cui l'usurpazione d'identita' (cfr. considerando 61). Con il recepimento delle suindicate previsioni tramite il decreto legislativo 28 maggio 2012, n. 69, con il quale il Governo ha dato attuazione alla delega prevista nell'art. 9 della legge comunitaria del 2010 (legge 15 dicembre 2011, n. 217, pubblicata nella Gazzetta Ufficiale 2 gennaio 2012, n. 1), i fornitori di servizi di comunicazione elettronica sono oggi tenuti a comunicare senza indebiti ritardi al Garante e, in alcuni casi, al contraente o ad altre persone interessate, l'occorrenza dei predetti eventi, qualificati come «violazioni di dati personali». 2. Quadro normativo. Come sopra accennato, il decreto legislativo 28 maggio 2012, n. 69, ha apportato significative e numerose modifiche al Codice, introducendo, per quanto di specifico interesse, la nuova disciplina concernente la gestione delle suindicate violazioni di sicurezza nel settore delle comunicazioni elettroniche. E' stata cosi' introdotta la definizione di «violazione di dati personali», intesa come la «violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico» (art. 4, comma 3, lettera g-bis), del Codice). Si tratta di una definizione da un lato molto ampia, in quanto comprende qualunque evento metta a rischio, anche in maniera del tutto accidentale, i dati trattati nell'ambito dei servizi di comunicazione elettronica, e dall'altro volta a delimitare il contesto (quello, appunto, dei servizi di comunicazione elettronica accessibili al pubblico), nonche' l'ambito soggettivo (quello dei fornitori di tali servizi), nel quale opera la nuova disciplina. In quest'ottica vanno lette anche le modifiche all'art. 32 del Codice, ora espressamente rubricato «Obblighi relativi ai fornitori di servizi di comunicazione elettronica accessibili al pubblico» e che impone al fornitore di adottare, anche attraverso altri soggetti cui sia affidata l'erogazione del servizio, «misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi e per gli adempimenti di cui all'art. 32-bis». Il legislatore comunitario e' peraltro consapevole del fatto che l'interesse degli utenti ad essere informati sulle violazioni di sicurezza che coinvolgono i loro dati personali non si limita al settore delle comunicazioni elettroniche. Ed infatti, le proposte di riforma della legislazione comunitaria in materia di protezione dei dati (cfr. schema di Regolamento presentato dalla Commissione europea il 25 gennaio 2012, attualmente all'esame del Parlamento e del Consiglio) prevedono un'estensione generalizzata dell'obbligo di notifica delle violazioni dei dati personali a tutti i titolari pubblici e privati (v. anche considerando 59, direttiva 2009/136/Ce). In alcuni Stati membri del resto sono gia' in vigore disposizioni che prevedono una platea piu' ampia di soggetti che effettuano tale notifica (es. in Irlanda);

in tal senso, peraltro, si e' espresso anche il Gruppo dei Garanti europei (c.d. «Gruppo Art. 29») nel documento n. 01/2011, adottato il 5 aprile 2011. L'art. 32-bis citato introduce poi nel Codice la disciplina degli «Adempimenti conseguenti ad una violazione di dati personali» e sancisce l'obbligo, per i fornitori di servizi di comunicazione elettronica accessibili al pubblico, di comunicare senza indebiti ritardi al Garante la violazione di dati personali da essi detenuti. Nei casi in cui dalla violazione possa derivare pregiudizio ai dati personali o alla riservatezza di un contraente o di altra persona, il fornitore dovra' comunicare l'avvenuta violazione anche a tali soggetti (art. 32-bis, comma 2). Tale seconda comunicazione - ferma restando la difficolta', sulla quale si tornera' in seguito, di delimitare i casi nei quali la violazione possa arrecare pregiudizio al contraente o ad altre persone interessate, potendo tale rischio dirsi in astratto sempre sussistente - non e' dovuta se il fornitore ha dimostrato al Garante di aver utilizzato misure «che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate al momento della violazione» (art. 32-bis, comma 3). Il Garante, considerate le presumibili ripercussioni negative della violazione, puo' comunque obbligare il fornitore ad effettuare la predetta comunicazione, ove lo stesso non vi abbia gia' provveduto (comma 4). 3. Ambito soggettivo. Come si e' gia' accennato, la nuova disciplina concernente gli obblighi di comunicazione al Garante e alle persone interessate non riguarda la totalita' dei titolari dei trattamenti, ossia dei soggetti, pubblici o privati, che detengono e trattano dati personali in funzione della propria attivita'. I nuovi adempimenti gravano, infatti, esclusivamente sui fornitori di servizi di comunicazione elettronica accessibili al pubblico (di seguito, «fornitori») e, quindi, su quei soggetti che mettono a disposizione del pubblico, su reti pubbliche di comunicazione, servizi consistenti, esclusivamente o prevalentemente, «nella trasmissione di segnali su reti di comunicazioni elettroniche» (art. 4, comma 2, lettere d) ed e), del Codice). I medesimi adempimenti sono inoltre connessi alla particolare attivita' di fornitura dei predetti servizi, quale ad esempio il servizio telefonico o quello di accesso a Internet. Cio' significa che se la violazione riguarda una banca dati del fornitore che non attiene in maniera specifica al servizio offerto dallo stesso, ma ad una qualunque delle altre attivita' che svolge, ad esempio alla gestione del personale o alla contabilita', l'obbligo di comunicazione non vige. Al riguardo, anche al fine di individuare i soggetti interessati dalla nuova disciplina, si rinvia alle indicazioni fornite dal Garante con il provvedimento relativo alla «Sicurezza dei dati di traffico telefonico e telematico» (provv. del 17 gennaio 2008, pubblicato nella Gazzetta Ufficiale n. 30 del 5 febbraio 2008, come modificato e integrato dal provvedimento del 24 luglio 2008, pubblicato nella Gazzetta Ufficiale n. 189 del 13 agosto 2008), in quanto vi e' una sostanziale identita' dei titolari tenuti alla conservazione ex art. 132 del Codice, nonche' all'adozione delle misure ivi prescritte con i destinatari della nuova disciplina ex art. 32-bis. In tale provvedimento, infatti, e' stato evidenziato che «fornitori di servizi di comunicazione elettronica accessibili al pubblico» sono quei soggetti che realizzano esclusivamente, o prevalentemente, una trasmissione di segnali su reti di comunicazioni elettroniche, a prescindere dall'assetto proprietario della rete, e che offrono servizi a utenti finali secondo il principio di non discriminazione (cfr. anche direttiva 2002/21/Ce del Parlamento europeo e del Consiglio, che...

Per continuare a leggere

RICHIEDI UNA PROVA