D’ora innanzi sia le compagnie telefoniche che gli Internet Service Provider saranno costretti a rendere pubbliche le eventuali violazioni subite dai propri database, mettendo così in chiaro in tempi rapidi eventuali pericoli per gli utenti. Il Garante per la Privacy ha infatti adottato un provvedimento generale che fissa gli adempimenti necessari nei casi in cui dovesse verificarsi una fuga di dati, regolando così il comportamento da tenersi onde evitare qualsivoglia problema ulteriore agli utenti i cui dati sono stati trafugati.
«Il provvedimento pubblicato oggi nella Gazzetta Ufficiale», spiega il Garante, «stabilisce che l’obbligo di comunicare le violazioni di dati personali, contenuti in particolare in data base elettronici o cartacei, spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet (e non, ad esempio, ai siti internet che diffondono contenuti, ai motori di ricerca, agli internet point, alle reti aziendali)». E specifica: «Entro 24 ore dalla scoperta dell’evento, società di tlc e Isp devono fornire al Garante le informazioni necessarie a consentire una prima valutazione dell’entità della violazione (ad esempio, tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione)». Sul sito del Garante viene inoltre messo a disposizione un modello predefinito per agevolare e velocizzare le comunicazioni relative con l’Authority.
Nei casi più gravi le società dovranno comunicare la violazione subita anche ai singoli utenti, e tutto ciò entro 3 giorni dalla scoperta della violazione medesima. Quest’ultimo passaggio non è però obbligatorio se a monte vi siano preacuzioni tali da non rendere la fuga di dati tale da consentire un semplice accesso ai dati stessi: «La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati, ma il Garante può comunque imporla nei casi più gravi».
La mancata comunicazione al Garante porterebbe ad una sanzione compresa tra 25 e 150 mila euro; la mancata comunicazione ad enti, aziende o utenti comporta una sanzione pari a 150/1000 euro per unità; la mancata tenuta di un inventario aggiornato delle violazioni comporta una sanzione pari a 20/120 mila euro.