Regole certe e chiare per tutti, affinché l’intera Unione Europea possa rispondere alla medesima direttiva ed ogni cittadino possa quindi essere tutelato nello stesso modo, con le medesime garanzie. È questo il senso delle regole diramate dalla Commissione Europea nel novero della propria Agenda Digitale: dar vita a protocolli d’azione precisi ai quali fare riferimento nel caso in cui la perdite o il furto di dati mettano in pericolo la privacy e la sicurezza delle vittime di quanto accaduto:
La Commissione europea introduce nuove regole su come esattamente gli operatori delle telecomunicazioni e i fornitori di servizi Internet (ISP) debbano comportarsi in caso di perdita, furto o compromissione in altro modo dei dati personali dei loro clienti. Il fine di tali “misure tecniche di attuazione” è garantire che, in caso di violazione di dati, tutti i clienti ricevano un trattamento equivalente in tutta l’Unione europea e le imprese possano adottare un approccio paneuropeo a tale problema nel caso in cui operino in più di un paese.
Le regole già c’erano e già vi era l’obbligo di rispettarle. In caso di perdita o furto di dati, quindi, operatori TLC o provider di servizi già erano costretti a fornire specifiche indicazioni circa l’accaduto, notificando immediatamente il problema per consentire alle autorità ed agli utenti di intervenire a salvaguardia dei dati e dell’identità. Il passaggio odierno è apparentemente formale, ma è in realtà essenziale: configura il codice esatto di azione per far sì che non si possa sfuggire agli obblighi imposti. Trasgredire dalle regole fissate dalla Commissione, infatti, significa compromettere ulteriormente la sicurezza degli utenti, aggravando così eventuali colpe ulteriori ed antecedenti.
Nello specifico le aziende debbono:
- informare dell’incidente l’autorità nazionale competente entro 24 ore dalla sua rilevazione al fine di contenerne quanto più possibile le conseguenze; nel caso in cui non sia possibile fornire informazioni complete entro tale termine, comunicarne una prima serie entro 24 ore, con il resto a seguire entro tre giorni;
- indicare le informazioni compromesse e le misure che l’impresa ha attuato o intende attuare;
- nel valutare la necessità di informare gli abbonati (secondo il criterio del rischio di ripercussioni negative dell’infrazione sui dati personali o sulla vita privata) le imprese devono avere riguardo al tipo di dati compromessi, in particolare, per quanto riguarda le telecomunicazioni, a informazioni finanziarie, dati sulla localizzazione, file di connessione a internet, cronologie di navigazione in rete, dati inerenti alla posta elettronica ed elenchi dettagliati delle chiamate;
- utilizzare un formato standard (ad esempio, un modulo online uguale per tutti gli Stati membri dell’UE) per la notifica all’autorità nazionale competente.
La semplicità delle regole aiuterà inoltre le imprese a non perdersi nell’indecisione di fronte ad una emergenza: seguire il protocollo tracciato velocizzerà ogni reazione, riducendo così il periodo di esposizione dei dati personali compromessi.
La ciliegina sulla torta è rappresentata però dalla crittografia:
La Commissione intende inoltre incentivare le imprese a criptare i dati personali. A tal fine, in collaborazione con l’ENISA, la Commissione pubblicherà anche una lista indicativa di misure tecnologiche di protezione, ad esempio di cifratura, che rendano i dati inintelligibili per coloro che non siano autorizzati a leggerli. Applicando tali tecniche l’impresa interessata da una violazione di dati sarebbe dispensata dall’obbligo di informare l’abbonato, in quanto tale violazione, di fatto, non ne rivelerebbe i dati personali.