(aggiornato al 20.10.2012)
Nel periodo di riferimento è stato adottato un provvedimento contenente le "Linee guida in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali" (G.U. n. 183 del 7 agosto 2012). A seguito della modifica normativa intervenuta con il d.lgs. 28 maggio 2012 n. 69, in attuazione della Direttiva 2009/136/CE che ha modificato il quadro normativo di riferimento, il Garante ha adottato delle linee guida e lanciato una consultazione pubblica prima di definire nel dettaglio i nuovi oneri in capo ai fornitori di servizi di comunicazione elettronica.
La nuova norma, l'art. 32-bis del Codice della privacy, prevede che il fornitore di servizi di comunicazione elettronica debba notificare all'Autorità qualsiasi possibile violazione dei dati trattati (security breach notification che, stando la nuova definizione dell'art. 4 co. 3, lett. g- bis comprende la violazione della sicurezza anche accidentale che comporta la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi), nonché le conseguenze e le possibili misure da adottare per evitare il danno.
Il fornitore, poi, è tenuto a comunicare anche all'abbonato l'eventuale pregiudizio che potrebbe subire dalla violazione dei dati. Quest'obbligo può essere derogato nel caso in cui il fornitore dimostri al Garante di aver adottato tutte le misure necessarie a neutralizzare la violazione e, quindi, che i dati siano divenuti inintelligibili.
I nuovi obblighi riguarderanno solo i fornitori di servizi di comunicazione elettronica, restando esclusi i soggetti che offrono servizi a gruppi delimitati, i gestori di esercizi al pubblico che mettono a disposizione terminali per le comunicazioni, i content provider e i motori di ricerca.
Preliminarmente, i fornitori di comunicazione elettronica devono effettuare una ricognizione dei rischi per i dati trattati così da prevenire eventuali violazioni e intervenire celermente qualora vi siano. Per le misure da adottare, su cui il Garante chiede il parare degli operatori, viene proposto di adottare sistemi che rendano indisponibili i dati al temine delle operazioni in cui sono trattati, di utilizzare sistemi che permettano un controllo sulle attività svolte da ciascuno dei soggetti autorizzati, di porre particolare attenzione nell'uso dei dispositivi mobili, con specifiche misure di sicurezza legate alla portabilità degli strumenti.
Nel caso in cui si verifichi una violazione, la legge prevede che si debba fare una comunicazione al Garante. L'Autorità dispone che questa possa avvenire in due tempi, entro 24 ore dalla conoscenza della violazione basta fare una comunicazione sommaria, nei 3 giorni successivi, invece, occorre trasmettere il dettaglio dei fatti avvenuti. Da tale descrizione deve emergere la gravità dell'evento verificatosi in modo da permettere al Garante di intervenire con piena consapevolezza per l'individuazione delle misure specifiche da adottare. A tal fine, i dati devono essere inseriti in un inventario delle violazioni.
Per quanto riguarda la comunicazione ai soggetti interessati, il Garante può evitarla qualora i dati siano ormai inintelligibili e, quindi, siano stati cifrati o resi anonimi. Anche su questo punto il Garante apre alle osservazioni degli operatori per la scelta dei criteri per definire il concetto di "intelligibilità". Qualora si dovesse procedere a informare i soggetti interessati, i fornitori devono scegliere un canale di comunicazione in grado di avvisare tempestivamente e facilmente i soggetti interessati. Qualora fossero numerosi, il Garante propone delle forme di comunicazione pubblica, come i quotidiani nazionali o le radio locali.
Infine, il Garante invita gli operatori a intervenire anche sulla valutazione del rischio riguardante le diverse categorie di dati, privilegiando la tutela di quelli recenti o attuali.
Dal punto di vista sanzionatorio, l'intervento del legislatore ha introdotto delle nuove sanzioni amministrative per le ipotesi di violazione dei nuovi obblighi e punendo con la pena della reclusione da sei mesi a tre anni chi abbia fatto dichiarazioni false al Garante in occasione della comunicazione per violazione dei dati.