In caso di perdita, distruzione o diffusione indebita di dati personali, secondo l’articolo 32-bis comma 6, impone che la comunicazione al Garante per la privacy di questi avvenimenti debba avvenire tassativamente entro 24 ore dalla scoperta dell’evento stesso. I provider devono fornire immediatamente la tipologia dei dati coinvolti, la descrizione dei sistemi di elaborazione e il luogo dove è avvenuta la violazione. Entro tre giorni andranno riportati anche i dettagli più precisi, ma inizialmente occorre dare all’utente gli indizi minimi per capire dove e come andare ad agire per mettere al sicuro prima possibile la vita digitale delle vittime del furto. Il fatto che vengano previsti anche danneggiamenti fisici, oltre che attacchi hacker, finisce per coinvolgere anche aziende colpite da incidenti come l’incendio nella sala server di Aruba di qualche mese fa.
Nei casi più gravi, inoltre, la legge prevede che anche i singoli utenti coinvolti, oltre al Garante, debbano essere avvisati dell’accaduto. I gradi di valutazione del rischio non sono oggettivi, ma devono tenere conto di numerosi fattori, come il grado di pregiudizio che la perdita dei dati può comportare, come furti di identità o diffamazioni, il grado di aggiornamento di questi dati e la loro tipologia. Ovviamente se il furto riguarda enti bancari o giudiziari, l’urgenza cresce a dismisura, vista l’importanza dei dati coinvolti. La comunicazione agli utenti deve avvenire entro tre giorni al massimo dalla scoperta della violazione. Esiste un unico caso nel quale i provider di servizi non sono tenuti ad avvertire gli utenti, ovvero quando i dati sono protetti da un grado tale di crittografia da rendere quasi inutilizzabili i dati rubati.
Le sanzioni in caso di mancato rispetto di questo ddl sono comprese tra i 25.000 e i 150.000 €, mentre il mancato avviso nei confronti degli utenti può essere pagato da 150 a 1.000 €. Anche i provvedimenti che si prenderanno nell’immediato futuro in questi casi saranno valutati e la mancanza di questi comporterà sanzioni tra i 20.000 e i 120.000 €.
Fonte Tecnozoom