Il 25 Agosto 2013 entrerà in vigore il Regolamento UE del 24 giugno 2013 n. 611, che disciplina le modalità di notifica delle violazioni di dati personali da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico.

L’obbligo di notifica delle violazioni di dati personali alle autorità nazionali competenti e, in alcuni casi, anche agli abbonati e alle altre persone interessate, è previsto dall’art. 4 della Direttiva 2002/58/CE, così come modificata dalla Direttiva 2009/136/CE.

Prima di esaminare il contenuto del provvedimento, è bene ricordare che per “violazione dei dati personali”, come stabilito dall’art. 1 lett. i) della Direttiva 2002/58/CE, si intende una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico nella Comunità”.

L’obiettivo del presente regolamento è quello di istituire un sistema di notifica delle violazioni di dati personali alle autorità nazionali, al fine di informare con la massima tempestività e precisione, senza tuttavia ostacolare indebitamente gli sforzi compiuti dal fornitore per indagare sulla violazione e prendere le misure necessarie per arginarla e porre rimedio alle sue conseguenze.

Il termine per la notifica, stabilito dall’art. 2 del Regolamento, è di 24 ore a partire dal rilevamento della violazione, ove possibile. Nel notificare, il fornitore deve comunicare all’autorità nazionale, ai sensi dell’allegato I dello stesso regolamento, le informazioni sulla propria identità, sulla violazione avvenuta (data e ora dell’incidente, circostanze particolari), sulla natura e sul contenuto dei dati personali in questione, sulla causa della violazione, sul numero degli abbonati o delle persone interessate, sulle potenziali conseguenze negative e sulle misure adottate per attenuarle. Per maggiori dettagli si rimanda al testo dell’allegato I.

Qualora tali informazioni non siano interamente disponibili e occorrano ulteriori indagini sulla violazione di dati personali, il fornitore è autorizzato a trasmettere all’autorità nazionale competente una notifica iniziale, contenente parte delle informazioni sopra elencate, entro 24 ore a partire dal rilevamento della violazione. Non appena possibile, e al massimo entro tre giorni dalla notifica iniziale, il fornitore trasmette all’autorità nazionale competente una seconda notifica con l’integrazione delle informazioni prima mancanti.

Infine, l’art. 3 del Regolamento prevede l’obbligo per il fornitore, qualora la violazione di dati personali potrebbe pregiudicare i dati personali o la vita privata di un abbonato o di altra persona, di notificare la violazione anche a queste ultime.

Per scaricare il testo dell’Allegato I (Contenuto della notifica all’autorità nazionale competente) clicca qui

Per scaricare il testo dell’Allegato II (Contenuto della notifica all’abbonato o ad altra persona) clicca qui

Federico Aresti
Latest posts by Federico Aresti (see all)