Furto degli e-dati, a settembre le nuove regole Ue con più tutele
di Mattia Schieppati
-
9 Luglio 2013
Pronta una Direttiva della Commissione europea che detta alle telecom e ai fornitori di servizi Internet nuovi protocolli di comportamento in caso di perdita o furto di dati personali. E lancia un invito alle aziende a incentivare la crittografia
Lo scenario è caldo. La rocambolesca fuga dell’hacker Edward J. Snowden, giovane ex agente dello spionaggio informatico Usa che ha “saltato il fosso”, come si dice nel linguaggio degli 007, e forse si trova in questo momento nella zona di transito dell'aeroporto di Mosca, il tema – sempre sotto coperta – della guerra informatica tra superpotenze, il tema della sicurezza informatica è ormai quotidianamente roba da prima pagina.
E mentre sul fronte dell’intelligence e dei segreti di stato si elaborano strategie sempre più sofisticate per garantire il segreto sui bit, la Commissione europea ragiona anche sui comuni mortali – vale a dire normali cittadini e soprattutto imprese – e a settembre presenterà i frutti del suo lavoro di revisione delle regole alle quali operatori delle telecomunicazioni e i fornitori di servizi Internet (Isp) dovranno attenersi in caso di “perdita, furto o compromissione in altro modo dei dati personali dei loro clienti”, anticipa una nota della Commissione. “Il fine di tali misure tecniche di attuazione è garantire che, in caso di violazione di dati, tutti i clienti ricevano un trattamento equivalente in tutta l’Unione europea e le imprese possano adottare un approccio paneuropeo a tale problema nel caso in cui operino in più di un paese”.
Se quella del web, insomma, è già una giungla all’interno della quale è difficile districarsi, almeno a livello di Stati membri è giunto il momento di serrare le fila, e mettere nero su bianco regole certe e chiare per tutti. “Gli operatori delle telecomunicazioni e i fornitori di servizi Internet detengono una serie di dati dei loro clienti quali nome, indirizzo e coordinate bancarie, oltre alle informazioni sulle telefonate effettuate e ricevute e i siti web visitati. Dal 2011 queste imprese sono tenute a rispettare l’obbligo generale di informare le autorità nazionali e gli abbonati delle violazioni di dati personali” anticipa la Commissione. Con il nuovo Regolamento, “le imprese potranno adempiere a tali obblighi contando su una maggiore chiarezza e i clienti avranno ulteriori garanzie circa il modo in cui ci si occuperà dei loro problemi”. Le imprese infatti dovranno:
Informare dell’incidente l’Autorità nazionale competente entro 24 ore dalla sua rilevazione al fine di contenerne quanto più possibile le conseguenze; nel caso in cui non sia possibile fornire informazioni complete entro tale termine, comunicarne una prima serie entro 24 ore, con il resto a seguire entro tre giorni.
Indicare le informazioni compromesse e le misure che l’impresa ha attuato o intende attuare. Nel valutare la necessità di informare gli abbonati (secondo il criterio del rischio di ripercussioni negative dell’infrazione sui dati personali o sulla vita privata) le imprese devono avere riguardo al tipo di dati compromessi, in particolare, per quanto riguarda le telecomunicazioni, a informazioni finanziarie, dati sulla localizzazione, file di connessione a internet, cronologie di navigazione in rete, dati inerenti alla posta elettronica ed elenchi dettagliati delle chiamate.
Utilizzare un formato standard (ad esempio, un modulo online uguale per tutti gli Stati membri dell’UE) per la notifica all’autorità nazionale competente.
Una raccomandazione forte che viene dalla Commissione, inoltre, è quella che invita le imprese “a criptare i dati personali” di clienti e stakeholder. “A tal fine, in collaborazione con l’ENISA (l’Agenzia europea per la sicurezza delle reti e dell’informazione), la Commissione pubblicherà anche una lista indicativa di misure tecnologiche di protezione, ad esempio di cifratura, che rendano i dati inintelligibili per coloro che non siano autorizzati a leggerli. Applicando tali tecniche l’impresa interessata da una violazione di dati sarebbe dispensata dall’obbligo di informare l’abbonato, in quanto tale violazione, di fatto, non ne rivelerebbe i dati personali”.
Un grande progetto di riordino e riaggiornamento che rientra negli ambiti di lavoro dell’Agenda digitale europea (in capo a Neelie Kroes, Vicepresidente della Commissione europea), e che costituisce un aggiornamento – più che necessario – della norma che a oggi regolamenta tutto questo comparto: si tratta della Direttiva e-privacy (
qui la sintesi), emanata nel 2002 (un secolo fa, tecnologicamente parlando) e aggiornata nel 2009. Visti gli Snowden che ci sono in giro, rimetterci mano in maniera compiuta non pare una cattiva idea…
.