Scatta l'obbligo per società telefoniche e Internet provider di avvisare il Garante privacy e gli utenti quando i dati trattati per fornire i servizi subiscono gravi violazioni a seguito di attacchi informatici o di eventi avversi, come incendi o altre calamità, che possano comportare perdita, distruzione o diffusione indebita di dati.
Il provvedimento, pubblicato oggi nella Gazzetta Ufficiale, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2388260, stabilisce che l'obbligo di comunicare le violazioni di dati personali, contenuti in particolare in data base elettronici o cartacei, spetta esclusivamente ai fornitori di servizi telefonici e di accesso a Internet (e non, ad esempio, ai siti internet che diffondono contenuti, ai motori di ricerca, agli internet point, alle reti aziendali). Entro 24 ore dalla scoperta dell'evento, società di tlc e Isp devono fornire al Garante le informazioni necessarie a consentire una prima valutazione dell'entità della violazione (ad esempio, tipologia dei dati coinvolti, descrizione dei sistemi di elaborazione, indicazione del luogo dove è avvenuta la violazione).
Telco e ISP dovranno rafforzare e rendere più rapidi loro Security Operation Center, nonchè team di Incident Handling & Forensics. Quando entrerà in vigore il regolamento europeo che estende a tutte le aziende il provvediemnto sul data breach, tutte le organizzazioni dovranno dotarsi di team o collaborazioni con professionisti dell'incident hadling e della forensics per rispondere con la tempestività prevista dalla nomativa e non incorrere nelle sazioni.