È stato pubblicato sulla Gazzetta ufficiale n. 126 del 31 maggio 2012, il decreto legislativo n.69 del 2012 che modifica il Codice in materia di protezione dei dati personali.
Il provvedimento introduce alcuni vincoli per i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come ad esempio i gestori di phone center e internet point. In particolare il decreto prescrive gli adempimenti, a carico dei fornitori di servizi, in caso di violazione di dati personali dei loro utenti.
Il decreto introduce al comma 3, dell’art. 4 del Codice privacy la lettera g-bis) che definisce come “violazione di dati personali” una “violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico.» (art. 1, lett. b).
In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico deve prontamente comunicare la violazione al Garante (. Qualora la violazione dei dati rischi di mettere a rischio la riservatezza degli utenti, il fornitore è tenuto a segnalare l’avvenuta violazione anche ai diretti interessati. Tale segnalazione non è invece obbligatoria nel caso il fornitore di servizi abbia dimostrato al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati violati inintelligibili a chiunque non sia autorizzato ad accedervi (art.3).
Il provvedimento regola anche l’accesso del fornitore di servizi alle informazioni archiviate dagli utenti. Dispone infatti che l’archiviazione delle informazioni nell’apparecchio terminale di un utente o l’accesso a informazioni già archiviate siano consentiti unicamente a condizione che l’utente abbia espresso il proprio consenso informato, fatto salvo l’accesso alle informazioni strettamente necessarie per fornire i servizi esplicitamente richiesti dall’utente (art. 5, lett a).
Il decreto pone anche un limite ai controlli posti in essere dal fornitore del servizio sull’attività degli utenti vietando l’uso di una rete di comunicazione per accedere a informazioni archiviate nell’apparecchio terminale di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente (art. 5, lett c).
Aggiungi commento