E' entrato in vigore il primo giugno 2012 il decreto legislativo 28 maggio 2012, n. 69 di recepimento della direttiva e-privacy ("Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita' nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori").
Si segnala in particolare il nuovo art. 32-bis del Codice della privacy, introdotto dal d.lgs. 69/2012:
« 1. In caso di violazione di dati personali, il
fornitore di servizi di comunicazione elettronica accessibili al
pubblico comunica senza indebiti ritardi detta violazione al Garante.
2. Quando la violazione di dati personali rischia di arrecare
pregiudizio ai dati personali o alla riservatezza di contraente o di
altra persona, il fornitore comunica anche agli stessi senza ritardo
l'avvenuta violazione.
3. La comunicazione di cui al comma 2 non e' dovuta se il fornitore
ha dimostrato al Garante di aver utilizzato misure tecnologiche di
protezione che rendono i dati inintelligibili a chiunque non sia
autorizzato ad accedervi e che tali misure erano state applicate ai
dati oggetto della violazione.
4. Ove il fornitore non vi abbia gia' provveduto, il Garante puo',
considerate le presumibili ripercussioni negative della violazione,
obbligare lo stesso a comunicare al contraente o ad altra persona
l'avvenuta violazione.
5. La comunicazione al contraente o ad altra persona contiene
almeno una descrizione della natura della violazione di dati
personali e i punti di contatto presso cui si possono ottenere
maggiori informazioni ed elenca le misure raccomandate per attenuare
i possibili effetti pregiudizievoli della violazione di dati
personali. La comunicazione al Garante descrive, inoltre, le
conseguenze della violazione di dati personali e le misure proposte o
adottate dal fornitore per porvi rimedio.
6. Il Garante puo' emanare, con proprio provvedimento, orientamenti
e istruzioni in relazione alle circostanze in cui il fornitore ha
l'obbligo di comunicare le violazioni di dati personali, al formato
applicabile a tale comunicazione, nonche' alle relative modalita' di
effettuazione, tenuto conto delle eventuali misure tecniche di
attuazione adottate dalla Commissione europea ai sensi dell'articolo
4, paragrafo 5, della direttiva 2002/58/CE, come modificata dalla
direttiva 2009/136/CE.
7. I fornitori tengono un aggiornato inventario delle violazioni di
dati personali, ivi incluse le circostanze in cui si sono verificate,
le loro conseguenze e i provvedimenti adottati per porvi rimedio, in
modo da consentire al Garante di verificare il rispetto delle
disposizioni del presente articolo. Nell'inventario figurano
unicamente le informazioni necessarie a tal fine.
8. Nel caso in cui il fornitore di un servizio di comunicazione
elettronica accessibile al pubblico affidi l'erogazione del predetto
servizio ad altri soggetti, gli stessi sono tenuti a comunicare al
fornitore senza indebito ritardo tutti gli eventi e le informazioni
necessarie a consentire a quest'ultimo di effettuare gli adempimenti
di cui al presente articolo ».
Leggi il testo completo del d.lgs. 69/2012 su IRDoc
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità