A fine maggio sono stati approvati e pubblicati i Dlgs 69/2012 e 70/2012, di recepimento delle Direttive 2009/136/CE e 2009/140/CE e con modifiche al Codice privacy (Dlgs 196/2003) e al Codice delle comunicazioni elettroniche (Dlgs 259/2003).
Le novità riguardano i "fornitori di servizi di comunicazione elettronica".
Per quanto riguarda il Codice Privacy, il Dlgs 69/2012 prescrive quanto segue:
- esplicita richiesta di protezione dei dati relativi al traffico ed all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti
- limitazione agli accessi del fornitore ai dati e ai dispositivi dei propri clienti
- richiesta di segnalare al Garante ogni violazione di dati personali
- richiesta di segnalare agli interessati ogni violazione di dati personali che possa arrecare pregiudizio ai dati personali (se capisco correttamente, questo caso si differenzia dal primo nel caso in cui i dati compromessi non siano intellegibili dai non autorizzati)
- richiesta di mantenere un registro delle violazioni di dati personali
- i subfornitori dovranno comunicare gli eventi al fornitore, in modo che poi segnali l'evento al Garante e, ove necessario, agli interessati (tra l'altro, qui accenno solo al fatto che questa misura conferma la mia interpretazione sul fatto che i fornitori non devono essere necessariamente Responsabili esterni; ma questa è un'altra storia)
Per quanto riguarda il Codice delle comunicazioni elettronico, il Dlgs 70/2012 prescrive quanto segue:
- misure di controllo del mercato, incluse richieste di interoperabilità
- l'adozione di specifiche misure di sicurezza (saranno stabilite dal Ministero dello sviluppo economico)
- la comunicazione al Ministero di violazioni della sicurezza o perdita dell'integrità significative ai fini del corretto funzionamento delle reti o dei servizi
- la creazione di un CERT nazionale
- la necessità di sottostare a verifiche della sicurezza da parte del Ministero dello sviluppo economico
- argomenti da inserire nei contratti
Il Dlgs 69/2012 introduce anche una misura per quanto riguarda le comunicazioni indesiderate, richiedendo che il mittente o il chiamante sia riconoscibile e che eventuali riferimenti a siti web devono essere a siti conformi alle prescrizioni del Dlgs 70 del 2003.
Una riflessione finale: questi Decreti valgono per i "fornitori di servizi di comunicazione elettronica", ossia per i fornitori di "servizi consistenti... nella trasmissione di segnali su reti di comunicazioni elettroniche...". Mi pare siano quindi esclusi i fornitori di servizi applicativi quali email o simili. Dovrei pensare a lungo se si tratta di un peccato o di una fortuna.
Ringrazio Fabrizio Monteleone per una prima segnalazione (auspicando l'adozione della 27001 dagli operatori di TLC, con un mio corollario anche alla ISO/IEC 27011), Max Cottafavi di Reply per una seconda segnalazione e Daniela Quetti della DFA per avermi dato i riferimenti precisi dai due Decreti Legislativi.
Nessun commento:
Posta un commento