Dati violati e obbligo di notifica. Il punto di ENISA

L’ENISA, Agenzia europea per la sicurezza delle reti ha fatto il punto sull’implementazione dell’obbligo di notifica di violazione dei dati, attribuito agli operatori telco dalla Direttiva europea sull’e-privacy. Le prinicipali istanze sollevate dagli operatori e dalle Autorità di regolazione competenti sono state raccolte nel Rapporto “Data breach notifications in the EU”, reso pubblico nei giorni scorsi. 

L’Agenzia riconosce che "per guadagnare e mantenere la fiducia e la “disponibilità all’acquisto” dei servizi on line da parte dei cittadini è cruciale rassicurarli sul fatto che i loro dati siano al sicuro e siano ben protetti. Una percezione diversa rappresenterebbe un rischio potenziale grave per lo sviluppo e il decollo di tecnologie innovative e servizi on line a maggior valore aggiunto per tutta l’Europa”.
La tutela dei dati personali si conferma così al centro dell’attenzione dell’Unione, come già aveva riaffermato la Commissione nel nuovo Piano di azione sull’eGov rilasciato lo scorso mese.

Notificare le violazioni di dati personali
L’obbligo di notifica della violazione di dati, per il settore delle telecomunicazioni, è inserito  nella versione aggiornata della Direttiva europea sull’ePrivacy (2002/58/EC), con l’obiettivo di aumentare il livello di sicurezza dei dati in Europa e rassicurare i cittadini su come i dati personali siano tenuti in sicurezza e protetti dagli operatori del settore.
All’articolo 4 la Direttiva prevede che “qualora si prospettasse un determinato rischio di violazione della sicurezza della rete, il provider di un servizio di comunicazione elettronica pubblicamente accessibile deve informare gli abbonati sul rischio e – se il rischio non può essere contenuto da misure messe in atto dal service provider –  questi deve informare gli abbonati su ogni possibile rimedio, indicando i relativi costi preventivabili”.

Lo stato dell’arte
Nel constatare che nella maggior parte degli Stati membri la notifica di violazione del dato non è ancora obbligatoria, l’ENISA esplora i punti di vista e le istanze degli operatori telco da un lato e delle Autorità competenti sulla materia dall’altro, identificando i punti di convergenza e divergenza, mentre annuncia che nel corso del 2011 saranno sviluppate le Linee guida per le procedure e le misure d’implementazione tecnica.

In particolare gli operatori, riconoscendo che la notifica della violazione di dati ha un ruolo importante all’interno del framework generale in materia di protezione dei dati e privacy, sottolineano la necessità di:

• procedere ad un’attribuzione di priorità dei rischi, collegando all’entità della violazione il livello di risposta
• mantenere il controllo sui canali di comunicazione, per poter gestire al meglio ogni possibile ripercussione della violazione e della notifica sul proprio brand
• ricevere supporto e linee guida sulle metodologie da adottare in materia di classificazione dei dati e sulle procedure per le notifiche sulla base del livello di rischio attribuito a ciascuna violazione.  

D’altro canto,  le Autorità nazionali sollevano priorità differenti, concentrandosi sui punti che seguono:

• Risorse. Le allocazioni di budget dovrebbero riflettere le nuove responsabilità
• Enforcement. Maggiori poteri sanzionatori in capo alle Autorità assicurerebbero maggiore effettività alla Direttiva europea
•  Autorità competente. Ad individuare l’Autorità competente a regolare le procedure di notifica delle violazioni di dati dovrebbero essere i Governi nazionali, una volta che l’obbligo di notifica sarà introdotto nelle legislazioni nazionali.
• Expertise tecnico Poter assumere risorse con expertise rilevante rispetto ai nuovi compiti assegnati alle Autorità ne accrescerebbe l’efficacia
• Accrescere l’attenzione pubblica sul tema Una strategia comune di comunicazione verso il grande pubblico potrebbe essere utile per "educare" al meglio i titolari dei dati sui diritti che gli vengono riconosciuti dalla Direttiva europea

Punti critici
ENISA sottolinea come per una implementazione effettiva delle procedure di notifica delle violazioni di dati sia necessaria la collaborazione di chi controlla i dati presso i service provider da un lato e delle Autorità di regolazione dall’altro. Per questo, nel Rapporto anticipa una serie di punti critici su cui gli interessi in campo potrebbero confliggere.

• Tempistica (per il service provider la priorità sarebbe sull’identificazione del problema e della soluzione, piuttosto che sul report immediato dei dettagli all’utente attraverso la notifica. Quest’ultima potrebbe essere invece la priorità per l’Autorità)
• Monitoraggio del traffico (le esigenze di controllo del provider potrebbero scontrarsi contro quelle di tutela della privacy dell’utente di cui si fa garante l’Autorità)
  
• Contenuto della notifica (per il service provider è un punto “caldo” dal momento che potrebbe avere un impatto diretto sulla relazione con il cliente, mentre l’Autorità mantiene l’interesse alla massima chiarezza)
•  Procedure di audit( il service provider potrebbe tendere a mantenerle interne, mentre l’Autorità potrebbe chiedere di esternalizzarle, individuando nell’audit una funzione propria della stessa Autorità)
  

Già nel Rapporto, ENISA dà indicazione di alcune best practice individuate (ad esempio nel sistema tedesco e irlandese) e sottolinea i benefici che verranno da un approccio paneuropeo alle questioni sollevate. L’appuntamento per approfondimenti è il workshop sul tema che Enisa ha organizzato il prossimo 24 gennaio a Bruxelles.