Nei giorni scorsi sono stati definitivamente approvati i punti del decreto legislativo 69/2012, che ha sostanzialmente cambiato i sistemi di protezione della privacy su Internet in Italia. In particolare i fornitori di servizi sono ora obbligati a seguire un certo procedimento per garantire all’utente il massimo della sicurezza e degli aggiornamenti possibile. Un ddl che arriva veramente a proposito, dopo i noti casi di attacchi hacker del Playstation Network, LinkedIn, Yahoo e il più recente di Dropbox.

Questo ddl si concentra soprattutto sulla protezione dei dati sensibili degli utenti, obbligando di fatto gli operatori telefonici e gli Internet Provider ad agire immediatamente nel caso si dovessero accorgere che i loro server sono stati violati da qualche malintenzionato. In caso di perdita, distruzione o diffusione indebita di dati personali, secondo l’articolo 32-bis comma 6, impone che la comunicazione al Garante per la privacy di questi avvenimenti debba avvenire tassativamente entro 24 ore dalla scoperta dell’evento stesso. I provider devono fornire immediatamente la tipologia dei dati coinvolti, la descrizione dei sistemi di elaborazione e il luogo dove è avvenuta la violazione. Entro tre giorni andranno riportati anche i dettagli più precisi, ma inizialmente occorre dare all’utente gli indizi minimi per capire dove e come andare ad agire per mettere al sicuro prima possibile la vita digitale delle vittime del furto. Il fatto che vengano previsti anche danneggiamenti fisici, oltre che attacchi hacker, finisce per coinvolgere anche aziende colpite da incidenti come l’incendio nella sala server di Aruba di qualche mese fa.

Nei casi più gravi, inoltre, la legge prevede che anche i singoli utenti coinvolti, oltre al Garante, debbano essere avvisati dell’accaduto. I gradi di valutazione del rischio non sono oggettivi, ma devono tenere conto di numerosi fattori, come il grado di pregiudizio che la perdita dei dati può comportare, come furti di identità o diffamazioni, il grado di aggiornamento di questi dati e la loro tipologia. Ovviamente se il furto riguarda enti bancari o giudiziari, l’urgenza cresce a dismisura, vista l’importanza dei dati coinvolti. La comunicazione agli utenti deve avvenire entro tre giorni al massimo dalla scoperta della violazione. Esiste un unico caso nel quale i provider di servizi non sono tenuti ad avvertire gli utenti, ovvero quando i dati sono protetti da un grado tale di crittografia da rendere quasi inutilizzabili i dati rubati.

Le sanzioni in caso di mancato rispetto di questo ddl sono comprese tra i 25.000 e i 150.000 €, mentre il mancato avviso nei confronti degli utenti può essere pagato da 150 a 1.000 €. Anche i provvedimenti che si prenderanno nell’immediato futuro in questi casi saranno valutati e la mancanza di questi comporterà sanzioni tra i 20.000 e i 120.000 €.