Il Garante della privacy presieduto da Antonello Soro ha approvato il provvedimento 121 del 26 luglio 2012, contenente gli obblighi in caso di compromissione di dati personali degli utenti. Nel dettaglio, le nuove linee guida prevedono che gli operatori telefonici e i fornitori di servizi internet sono obbligati ad avvisare immediatamente il soggetto interessato e il Garante della privacy nel caso di perdita, distruzione o diffusione indebita di dati personali.
Sono obbligati di comunicare le violazione, distruzione o diffusione indebita dei dati personali solamente i fornitori di servizi telefonici e accesso ad internet. Non sono dunque obbligate le reti aziendali, gli Internet point, i motori di ricerca e tutti i siti web che diffondono contenuti.
La comunicazione della violazione deve avvenire entro le 24 ore successive dalla scoperta del verificarsi dell'evento, fornendo le informazioni utili al fine di effettuare una prima valutazione dell'entità della violazione (quali dati sono coinvolti, dove è avvenuta la violazione). Successivamente, aziende tlc e Internet provider avranno 3 giorni di tempo per una descrizione più dettagliata dell'evento mediante il modello predisposto dal Garante. Una volta terminate le verifiche, aziende tlc e Internet provider devono comunicare al Garante le modalità con le quali hanno posto rimedio alla violazione e le misure adottate per prevenirne di nuove.
I casi soggetti al provvedimento sono quelli specificati dal nuovo articolo 32-bis comma 6 del codice dalla privacy data breach, ossia tutte quelle situazioni in cui il database di una società tlc o Internet provider subisce un attacco informatico o viene coinvolto in eventi avversi quali incendi o altre calamità.
Come esempio possiamo citare due episodi verificatesi pochi mesi fa: l'incendio alla server farm di Aruba in Italia che ha oscurato gran parte del web italiano e il caso internazionale che ha coinvolto il PlayStation Network (PSN) di Sony.
Qualora il caso risulti essere piu' grave del previsto, oltre al Garante le aziende tlc e Internet provider sono obbligati di informare anche l'utente specifico a cui è stata violata la propria privacy. La gravità dell'evento viene assegnata seguendo alcuni punti specifici, come la tipologia del danno (furto di identità, danno fisico, danno alla reputazione, finanziari, sanitari, giudiziari), sulla 'attualità' dei dati (piu' i dati sono recenti piu' sono appetibili agli hacker) e sulla quantità dei dati coinvolti. La comunicazione agli utenti deve avvenire al massimo entro 3 giorni dalla violazione.
Infine, i provider dovranno tenere un inventario aggiornato delle violazioni e la mancata comunicazione al Garante della violazione dei dati espone a una sanzione amministrativa che va da 25mila a 150mila euro. Sanzioni sono previste anche per la mancata comunicazione agli utenti (da 150 euro a 1000 euro) e per la mancata tenuta dell'inventario (da 20mila a 120mila euro).