L’art. 4 della direttiva 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (G.U.U.E. 2002 L 201, p. 37), stabilisce che i fornitori di servizi di comunicazione elettronica accessibili al pubblico sono tenuti a notificare alle autorità nazionali competenti - e, in alcuni casi, anche agli abbonati e alle altre persone interessate - le «violazioni dei dati personali», definite dall’art. 2, lettera i), della medesima direttiva come quelle violazioni di sicurezza che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico nell’Unione. Al paragrafo 5, l’art. 4 conferisce alla Commissione la facoltà di adottare misure tecniche di attuazione riguardanti le circostanze, il formato e le procedure applicabili alle prescrizioni in materia di informazioni e comunicazioni di cui allo stesso articolo. Nell’esercizio di tale facoltà è stato adottato il Regolamento n. 611/2013, che disciplina le modalità ed i termini nel rispetto dei quali i fornitori di servizi di comunicazione elettronica accessibili al pubblico devono provvedere alla notifica delle violazioni di dati personali come sopra definite.
Di seguito si riassumono gli elementi essenziali del Regolamento, che è in vigore dal 25 agosto 2013 e il cui testo integrale è reperibile al seguente indirizzo: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2013:173:0002:01:IT:HTML
Obblighi del fornitore rispetto all’autorità nazionale - Il fornitore deve notificare all’autorità nazionale competente tutte le violazioni di dati personali (art. 2, par. 1), ove possibile entro un termine di 24 ore a partire dal rilevamento della violazione e includendo tutte le informazioni previste dall’Allegato I del Regolamento (art. 2, par. 2). La constatazione della violazione è considerata avvenuta quando il fornitore ha acquisito elementi relativi ad un incidente di sicurezza sufficienti a giustificare una notifica (ibid.). Se il rispetto di questo termine non è possibile, il fornitore può inviare una notifica iniziale entro 24 ore dal rilevamento, con le indicazioni contenute nella sezione I dell’Allegato I, da integrare al più presto, e comunque entro tre giorni dalla prima notifica, con una seconda notifica contenente le informazioni di cui alla sezione II, o comunque tutte le informazioni di cui il fornitore dispone; in caso di informazione incompleta quest’ultimo dovrà però presentare una giustificazione motivata e provvedere alla notifica delle informazioni residue non appena possibile (art. 2, par. 3).
Obblighi del fornitore rispetto all’abbonato - Il fornitore deve comunicare l’avvenuta violazione anche all’abbonato o altra persona che rischi di essere pregiudicata dalla violazione (art. 3, par. 1). La sussistenza del rischio di pregiudizio deve essere valutata tenendo conto «in particolare» delle circostanze previste dal Regolamento (art. 3, par. 2), mentre la comunicazione deve avvenire «senza indebito ritardo» (art. 3, par. 3), mediante «mezzi di comunicazione che consentano un rapido recapito delle informazioni e la cui sicurezza sia garantita con le tecnologie più avanzate» (art. 3, par. 6), e deve essere effettuata «in modo chiaro e comprensibile» e senza promuovere o pubblicizzare servizi nuovi o aggiuntivi, e deve includere tutte le informazioni di cui Allegato II del Regolamento (art. 3, par. 4). Il fornitore non è tenuto ad effettuare la notifica se dimostra in modo convincente all’autorità nazionale di aver utilizzato misure tecnologiche di protezione ai dati interessati dall’incidente, idonee a rendere incomprensibili - nel senso chiarito dal Regolamento - i dati (art. 4). Inoltre, il fornitore può essere autorizzato dall’autorità competente a ritardare la notifica in circostanze eccezionali, laddove la notifica tempestiva potrebbe ostacolare il corretto svolgimento dell’indagine relativa ai dati personali.
Obblighi delle autorità competenti - Alle autorità competenti - un elenco delle quali deve essere redatto e mantenuto aggiornato dalla Commissione (art. 2, par. 5) - è fatto obbligo di mettere a disposizione di tutti i fornitori stabiliti nello Stato membro «uno strumento elettronico sicuro» per la notifica delle violazioni, e informazioni sulle procedure di accesso e di uso di tale strumento (art. 2, par. 4). L’autorità nazionale competente a cui viene notificata una violazione di dati personali relativi ad abbonati o altre persone di un diverso Stato membro deve informare l’autorità competente di quest’ultimo (art. 2, par. 5).