Best Practices and Certifications for Cloud Computing Security

Esiti della consultazione pubblica sul tema “data breach” alla quale CSA Italy ha partecipato

Il Garante privacy, a seguito della consultazione pubblica conclusasi ad ottobre 2012, ha aggiornato l’originale impianto delle “Linee guida in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali” del 26 luglio 2012 con l’emissione del “Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach) – 4 aprile 2013” .

Ricordiamo che la nostra Associazione ha fornito al Garante il proprio contributo, rispondendo ufficialmente alla Consultazione Pubblica promossa dall’Autorità. Alcune delle nostre considerazioni e suggerimenti di modifiche nel loro complesso sono state accolte dall’Autorità, in particolare quanto attiene alle misure di sicurezza precedentemente riportate in “4.2 Adozione di adeguate misure di sicurezza” delle Linee Guida di fine luglio 2012, sulle quali avevamo sollevato le nostre perplessità ed indicato l’esigenza di revisione.

Rispetto alla precedente versione, le attuali prescrizioni rivolte agli Operatori TLC/Internet si delimitano sugli aspetti delle comunicazioni di data breach verso l’Autorità e verso i contraenti/altre persone, con specifica dei limiti temporali da rispettare, oggetto delle comunicazioni e loro consistenza con i dati che devono essere registrati nel cosiddetto ”Inventario delle violazioni dei dati personali”.

Quindi l’attuale Provvedimento non introduce più ulteriori specifiche di misure di sicurezza oltre a quanto già previsto come obbligatorio dal Codice Privacy e provvedimenti applicabili già emessi dall’Autorità: i requisiti ulteriori di misure di sicurezza presenti nella precedente versione sono stati rivisti con una valenza ora di “suggerimenti” (sempre comunque rilevanti in quanto provengono dall’Autorità competente) e comunque diminuiti in termini di entità.

L’attuale Provvedimento menziona ora esplicitamente il mobile payment come caso applicabile per le prescrizioni di data breach qualora i dati di pagamento siano strettamente connessi a quelli del traffico telefonico ed inoltre, per quanto concerne i servizi di posta elettronica, chiarisce che ad essi si applicano le prescrizioni relative alla data breach anche se sono erogati da “gestore di siti internet che diffondono contenuti sulla rete” (i cosiddetti content provider).

Un grazie sentito al Gruppo di Lavoro (Valerio Vertua, Gloria Marcoccio e Matteo Cavallini)  ed a tutti gli associati che tramite Survey hanno fornito indicazioni e suggerimenti preziosi che hanno consentito a CSA Italy Chapter di produrre una risposta di valore alla Consultazione Pubblica sul data breach promossa nel 2012 dal Garante Privacy.

 

Alberto Manfredi

Presidente CSA Italy

Comments are currently closed.