Con il provvedimento generale n. 161/2013 il Garante Privacy analizza l’obbligo per le società telefoniche e gli internet providers di avvisare il Garante stesso e gli utenti quando i dati trattati per fornire i servizi subiscano gravi violazioni a seguito di attacchi informatici o di altri eventi quali incendi o altre calamità che possano comportare perdita, distruzione o diffusione indebita di dati. Il tutto entro 24 ore dalla scoperta del fatto.
L’obbligo di comunicazione (previsto dall’art. 32-bis, co. I Codice Privacy) incombe unicamente sui fornitori di servizi telefonici e di accesso a internet.

Le sanzioni in caso di inadempimento? Pesantissime:

– la omessa o ritardata comunicazione della violazione di dati personali al Garante costerà una sanzione amministrativa compresa tra € 25.000,00 ed € 150.000,00 (art. 162-ter d.lgs 196/2003);
– la omessa o ritardata comunicazione della violazione al contraente o ad altra persona interessata è sanzionata col pagamento di una somma compresa tra € 150,00 ed € 1.000,00 per ciascun contraente o interessato;
(sono previsti inoltre un tetto massimo pari al 5% del volume d’affari realizzato dal trasgressore nell’ultimo esercizio chiuso anteriormente alla contestazione della violazione e una possibilità di aumento fino al quadruplo ove le sanzioni risultino inefficaci in ragione delle condizioni economiche del contravventore, art 164-bis, co. IV, Codice Privacy).
– Sotto il profilo penale, infine, il fornitore che dichiari o attesti falsamente notizie o circostanze o produca atti o documenti falsi in occasione della comunicazione al Garante conseguente alla violazione nel trattamento di dati personali è punito (salvo che il fatto costituisca più grave reato) con la reclusione da 6 mesi a 3 anni (art. 168 del d.lgs 196/03).