IL GARANTE per la protezione dei dati personali
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; Visto il Codice in materia di protezione dei dati personali (decreto legistativo 30 giugno 2003, n. 196, di seguito «Codice») e, in particolare, l'art. 32-bis; Vista la direttiva 2002/58/Ce del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche); Vista la direttiva 2009/136/Ce del 25 novembre 2009, del Parlamento europeo e del Consiglio, recante modifica della direttiva 2002/22/Ce relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/Ce relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita' nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori; Vista la direttiva 2009/140/Ce del 25 novembre 2009, del Parlamento europeo e del Consiglio, recante modifica delle direttive 2002/21/Ce che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica, 2002/19/Ce relativa all'accesso alle reti di comunicazione elettronica e alle risorse correlate, e all'interconnessione delle medesime e 2002/20/Ce relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica; Visto il decreto legislativo 28 maggio 2012, n. 69 «Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorita' nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori» (pubblicato nella Gazzetta Ufficiale 31 maggio 2012 n. 126); Visto il decreto legislativo 28 maggio 2012 n. 70 «Modifiche al decreto legislativo 1° agosto 2003, n. 259, recante codice delle comunicazioni elettroniche in attuazione delle direttive 2009/140/CE, in materia di reti e servizi di comunicazione elettronica, e 2009/136/CE in materia di trattamento dei dati personali e tutela della vita privata» (pubblicato nella Gazzetta Ufficiale 31 maggio 2012, n. 126); Ritenuto necessario fornire primi orientamenti e istruzioni in merito ai nuovi obblighi di comunicazione incombenti sui fornitori di servizi di comunicazione elettronica accessibili al pubblico per i casi di violazione di dati personali, come espressamente previsto dall'art. 32-bis, comma 6, del Codice; Rilevata l'opportunita' che la prescrizione di alcune misure, allo stato individuate nell'unito documento, sia preceduta da una consultazione pubblica, diretta in particolare ai predetti fornitori, al fine di acquisire ulteriori riscontri sull'adeguatezza delle medesime prescrizioni, nonche' sulle relative modalita' attuative, anche in ragione della eventuale casistica che si formera' medio tempore; Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento n. 1/2000; Relatore il dr. Antonello Soro;
Delibera: ai sensi degli artt. 32-bis, comma 6 e 154, comma 1, lett. c), del Codice: a) di adottare l'unito documento, recante le «Linee guida in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali», che forma parte integrante della presente deliberazione (Allegato 1). b) di avviare una consultazione pubblica in merito alle modalita' applicative specificate nei punti 4.2, 7.1, 7.2 e 7.3 del documento di cui alla lettera a), riservandosi di intervenire sulle stesse anche alla luce delle risultanze delle osservazioni pervenute. Tali osservazioni e commenti potranno pervenire, entro il termine di 90 giorni dalla pubblicazione della presente deliberazione, all'indirizzo dell'Autorita' di Piazza di Monte Citorio n. 121, 00186 Roma, ovvero al seguente indirizzo di posta elettronica: consultazionedatabreach.gpdp.it La presente deliberazione verra' pubblicata sul sito web del Garante www.gpdp.it e sara' trasmessa al Ministero della giustizia ai fini della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana a cura dell'Ufficio pubblicazione leggi e decreti. Roma, 26 luglio 2012
Il presidente e relatore Soro
Il segretario generale Busia |