Comisia Europeană (CE) instituie noi norme care definesc cum trebuie să reacţioneze operatorii de telecomunicaţii şi furnizorii de servicii de internet în cazul în care datele cu caracter personal ale clienţilor sunt pierdute, furate sau compromise într-un alt mod, în scopul de a se asigura că toţi clienţii sunt trataţi la fel în întreaga UE în cazul unei încălcări a securităţii datelor, informează un comunicat al CE.
În plus faţă de datele referitoare la apelurile telefonice şi la site-urile internet vizitate, operatorii de telecomunicaţii şi furnizorii de servicii de internet deţin o serie de date cu privire la clienţii lor, precum numele şi adresele acestora şi detalii ale conturilor bancare. Din anul 2011, aceste companii funcţionează având obligaţia generală de a informa autorităţile naţionale şi abonaţii cu privire la cazurile de încălcare a securităţii datelor cu caracter personal, iar datorită regulamentului CE, companiile vor şti mai bine cum să îndeplinească aceste obligaţii.
Astfel, companiile vor trebui să informeze autoritatea naţională competentă cu privire la incident în termen de 24 de ore de la încălcarea securităţii datelor cu caracter personal, în scopul de a o izola cât mai bine posibil. Dacă în această perioadă informaţiile nu pot fi divulgate în totalitate, companiile trebuie să ofere un prim set de informaţii în termen de 24 de ore, urmând să transmită restul informaţiilor în trei zile.
De asemenea, acestea vor trebui să evidenţieze care sunt informaţiile afectate şi ce măsuri au fost sau vor fi luate de companie.
Atunci când evaluează necesitatea notificării abonaţilor, companiile trebuie să acorde atenţie tipului datelor compromise, precum informaţii financiare, date de localizare, fişiere-jurnal de utilizare a internetului, istorii de navigare pe internet, date de e-mail şi liste detaliate de apeluri. În plus, acestea vor utiliza un format standardizat pentru notificarea autorităţii naţionale competente.
CE intenţionează, de asemenea, să stimuleze companiile să cripteze datele cu caracter personal. Astfel, în colaborare cu Agenţia Europeană pentru Securitatea Reţelelor Informatice şi a Datelor (ENISA), CE va publica şi o listă orientativă cu măsuri tehnice de protecţie, precum tehnicile de criptare, care fac ca datele să fie de neînţeles pentru orice persoană neautorizată să le consulte. Dacă într-o companie care aplică astfel de tehnici s-ar produce o încălcare a securităţii datelor, respectiva companie ar fi scutită de sarcina de a notifica abonatul, deoarece, în realitate, o astfel de încălcare nu ar divulga datele cu caracter personal ale acestuia.
„Consumatorii au nevoie să ştie atunci când datele lor cu caracter personal au fost compromise, ca să poată lua măsuri de remediere dacă este cazul, iar companiile au nevoie ca lucrurile să fie simple pentru ele. Aceste noi măsuri practice oferă condiţiile de concurenţă echitabile necesare”, a declarat comisarul european pentru agenda digitală, Neelie Kroes.
CE a adoptat aceste norme în urma unei ample consultări publice pe care a realizat-o în 2011 şi care a arătat sprijinul părţilor interesate în favoarea unei abordări armonizate în acest domeniu. Normele au fost convenite în cadrul unui comitet format de statele membre şi au fost examinate de Parlamentul European şi de Consiliu, fiind adoptate sub forma unui regulament al Comisiei. Acesta are efect direct şi nu necesită transpunerea la nivel naţional, intrând în vigoare la două luni de la data publicării în Jurnalul Oficial al UE.
