Comisia Europeană a instituit noi norme care precizează exact cum trebuie să reacționeze operatorii de telecomunicații și furnizorii de servicii de internet (FSI) în cazul în care datele cu caracter personal ale clienților lor sunt pierdute, furate sau compromise într-un alt mod. Scopul acestor „măsuri tehnice de punere în aplicare” este de a asigura că toți clienții sunt tratați echivalent în întreaga UE în cazul unei încălcări a securității datelor, precum și că agenții economici care își desfășoară activitatea în mai multe țări pot aborda aceste probleme la nivel paneuropean.
În plus față de datele referitoare la apelurile telefonice și la site-urile internet vizitate, operatorii de telecomunicații și furnizorii de servicii de internet dețin o serie de date cu privire la clienții lor, precum numele și adresele acestora și detalii ale conturilor bancare. Din anul 2011, aceste companii funcționează având obligația generală de a informa autoritățile naționale și abonații cu privire la cazurile de încălcare a securității datelor cu caracter personal (IP/11/622).
Grație unui regulament al Comisiei, companiile vor știi mult mai clar cum să își îndeplinească aceste obligații, iar clienți vor beneficia de garanții suplimentare cu privire la modul în care vor fi abordate problemele lor. De exemplu, companiile trebuie:
– să informeze autoritatea națională competentă cu privire la incident în termen de 24 de ore de la încălcarea securității datelor cu caracter personal, în scopul de a o izola cât mai bine posibil. Dacă în această perioadă informațiile nu pot fi pot fi divulgate în totalitate, companiile trebuie să ofere un prim set de informații în termen de 24 de ore, urmând să transmită restul informațiilor în termen de trei zile;
– să sublinieze care sunt informațiile afectate și care sunt măsurile care au fost sau vor fi aplicate de către companie;
– atunci când evaluează necesitatea notificării abonaților (de exemplu folosind drept criteriu riscul ca încălcarea să aibă consecințe negative asupra datelor cu caracter personal sau a vieții private), să acorde atenție tipului datelor compromise, în speță, în contextul sectorului telecomunicațiilor, informații financiare, date de localizare, fișiere-jurnal de utilizare a internetului, istorii de navigare pe internet, date de e-mail și liste detaliate de apeluri;
– să utilizeze un format standardizat (de exemplu un formular on-line care să fie același în toate statele membre ale UE) pentru notificarea autorității naționale competente.
Comisia dorește, de asemenea, să stimuleze companiile să cripteze datele cu caracter personal. Ca atare, în colaborare cu ENISA, Comisia va publica și o listă orientativă cu măsuri tehnice de protecție, precum tehnicile de criptare, care fac ca datele să fie de neînțeles pentru orice persoană neautorizată să le consulte. Dacă într-o companie care aplică astfel de tehnici s-ar produce o încălcare a securității datelor, respectiva companie ar fi scutită de sarcina de a notifica abonatul, deoarece, în realitate, o astfel de încălcare nu ar divulga datele cu caracter personal ale acestuia.
Vicepreședinta Comisiei Europene, dna Neelie Kroes, a declarat: „Consumatorii au nevoie să știe atunci când datele lor cu caracter personal au fost compromise, ca să poată lua măsuri de remediere dacă este cazul, iar companiile au nevoie ca lucrurile să fie simple pentru ele. Aceste noi măsuri practice oferă condițiile de concurență echitabile necesare.”
Comisia pune în aplicare aceste norme în urma unei ample consultări publice pe care a realizat-o în 2011 și care a arătat sprijinul părților interesate în favoarea unei abordări armonizate în acest domeniu. Normele au fost convenite în cadrul unui comitet format de statele membre și au fost examinate de Parlamentul European și de Consiliu. Acestea sunt adoptate sub forma unui regulament al Comisiei, care are efect direct și nu necesită transpunerea la nivel național, și vor intra în vigoare la două luni de la data publicării în Jurnalul Oficial al Uniunii Europene.
