Reguli noi pentru utilizarea Internetului în Europa. Ce trebuie să ştii dacă datele tale personale au fost compromise

Comisia Europeană a instituit noi norme care precizează exact cum trebuie să reacționeze operatorii de telecomunicații și furnizorii de servicii de internet (FSI) în cazul în care datele cu caracter personal ale clienților lor sunt pierdute, furate sau compromise într-un alt mod, anunţă azi comisia.

Scopul acestor „măsuri tehnice de punere în aplicare" este de a asigura că toți clienții sunt tratați echivalent în întreaga UE în cazul unei încălcări a securității datelor, precum și că agenții economici care își desfășoară activitatea în mai multe țări pot aborda aceste probleme la nivel paneuropean.

"În plus față de datele referitoare la apelurile telefonice și la site-urile internet vizitate, operatorii de telecomunicații și furnizorii de servicii de internet dețin o serie de date cu privire la clienții lor, precum numele și adresele acestora și detalii ale conturilor bancare", precizează CE. Din anul 2011, aceste companii funcționează având obligația generală de a informa autoritățile naționale și abonații cu privire la cazurile de încălcare a securității datelor cu caracter personal.

Grație unui regulament al Comisiei, companiile vor ști mult mai clar cum să își îndeplinească aceste obligații, iar clienți vor beneficia de garanții suplimentare cu privire la modul în care vor fi abordate problemele lor. De exemplu, companiile trebuie să informeze autoritatea națională competentă cu privire la incident în termen de 24 de ore de la încălcarea securității datelor cu caracter personal, în scopul de a o izola cât mai bine posibil. Dacă în această perioadă informațiile nu pot fi pot fi divulgate în totalitate, companiile trebuie să ofere un prim set de informații în termen de 24 de ore, urmând să transmită restul informațiilor în termen de trei zile. De asemenea acestea trebuie să sublinieze care sunt informațiile afectate și care sunt măsurile care au fost sau vor fi aplicate de către companie, dar şi, atunci când evaluează necesitatea notificării abonaților - de exemplu folosind drept criteriu riscul ca încălcarea să aibă consecințe negative asupra datelor cu caracter personal sau a vieții private - , să acorde atenție tipului datelor compromise, în speță, în contextul sectorului telecomunicațiilor, informații financiare, date de localizare, fișiere-jurnal de utilizare a internetului, istorii de navigare pe internet, date de e-mail și liste detaliate de apeluri.

Aceştia mai trebuie totodată să utilizeze un format standardizat - de exemplu un formular on-line care să fie același în toate statele membre ale UE - pentru notificarea autorității naționale competente.

Comisia dorește, de asemenea, să stimuleze companiile să cripteze datele cu caracter personal. Ca atare, în colaborare cu ENISA, Comisia va publica și o listă orientativă cu măsuri tehnice de protecție, precum tehnicile de criptare, care fac ca datele să fie de neînțeles pentru orice persoană neautorizată să le consulte. Dacă într-o companie care aplică astfel de tehnici s-ar produce o încălcare a securității datelor, respectiva companie ar fi scutită de sarcina de a notifica abonatul, deoarece, în realitate, o astfel de încălcare nu ar divulga datele cu caracter personal ale acestuia.

„Consumatorii au nevoie să știe atunci când datele lor cu caracter personal au fost compromise, ca să poată lua măsuri de remediere dacă este cazul, iar companiile au nevoie ca lucrurile să fie simple pentru ele. Aceste noi măsuri practice oferă condițiile de concurență echitabile necesare", spune vicepreşedintele Comisiei Europene Neelie Kroes.

Comisia pune în aplicare aceste norme în urma unei ample consultări publice pe care a realizat-o în 2011 și care a arătat sprijinul părților interesate în favoarea unei abordări armonizate în acest domeniu. Normele au fost convenite în cadrul unui comitet format de statele membre și au fost examinate de Parlamentul European și de Consiliu. Acestea sunt adoptate sub forma unui regulament al Comisiei, care are efect direct și nu necesită transpunerea la nivel național, și vor intra în vigoare la două luni de la data publicării în Jurnalul Oficial al Uniunii Europene.

Directiva privind confidențialitatea în mediul electronic adoptată în 2002 obligă operatorii de telecomunicații și furnizorii de servicii de internet să asigure confidențialitatea și securitatea datelor cu caracter personal. Cu toate acestea, există cazuri de furt ori pierdere de date sau de accesare a datelor de către persoane neautorizate. Aceste cazuri sunt cunoscute sub denumirea de „violare de date cu caracter personal". Conform Directivei revizuite privind confidențialitatea în mediul electronic (2009/136/EC), în cazul unei încălcări a securității datelor cu caracter personal, furnizorul trebuie să raporteze acest fapt autorității naționale competente, de regulă autoritatea națională responsabilă cu protecția datelor sau autoritatea de reglementare în domeniul comunicațiilor. De asemenea, furnizorul trebuie să informeze abonatul în cauză în mod direct, atunci când încălcarea ar putea să aibă consecințe negative asupra datelor cu caracter personal sau a vieții private a acestuia. Pentru a asigura aplicarea coerentă a normelor privind încălcarea securității datelor în toate statele membre, Directiva privind confidențialitatea în mediul electronic autorizează Comisia să propună „măsuri tehnice de punere în aplicare" - norme practice pentru completarea legislației în vigoare - cu privire la circumstanțele, formatele și procedurile aplicabile pentru îndeplinirea obligațiilor de notificare.

Pentru a pregăti aceste măsuri, Directiva privind confidențialitatea în mediul electronic prevede obligația Comisiei de a implica toate părțile interesate relevante, concretizată printr-o consultare publică în 2011. S-au primit răspunsuri de la o mare varietate de respondenți, inclusiv de la autorități naționale, furnizori de servicii și societatea civilă. Rezultatele au demonstrat un sprijin larg în rândul părților interesate pentru adoptarea de norme armonizate, precum și divergențe în abordările naționale. În procesul de pregătire a măsurilor, Comisia a consultat și Agenția Europeană pentru Securitatea Rețelelor Informatice și a Datelor (ENISA), Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal și Autoritatea Europeană pentru Protecția Datelor (AEPD).

Măsurile sunt separate și distincte față de propunerile Comisiei de revizuire a cadrului juridic al UE pentru protecția datelor și de directivă privind securitatea rețelelor și a informațiilor.