Il rapporto
del Ponemon Institute “Dati persi, soldi persi”, che analizza in
maniera puntuale i danni economici causati dai dati personali
“rubati” da terzi, mostra dati preoccupanti. Il rapporto suddivide la
perdita di dati personali in base alle cause, dall’errore umano, a problemi di
sistema, fino al più frequente e pericoloso, quello degli attacchi criminali,
per causare un danno economico alle aziende ed impossessarsi dei dati personali
dei visitatori dei siti, dei clienti, degli iscritti alle newsletter. A guidare
questa triste classifica ci sono ovviamente gli Stati Uniti, ma sono seguiti a
ruota dai Paesi Membri dell’UE: solo Germania, Francia, UK e Italia hanno
subito un danno aggregato di oltre 1,8 miliardi di dollari. I crimini
informatici causano ogni anno danni per 113 miliardi di $ e nel 2012 le vittime
di queste frodi sono state oltre 378 milioni.
La
Commissione
1. Quali
strumenti legislativi e non offre a garanzia e protezione dei dati personali di
cittadini e aziende degli Stati Membri?
2. E’
in possesso di report o dati dell’EDPS che possano confermare, negare o integrare
quelli del Ponemon Institute?
3. Può
chiarire se, nel corso dei numerosi attacchi informatici che le Istituzioni
Europee hanno subito negli ultimi anni, sono stati rubati dati personali a
dipendenti, deputati, funzionari o semplicemente contatti e nel caso può
quantificare il danno?
IT
E-002497/2014
Risposta
di Johannes Hahn
a
nome della Commissione
(2.5.2014)
La direttiva
95/46/CE[1] sulla protezione dei dati personali è il principale
strumento a livello dell’UE che stabilisce i diritti delle persone fisiche i
cui dati personali sono oggetto di trattamento. Tutti gli Stati membri hanno
recepito tale direttiva nel diritto nazionale. La protezione prevista dalla
direttiva si applica alle persone fisiche, a prescindere dalla nazionalità o
dal luogo di residenza, in relazione al trattamento dei dati personali[2].
In materia di
notifiche di violazioni dei dati personali, esistono attualmente norme
armonizzate a livello dell’UE solo per quanto riguarda la comunicazione
elettronica, ai sensi della direttiva ePrivacy riveduta (2009/136/CE). La
proposta della Commissione di un regolamento generale sulla protezione dei dati[3] introduce un obbligo generale di notifica delle violazioni
dei dati personali, in linea con le norme per il settore delle comunicazioni
elettroniche. La proposta è attualmente oggetto di dibattito presso il
Parlamento europeo e il Consiglio.
Il trattamento
dei dati personali da parte delle istituzioni, organi e organismi dell’Unione è
disciplinato dal regolamento (CE) n. 45/2001[4], il quale non contiene alcuna disposizione per quanto
riguarda la notifica delle violazioni dei dati personali.
La Commissione è consapevole della seria minaccia costituita da possibili
attacchi informatici contro le istituzioni dell’UE.
Per quanto
riguarda la Commissione
e le sue infrastrutture, nell’ultimo anno gli strumenti di sicurezza esistenti
hanno rilevato e respinto molti tentativi, sempre maggiori e sempre più
sofisticati, di infiltrazione nella rete e nei server. È stato sviluppato un
piano d’azione globale contro gli attacchi informatici che viene costantemente
aggiornato. Sono stati predisposti strumenti per rafforzare il controllo degli
accessi e delle autenticazioni e per migliorare il monitoraggio della rete e
del sistema.
Per evitare di
fornire agli hacker informazioni sugli strumenti di difesa utilizzati, non è
possibile divulgare maggiori informazioni.
[1] Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24
ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al
trattamento dei dati personali, nonché alla libera circolazione di tali dati
(GU L 281 del 23.11.1995, pag. 31).
[2] Volker
und Markus Schecke GbR (C-92/09)
[3] COM(2012) 11 definitivo.
[4] Regolamento (CE) n. 45/2001 del Parlamento europeo e del
Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in
relazione al trattamento dei dati personali da parte delle istituzioni e degli
organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del
12.1.2001, pag. 1).