DATI PERSONALI E DANNI ECONOMICI

Il rapporto
del Ponemon Institute “Dati persi, soldi persi”, che analizza in
maniera puntuale i danni economici causati dai dati personali
“rubati” da terzi, mostra dati preoccupanti. Il rapporto suddivide la
perdita di dati personali in base alle cause, dall’errore umano, a problemi di
sistema, fino al più frequente e pericoloso, quello degli attacchi criminali,
per causare un danno economico alle aziende ed impossessarsi dei dati personali
dei visitatori dei siti, dei clienti, degli iscritti alle newsletter. A guidare
questa triste classifica ci sono ovviamente gli Stati Uniti, ma sono seguiti a
ruota dai Paesi Membri dell’UE: solo Germania, Francia, UK e Italia hanno
subito un danno aggregato di oltre 1,8 miliardi di dollari. I crimini
informatici causano ogni anno danni per 113 miliardi di $ e nel 2012 le vittime
di queste frodi sono state oltre 378 milioni.

 

La
Commissione

 

1.    Quali
strumenti legislativi e non offre a garanzia e protezione dei dati personali di
cittadini e aziende degli Stati Membri?

2.    E’
in possesso di report o dati dell’EDPS che possano confermare, negare o integrare
quelli del Ponemon Institute?

3.    Può
chiarire se, nel corso dei numerosi attacchi informatici che le Istituzioni
Europee hanno subito negli ultimi anni, sono stati rubati dati personali a
dipendenti, deputati, funzionari o semplicemente contatti e nel caso può
quantificare il danno?

 

IT

E-002497/2014

Risposta
di Johannes Hahn

a
nome della Commissione

(2.5.2014) 

 

 

La direttiva
95/46/CE[1] sulla protezione dei dati personali è il principale
strumento a livello dell’UE che stabilisce i diritti delle persone fisiche i
cui dati personali sono oggetto di trattamento. Tutti gli Stati membri hanno
recepito tale direttiva nel diritto nazionale. La protezione prevista dalla
direttiva si applica alle persone fisiche, a prescindere dalla nazionalità o
dal luogo di residenza, in relazione al trattamento dei dati personali[2].

 

In materia di
notifiche di violazioni dei dati personali, esistono attualmente norme
armonizzate a livello dell’UE solo per quanto riguarda la comunicazione
elettronica, ai sensi della direttiva ePrivacy riveduta (2009/136/CE). La
proposta della Commissione di un regolamento generale sulla protezione dei dati[3] introduce un obbligo generale di notifica delle violazioni
dei dati personali, in linea con le norme per il settore delle comunicazioni
elettroniche. La proposta è attualmente oggetto di dibattito presso il
Parlamento europeo e il Consiglio.

 

Il trattamento
dei dati personali da parte delle istituzioni, organi e organismi dell’Unione è
disciplinato dal regolamento (CE) n. 45/2001[4], il quale non contiene alcuna disposizione per quanto
riguarda la notifica delle violazioni dei dati personali.

 

La Commissione è consapevole della seria minaccia costituita da possibili
attacchi informatici contro le istituzioni dell’UE.

 

Per quanto
riguarda la Commissione
e le sue infrastrutture, nell’ultimo anno gli strumenti di sicurezza esistenti
hanno rilevato e respinto molti tentativi, sempre maggiori e sempre più
sofisticati, di infiltrazione nella rete e nei server. È stato sviluppato un
piano d’azione globale contro gli attacchi informatici che viene costantemente
aggiornato. Sono stati predisposti strumenti per rafforzare il controllo degli
accessi e delle autenticazioni e per migliorare il monitoraggio della rete e
del sistema.

 

Per evitare di
fornire agli hacker informazioni sugli strumenti di difesa utilizzati, non è
possibile divulgare maggiori informazioni.