 
 
 
                             IL GARANTE 
                per la protezione dei dati personali 
 
  Nella riunione odierna,  in  presenza  del  dott.  Antonello  Soro,
presidente, della dott.ssa Augusta Iannini,  vice  presidente,  della
dott.ssa Giovanna Bianchi Clerici e della  prof.ssa  Licia  Califano,
componenti e del dott. Giuseppe Busia, segretario generale; 
  Visto il  Codice  in  materia  di  protezione  dei  dati  personali
(decreto legistativo 30 giugno 2003, n. 196, di seguito «Codice»)  e,
in particolare, l'art. 32-bis; 
  Vista la direttiva 2002/58/Ce del 12 luglio  2002,  del  Parlamento
europeo e del Consiglio, relativa al trattamento dei dati personali e
alla tutela  della  vita  privata  nel  settore  delle  comunicazioni
elettroniche  (direttiva  relativa   alla   vita   privata   e   alle
comunicazioni elettroniche); 
  Vista la direttiva 2009/136/Ce del 25 novembre 2009, del Parlamento
europeo e del Consiglio, recante modifica della direttiva  2002/22/Ce
relativa al servizio universale e ai diritti degli utenti in  materia
di reti e di servizi di comunicazione  elettronica,  della  direttiva
2002/58/Ce relativa al trattamento dei dati personali e  alla  tutela
della vita privata nel settore delle comunicazioni elettroniche e del
regolamento (CE) n. 2006/2004 sulla  cooperazione  tra  le  autorita'
nazionali responsabili dell'esecuzione della normativa a  tutela  dei
consumatori; 
  Vista la direttiva 2009/140/Ce del 25 novembre 2009, del Parlamento
europeo e del Consiglio, recante modifica delle direttive  2002/21/Ce
che istituisce un quadro normativo comune per le reti ed i servizi di
comunicazione elettronica, 2002/19/Ce relativa all'accesso alle  reti
di  comunicazione   elettronica   e   alle   risorse   correlate,   e
all'interconnessione  delle  medesime  e  2002/20/Ce  relativa   alle
autorizzazioni per le reti e i servizi di comunicazione elettronica; 
  Visto il decreto legislativo 28 maggio 2012, n.  69  «Modifiche  al
decreto legislativo 30 giugno 2003, n. 196, recante codice in materia
di protezione  dei  dati  personali  in  attuazione  delle  direttive
2009/136/CE, in materia di trattamento dei dati  personali  e  tutela
della vita privata nel settore delle  comunicazioni  elettroniche,  e
2009/140/CE in materia di reti e servizi di comunicazione elettronica
e del  regolamento  (CE)  n.  2006/2004  sulla  cooperazione  tra  le
autorita' nazionali responsabili dell'esecuzione  della  normativa  a
tutela dei  consumatori»  (pubblicato  nella  Gazzetta  Ufficiale  31
maggio 2012 n. 126); 
  Visto il decreto legislativo 28 maggio 2012  n.  70  «Modifiche  al
decreto legislativo 1° agosto 2003,  n.  259,  recante  codice  delle
comunicazioni elettroniche in attuazione delle direttive 2009/140/CE,
in  materia  di  reti  e  servizi  di  comunicazione  elettronica,  e
2009/136/CE in materia di trattamento dei  dati  personali  e  tutela
della vita privata» (pubblicato nella Gazzetta  Ufficiale  31  maggio
2012, n. 126); 
  Ritenuto necessario fornire  primi  orientamenti  e  istruzioni  in
merito ai nuovi obblighi di comunicazione incombenti sui fornitori di
servizi di comunicazione elettronica accessibili al  pubblico  per  i
casi di violazione di dati  personali,  come  espressamente  previsto
dall'art. 32-bis, comma 6, del Codice; 
  Rilevata l'opportunita' che la prescrizione di alcune misure,  allo
stato  individuate  nell'unito  documento,  sia  preceduta   da   una
consultazione pubblica, diretta in particolare ai predetti fornitori,
al fine  di  acquisire  ulteriori  riscontri  sull'adeguatezza  delle
medesime prescrizioni, nonche' sulle  relative  modalita'  attuative,
anche in ragione della eventuale  casistica  che  si  formera'  medio
tempore; 
  Viste  le  osservazioni  dell'Ufficio,  formulate  dal   segretario
generale ai sensi dell'art. 15 del regolamento n. 1/2000; 
  Relatore il dr. Antonello Soro; 
 
                              Delibera: 
 
ai sensi degli artt. 32-bis, comma 6 e 154, comma 1,  lett.  c),  del
Codice: 
      a) di adottare l'unito documento, recante le  «Linee  guida  in
materia di attuazione  della  disciplina  sulla  comunicazione  delle
violazioni di dati  personali»,  che  forma  parte  integrante  della
presente deliberazione (Allegato 1). 
      b)  di  avviare  una  consultazione  pubblica  in  merito  alle
modalita' applicative specificate nei punti 4.2, 7.1, 7.2 e  7.3  del
documento di cui alla lettera a), riservandosi di  intervenire  sulle
stesse anche alla luce delle risultanze delle osservazioni pervenute. 
  Tali osservazioni e commenti potranno pervenire, entro  il  termine
di  90  giorni  dalla  pubblicazione  della  presente  deliberazione,
all'indirizzo dell'Autorita' di Piazza di Monte Citorio n. 121, 00186
Roma,  ovvero   al   seguente   indirizzo   di   posta   elettronica:
consultazionedatabreach.gpdp.it 
  La presente  deliberazione  verra'  pubblicata  sul  sito  web  del
Garante www.gpdp.it e sara' trasmessa al Ministero della giustizia ai
fini  della  sua  pubblicazione  nella   Gazzetta   Ufficiale   della
Repubblica  italiana  a  cura  dell'Ufficio  pubblicazione  leggi   e
decreti. 
  Roma, 26 luglio 2012 
 
                                             Il presidente e relatore 
                                                       Soro           
 
 
Il segretario generale 
         Busia