No caso de roubo ou risco de insegurança sobre os dados dos seus clientes, os operadores de telecomunicações terão de informar as autoridades no prazo de 24 horas. A Comissão Europeia também quer incentivar os operadores a cifrarem dados.
A Comissão Europeia estabeleceu novas regras sobre os procedimentos a seguir, a partir de Agosto, pelos operadores de telecomunicações e fornecedores de serviços Internet (FSI) caso os dados pessoais dos seus clientes sejam perdidos, roubados ou a sua segurança tenha ficado comprometida. O objectivo destas «medidas técnicas de execução» é garantir que todos os clientes recebam um tratamento equivalente em todo o território da União Europeia. Procura facilitar vida dos operadores ao permitir-lhes adoptar uma estratégia pan-europeia para estes problemas.
Exemplos de novas obrigações dos operadores:
– informar as autoridades nacionais competentes sobre o incidente, no prazo de 24 horas após a detecção de uma violação, a autoridade nacional competente, por forma a reduzir ao mínimo as suas consequências. “Se a divulgação de todos os elementos não for possível durante esse período, devem fornecer um conjunto inicial de informações no prazo de 24 horas, seguindo-se as restantes no prazo de três dias”, especifica um comunicado;
– indicar os elementos de informação afectados e as medidas aplicadas;
– ao determinarem se é necessário notificar os clientes (ou seja, ao aplicarem o teste que indica se a violação é susceptível de afectar negativamente os dados pessoais ou a privacidade), dar especial atenção ao tipo de dados afectados, nomeadamente, no contexto do sector das telecomunicações: a informações financeiras, a dados de localização, a ficheiros com os dados sobre acessos à Internet, o histórico da navegação na Internet, dados de correio electrónico e listas discriminadas de chamadas.
Cifragem em colaboração com a ENISA
A Comissão pretende incentivar as empresas a cifrarem os dados pessoais.”Assim, e em colaboração com a ENISA, a Comissão publicará também uma lista indicativa de medidas tecnológicas de protecção, nomeadamente técnicas de cifragem, que tornam os dados incompreensíveis para qualquer pessoa não autorizada a obtê-los. Se ocorrer uma violação de dados numa empresa que aplique essas técnicas, esta não será obrigada a notificar os clientes, já que essa violação não permite revelar os dados pessoais dos subscritores”, diz o comunicado.