Azi dimineata aflu ca trei bucuresteni au fost retinuti pentru santaj - au cerut 300 000 de euro unei clinici private pentru a nu dezvalui datele sustrase din sistemul ei informatic. Cazul nu ar avea, probabil, prea multa atentie din partea mea daca nu ar fi legat de un subiect pe care tocmai l-am prezentat saptamana trecuta la conferinta IDC: notificarea privind incalcarea securitatii procesarii datelor cu caracter personal, scrie Bogdab Manolea pe blogul sau.

Ipoteza e destul de simpla: pe masura ce ne tehnologizam din ce in ce mai mult, producem sau colectam din ce in ce mai multe date. Unele cu caracter personal. Unele sensibile (cum sunt cele legate de starea de sanatate). Si cum colectarea este deseori legata de o administrare proasta a acestora si de multe ori de lipsa asigurarii unor standarde minime de securitate, din cind in cind se intampla ceea ce nu vrem sa se intample: datele se pierd sau sunt expuse tertilor.

Cum situatia a inceput sa devina deja enervanta pentru autoritati s-a decis ca trebuie implementata o solutie legislativa. In Uniunea Europeana prima obligatie in acest sens este deja cuprinsa in pachetul telecom (mai precis Directiva 136/2009/EC) care impune o obligatie de notficare in cazurile de acest gen:

În cazul unei încălcări a securității datelor cu caracter personal, furnizorul serviciilor de comunicații electronice destinate publicului notifică, fără întârzieri nejustificate, autoritatea națională competentă cu privire la respectiva încălcare.

Atunci când încălcarea securității datelor cu caracter personal ar putea aduce atingere datelor cu caracter personal și vieții private ale unui abonat sau ale unei persoane, furnizorul notifică respectiva încălcare, fără întârzieri nejustificate, abonatului sau persoanei.

Textul directivei explica si ce se intelege prin aceste incalcari: