Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
Crowdstriker 970×120
TM RedHotCyber 320x100 042514
Fare ricorso ad un responsabile senza accordo scritto e verifica di adeguatezza costa una sanzione al Centro Culturale di Sułkowice

Fare ricorso ad un responsabile senza accordo scritto e verifica di adeguatezza costa una sanzione al Centro Culturale di Sułkowice

Stefano Gazzella : 26 Dicembre 2022 09:00

L’autorità di controllo polacca UODO ha sanzionato il Centro Culturale di Sułkowice in seguito ad un evento di violazione dei dati personali per indisponibilità dei dati affidati ad un responsabile del trattamento e alla conseguente istruttoria da cui è stata rilevata la carenza di un accordo scritto per regolare i rapporti fra titolare e responsabile del trattamento.

La violazione dell’art. 28.9 GDPR non è però stata l’unica bensì la principale da cui ne sono derivate ulteriori. Di conseguenza, la decisione può offrire degli spunti affrontando alcune declinazioni operative richieste per adempiere tanto all’art. 28 GDPR che alle Linee guida 07/2020 EDPB nel momento in cui si affida un’attività di trattamento di dati personali in outsourcing.

Innanzitutto, viene ribadito che il ruolo soggettivo di titolare o responsabile del trattamento è un fatto da cui derivano dei precisi obblighi stabiliti dal GDPR. Dal momento che sono concetti funzionali, il motivo per cui viene instaurata una collaborazione pur informale è dunque irrilevante. La selezione del responsabile del trattamento deve poi avvenire unicamente fra soggetti


Enterprise

Prova la Demo di Business Log! Adaptive SOC italiano
Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro. Scarica ora la Demo di Business Log per 30gg


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate

per il rispetto del GDPR, anche in merito alla sicurezza e alla tutela dei diritti degli interessati (art. 28.1 GDPR). Garanzie che devono essere comprovate mediante ricorso a evidenze documentali, quali ad esempio possono essere certificazioni, politiche applicate sui dati, condizioni di servizio, politiche di sicurezza, relazioni di audit di terze parti, o l’adesione a codici di condotta.

Non solo: le garanzie così presentate devono essere oggetto di valutazione da parte del titolare, tenendo conto di elementi quali conoscenze specialistiche, affidabilità, risorse disponibili e reputazione sul mercato del responsabile del trattamento.

Tanto le garanzie quanto la valutazione devono essere oggetto di rendicontazione in forza del principio di accountability, pertanto dunque l’assenza di capacità di comprovare tali adempimenti comporta una violazione del GDPR come nel caso oggetto di istruttoria.

Inoltre, un’ulteriore contestazione è stata mossa proprio sul punto di non avere verificato sia in fase di selezione che successivamente all’atto dell’attività di trattamento svolta la sussistenza di garanzie adeguate precisando così che l’obbligo di cui all’art. 28.1 è permanente e richiede pertanto una continua attività di controllo.

Attività da cui però devono derivare scelte coerenti quali la cessazione del rapporto con il responsabile nell’ipotesi in cui, come avvenuto, non c’è alcuna risposta a richieste di informazioni, restituzione dei dati, o adempimento alle istruzioni inviate da parte del titolare.

Da ultimo, è molto interessante ai fini della determinazione del quantum sanzionatorio il passaggio per cui “il fatto che l’azione dolosa del titolare (conoscenza e volontà di commettere la violazione) non sia stata provata non significa, in questo caso, che tale premessa non debba essere valutata come aggravante”.

Immagine del sitoStefano Gazzella
Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Immagine del sito
Altro che Marketing! Le VPN si vendono da sole ogni volta che un governo blocca i siti per adulti
Di Redazione RHC - 11/11/2025

Centinaia di milioni di utenti di smartphone hanno dovuto affrontare il blocco dei siti web pornografici e l’obbligo di verifica dell’età. Nel Regno Unito è in vigore la verifica obbligatoria de...

Immagine del sito
Sicurezza Wi-Fi: Evoluzione da WEP a WPA3 e Reti Autodifensive
Di Francesco Demarcus - 11/11/2025

Dalle fragilità del WEP ai progressi del WPA3, la sicurezza delle reti Wi-Fi ha compiuto un lungo percorso. Oggi, le reti autodifensive rappresentano la nuova frontiera: sistemi intelligenti capaci d...

Immagine del sito
Inside Out: perché la Tristezza è il tuo miglior firewall
Di Daniela Farina - 11/11/2025

Siamo ossessionati da firewall e crittografia. Investiamo miliardi in fortezze digitali, ma le statistiche sono inesorabili: la maggior parte degli attacchi cyber non inizia con un difetto nel codice,...

Immagine del sito
Alle Origini di UNIX: il Nastro dei Bell Labs ritrovato in uno scantinato dell’Università dello Utah
Di Redazione RHC - 10/11/2025

Un raro ritrovamento risalente ai primi giorni di Unix potrebbe riportare i ricercatori alle origini stesse del sistema operativo. Un nastro magnetico etichettato “UNIX Original From Bell Labs V4 (V...

Immagine del sito
21 anni di Firefox: una storia di innovazione e indipendenza
Di Redazione RHC - 10/11/2025

Il 9 novembre ha segnato il 21° anniversario di Firefox 1.0. Nel 2004, è stata la prima versione stabile del nuovo browser di Mozilla, che si è subito posizionato come un’alternativa semplice e s...