Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Fare ricorso ad un responsabile senza accordo scritto e verifica di adeguatezza costa una sanzione al Centro Culturale di Sułkowice

Stefano Gazzella : 26 Dicembre 2022 09:00

L’autorità di controllo polacca UODO ha sanzionato il Centro Culturale di Sułkowice in seguito ad un evento di violazione dei dati personali per indisponibilità dei dati affidati ad un responsabile del trattamento e alla conseguente istruttoria da cui è stata rilevata la carenza di un accordo scritto per regolare i rapporti fra titolare e responsabile del trattamento.

La violazione dell’art. 28.9 GDPR non è però stata l’unica bensì la principale da cui ne sono derivate ulteriori. Di conseguenza, la decisione può offrire degli spunti affrontando alcune declinazioni operative richieste per adempiere tanto all’art. 28 GDPR che alle Linee guida 07/2020 EDPB nel momento in cui si affida un’attività di trattamento di dati personali in outsourcing.

Innanzitutto, viene ribadito che il ruolo soggettivo di titolare o responsabile del trattamento è un fatto da cui derivano dei precisi obblighi stabiliti dal GDPR. Dal momento che sono concetti funzionali, il motivo per cui viene instaurata una collaborazione pur informale è dunque irrilevante. La selezione del responsabile del trattamento deve poi avvenire unicamente fra soggetti

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate

    per il rispetto del GDPR, anche in merito alla sicurezza e alla tutela dei diritti degli interessati (art. 28.1 GDPR). Garanzie che devono essere comprovate mediante ricorso a evidenze documentali, quali ad esempio possono essere certificazioni, politiche applicate sui dati, condizioni di servizio, politiche di sicurezza, relazioni di audit di terze parti, o l’adesione a codici di condotta.

    Non solo: le garanzie così presentate devono essere oggetto di valutazione da parte del titolare, tenendo conto di elementi quali conoscenze specialistiche, affidabilità, risorse disponibili e reputazione sul mercato del responsabile del trattamento.

    Tanto le garanzie quanto la valutazione devono essere oggetto di rendicontazione in forza del principio di accountability, pertanto dunque l’assenza di capacità di comprovare tali adempimenti comporta una violazione del GDPR come nel caso oggetto di istruttoria.

    Inoltre, un’ulteriore contestazione è stata mossa proprio sul punto di non avere verificato sia in fase di selezione che successivamente all’atto dell’attività di trattamento svolta la sussistenza di garanzie adeguate precisando così che l’obbligo di cui all’art. 28.1 è permanente e richiede pertanto una continua attività di controllo.

    Attività da cui però devono derivare scelte coerenti quali la cessazione del rapporto con il responsabile nell’ipotesi in cui, come avvenuto, non c’è alcuna risposta a richieste di informazioni, restituzione dei dati, o adempimento alle istruzioni inviate da parte del titolare.

    Da ultimo, è molto interessante ai fini della determinazione del quantum sanzionatorio il passaggio per cui “il fatto che l’azione dolosa del titolare (conoscenza e volontà di commettere la violazione) non sia stata provata non significa, in questo caso, che tale premessa non debba essere valutata come aggravante”.

    Stefano Gazzella
    Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    Hai cambiato la password? Tranquillo, RDP se ne frega! La Scoperta Shock su Windows

    Microsoft ha confermato che il protocollo RDP (Remote Desktop Protocol) consente l’accesso ai sistemi Windows anche utilizzando password già modificate o revocate. L’azienda ha chia...

    Attenti italiani! Una Finta Multa da pagare tramite PagoPA vuole svuotarti il conto

    Una nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente d...

    Italia sarai pronta al Blackout Digitale? Dopo La Spagna l’attacco informatico alla NS Power

    Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...

    Sicurezza è Lavoro: dal cantiere al cloud, dobbiamo proteggere chi costruisce l’Italia!

    1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...

    Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

    Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...