Stefano Gazzella : 28 Agosto 2025 08:59
Quando si manca nella gestione di una richiesta di accesso ai propri dati personali da parte di un interessato, invocare un “guasto informatico” è una scusante che giustifica in modo analogo a quella del cane che ha mangiato i compiti.
Questo è quello che, volendo essere prosaici, emerge dal provv. n. 277 del 29 aprile 2025 del Garante Privacy che ha avuto inizio con una richiesta e un reclamo da parte dell’interessato e si è concluso con la constatazione della violazione degli artt. 12 e 15 GDPR e l’applicazione di una sanzione pecuniaria di 2000 euro. Certo, il riscontro alla fine è arrivato all’interessato ma dopo l’invito ad aderire alla richiest da parte del Garante.
Stando alle difese presentate dal titolare del trattamento, il mancato riscontro è stato ricondotto ad un guasto informatico che ha impedito la visualizzazione in tempo reale della richiesta, e che soltanto “un successivo lavoro di ricostruzione e recupero di dati informatici ha consentito il recupero della richiesta” determinando così anche un’impossibilità di fatto. Stando a quanto rappresentato, la causa del disservizio è stata determinata da un’avaria del disco fisso in uso dall’operatore addetto alla ricezione delle PEC, il quale non ha provveduto a scaricarle dopo la conclusione dell’intervento di ripristino.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La tesi difensiva secondo cui il ritardo è stato incolpevole e derivante da un’impossibilità sopravvenuta per effetto di un evento imprevedibile, non è però stata sufficiente a superare le contestazioni del Garante.
L’art. 12 par. 2 GDPR prevede infatti che:
Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.
Questo significa di conseguenza che l’organizzazione deve essere in grado di riscontrare entro un mese ogni richiesta di esercizio dei diritti predisponendo misure tecniche e organizzative adeguate. Altrimenti, non sta garantendo il rispetto del GDPR come prescritto dal principio di accountability.
Il Garante ha confermato la condotta negligente del titolare nella vicenda per non aver saputo gestire la propria capacità di riscontrare le richieste degli interessati. Questo perché il fatto sopravvenuto, ovverosia il guasto tecnico, non è stato sufficiente per escludere la colpevolezza. In concreto, infatti, l’accaduto sarebbe stato superabile applicando un’ordinaria diligenza che è venuta a mancare da parte dell’operatore dipendente che avrebbe ben potuto scaricare da webmail le PEC così da riscontare tempestivamente l’istanza di esercizio dei diritti. Né è stata rilevata alcuna istruzione indirizzata all’operatore in tal senso.
Dal momento che il titolare del trattamento ha l’obbligo di coordinare le misure organizzative e tecniche in modo tale da garantire il rispetto della norma, risponde anche per gli errori non scusabili commessi dai propri operatori. A meno che, ovviamente, non possa dimostrare invece che ci sia stato un errore scusabile che neanche l’applicazione di un’ordinaria diligenza avrebbe potuto evitare.
Motivo per cui, è stata confermata la violazione degli artt. 12 e 15 GDPR, valutando un livello di gravità medio in quanto il tardivo riscontro, successivo all’invito dell’Authority di aderire alla richiesta del reclamante, “per ragioni determinate da una condotta negligente imputabile al titolare medesimo“.
Sono stati valutati positivamente, e quindi come fattori attenuanti della responsabilità, gli interventi posti in essere da parte del titolare per reagire alla criticità emersa, sia di natura tecnica che organizzativa. Infatti, è stato installato un sistema client operante direttamente su webmail così da evitare il ripetersi dell’accaduto e inoltre il dipendente è stato ammonito per non aver scaricato le PEC dopo il ripristino della postazione, nonché è stato svolto un intervento di sensibilizzazione esteso a tutto il personale su sicurezza e osservanza della normativa in materia di protezione dei dati personali.
Quale lezione è possibile apprendere, dunque? A parte la più evidente di non poter contare più di tanto di invocare un guasto informatico come scusa, ci sono due insegnamenti importanti.
Il primo è che un approccio reattivo a fronte di una contestazione di violazione è ben valutato da parte del Garante Privacy, soprattutto se si è in grado di porre in essere gli interventi per evitare il ripetersi di situazioni analoghe con interventi effettivi.
Il secondo è l’importanza di mettere alla prova le procedure adottate, soprattutto quelle di gestione delle richieste degli interessati, così da individuarne punti deboli e possibili fallimenti. E prevedere che queste debbano comunque continuare a funzionare nonostante qualsiasi imprevisto, inserendo i correttivi del caso (ad esempio istruzioni specifiche).
In modo tale da non doversi preoccupare dopo se (o sperare che) ci possa essere una causa di esclusione della responsabilità.
Stefano Gazzella18 novembre 2025 – Dopo ore di malfunzionamenti diffusi, l’incidente che ha colpito la rete globale di Cloudflare sembra finalmente vicino alla risoluzione. L’azienda ha comunicato di aver imple...
La mattinata del 18 novembre 2025 sarà ricordata come uno dei blackout più anomali e diffusi della rete Cloudflare degli ultimi mesi. La CDN – cuore pulsante di milioni di siti web, applicazioni e...
La stanza è la solita: luci tenui, sedie in cerchio, termos di tisane ormai diventate fredde da quanto tutti parlano e si sfogano. Siamo gli Shakerati Anonimi, un gruppo di persone che non avrebbe ma...
Un nuovo allarme sulla sicurezza nel mondo degli investimenti online viene portato all’attenzione da Paragon sec, azienda attiva nel settore della cybersecurity, che ha pubblicato su LinkedIn un pos...
Un’indagine su forum e piattaforme online specializzate ha rivelato l’esistenza di un fiorente mercato nero di account finanziari europei. Un’entità denominata “ASGARD”, sta pubblicizzando ...
