Stefano Gazzella : 28 Agosto 2025 08:59
Quando si manca nella gestione di una richiesta di accesso ai propri dati personali da parte di un interessato, invocare un “guasto informatico” è una scusante che giustifica in modo analogo a quella del cane che ha mangiato i compiti.
Questo è quello che, volendo essere prosaici, emerge dal provv. n. 277 del 29 aprile 2025 del Garante Privacy che ha avuto inizio con una richiesta e un reclamo da parte dell’interessato e si è concluso con la constatazione della violazione degli artt. 12 e 15 GDPR e l’applicazione di una sanzione pecuniaria di 2000 euro. Certo, il riscontro alla fine è arrivato all’interessato ma dopo l’invito ad aderire alla richiest da parte del Garante.
Stando alle difese presentate dal titolare del trattamento, il mancato riscontro è stato ricondotto ad un guasto informatico che ha impedito la visualizzazione in tempo reale della richiesta, e che soltanto “un successivo lavoro di ricostruzione e recupero di dati informatici ha consentito il recupero della richiesta” determinando così anche un’impossibilità di fatto. Stando a quanto rappresentato, la causa del disservizio è stata determinata da un’avaria del disco fisso in uso dall’operatore addetto alla ricezione delle PEC, il quale non ha provveduto a scaricarle dopo la conclusione dell’intervento di ripristino.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
La tesi difensiva secondo cui il ritardo è stato incolpevole e derivante da un’impossibilità sopravvenuta per effetto di un evento imprevedibile, non è però stata sufficiente a superare le contestazioni del Garante.
L’art. 12 par. 2 GDPR prevede infatti che:
Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.
Questo significa di conseguenza che l’organizzazione deve essere in grado di riscontrare entro un mese ogni richiesta di esercizio dei diritti predisponendo misure tecniche e organizzative adeguate. Altrimenti, non sta garantendo il rispetto del GDPR come prescritto dal principio di accountability.
Il Garante ha confermato la condotta negligente del titolare nella vicenda per non aver saputo gestire la propria capacità di riscontrare le richieste degli interessati. Questo perché il fatto sopravvenuto, ovverosia il guasto tecnico, non è stato sufficiente per escludere la colpevolezza. In concreto, infatti, l’accaduto sarebbe stato superabile applicando un’ordinaria diligenza che è venuta a mancare da parte dell’operatore dipendente che avrebbe ben potuto scaricare da webmail le PEC così da riscontare tempestivamente l’istanza di esercizio dei diritti. Né è stata rilevata alcuna istruzione indirizzata all’operatore in tal senso.
Dal momento che il titolare del trattamento ha l’obbligo di coordinare le misure organizzative e tecniche in modo tale da garantire il rispetto della norma, risponde anche per gli errori non scusabili commessi dai propri operatori. A meno che, ovviamente, non possa dimostrare invece che ci sia stato un errore scusabile che neanche l’applicazione di un’ordinaria diligenza avrebbe potuto evitare.
Motivo per cui, è stata confermata la violazione degli artt. 12 e 15 GDPR, valutando un livello di gravità medio in quanto il tardivo riscontro, successivo all’invito dell’Authority di aderire alla richiesta del reclamante, “per ragioni determinate da una condotta negligente imputabile al titolare medesimo“.
Sono stati valutati positivamente, e quindi come fattori attenuanti della responsabilità, gli interventi posti in essere da parte del titolare per reagire alla criticità emersa, sia di natura tecnica che organizzativa. Infatti, è stato installato un sistema client operante direttamente su webmail così da evitare il ripetersi dell’accaduto e inoltre il dipendente è stato ammonito per non aver scaricato le PEC dopo il ripristino della postazione, nonché è stato svolto un intervento di sensibilizzazione esteso a tutto il personale su sicurezza e osservanza della normativa in materia di protezione dei dati personali.
Quale lezione è possibile apprendere, dunque? A parte la più evidente di non poter contare più di tanto di invocare un guasto informatico come scusa, ci sono due insegnamenti importanti.
Il primo è che un approccio reattivo a fronte di una contestazione di violazione è ben valutato da parte del Garante Privacy, soprattutto se si è in grado di porre in essere gli interventi per evitare il ripetersi di situazioni analoghe con interventi effettivi.
Il secondo è l’importanza di mettere alla prova le procedure adottate, soprattutto quelle di gestione delle richieste degli interessati, così da individuarne punti deboli e possibili fallimenti. E prevedere che queste debbano comunque continuare a funzionare nonostante qualsiasi imprevisto, inserendo i correttivi del caso (ad esempio istruzioni specifiche).
In modo tale da non doversi preoccupare dopo se (o sperare che) ci possa essere una causa di esclusione della responsabilità.
Stefano GazzellaGrazie alla nostra community recentemente sono venuto a conoscenza di un tentativo di phishing contro PagoPA e ho deciso di fare due cose. Per prima cosa attivarmi in prima persona per arrecare un dan...
Un giovedì nero per milioni di utenti Microsoft Teams in tutto il mondo. Una funzionalità chiave della piattaforma di collaborazione – l’apertura dei documenti Office incorpora...
È stata intentata una causa contro OpenAI in California , sostenendo che ChatGPT abbia spinto un sedicenne al suicidio. I genitori di Adam Reid, deceduto l’11 aprile 2025, hanno affermato ...
La rete governativa del Nevada è rimasta paralizzata dopo un incidente avvenuto nelle prime ore del mattino del 24 agosto. L’attacco ha reso inoperativa l’infrastruttura IT dello St...
Una vulnerabilità critica nella versione desktop di Docker per Windows e macOS ha consentito la compromissione di un sistema host tramite l’esecuzione di un contenitore dannoso, anche se e...
