Garante Privacy: il “guasto informatico” non scusa la mancata risposta all’interessato

Quando si manca nella gestione di una richiesta di accesso ai propri dati personali da parte di un interessato, invocare un “guasto informatico” è una scusante che giustifica in modo analogo a quella del cane che ha mangiato i compiti.

Questo è quello che, volendo essere prosaici, emerge dal provv. n. 277 del 29 aprile 2025 del Garante Privacy che ha avuto inizio con una richiesta e un reclamo da parte dell’interessato e si è concluso con la constatazione della violazione degli artt. 12 e 15 GDPR e l’applicazione di una sanzione pecuniaria di 2000 euro. Certo, il riscontro alla fine è arrivato all’interessato ma dopo l’invito ad aderire alla richiest da parte del Garante.

Stando alle difese presentate dal titolare del trattamento, il mancato riscontro è stato ricondotto ad un guasto informatico che ha impedito la visualizzazione in tempo reale della richiesta, e che soltanto “un successivo lavoro di ricostruzione e recupero di dati informatici ha consentito il recupero della richiesta” determinando così anche un’impossibilità di fatto. Stando a quanto rappresentato, la causa del disservizio è stata determinata da un’avaria del disco fisso in uso dall’operatore addetto alla ricezione delle PEC, il quale non ha provveduto a scaricarle dopo la conclusione dell’intervento di ripristino.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La tesi difensiva secondo cui il ritardo è stato incolpevole e derivante da un’impossibilità sopravvenuta per effetto di un evento imprevedibile, non è però stata sufficiente a superare le contestazioni del Garante.

L’art. 12 par. 2 GDPR prevede infatti che:

Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.

Questo significa di conseguenza che l’organizzazione deve essere in grado di riscontrare entro un mese ogni richiesta di esercizio dei diritti predisponendo misure tecniche e organizzative adeguate. Altrimenti, non sta garantendo il rispetto del GDPR come prescritto dal principio di accountability.

La conclusione del procedimento

Il Garante ha confermato la condotta negligente del titolare nella vicenda per non aver saputo gestire la propria capacità di riscontrare le richieste degli interessati. Questo perché il fatto sopravvenuto, ovverosia il guasto tecnico, non è stato sufficiente per escludere la colpevolezza. In concreto, infatti, l’accaduto sarebbe stato superabile applicando un’ordinaria diligenza che è venuta a mancare da parte dell’operatore dipendente che avrebbe ben potuto scaricare da webmail le PEC così da riscontare tempestivamente l’istanza di esercizio dei diritti. Né è stata rilevata alcuna istruzione indirizzata all’operatore in tal senso.

Dal momento che il titolare del trattamento ha l’obbligo di coordinare le misure organizzative e tecniche in modo tale da garantire il rispetto della norma, risponde anche per gli errori non scusabili commessi dai propri operatori. A meno che, ovviamente, non possa dimostrare invece che ci sia stato un errore scusabile che neanche l’applicazione di un’ordinaria diligenza avrebbe potuto evitare.

Motivo per cui, è stata confermata la violazione degli artt. 12 e 15 GDPR, valutando un livello di gravità medio in quanto il tardivo riscontro, successivo all’invito dell’Authority di aderire alla richiesta del reclamante, “per ragioni determinate da una condotta negligente imputabile al titolare medesimo“.

Sono stati valutati positivamente, e quindi come fattori attenuanti della responsabilità, gli interventi posti in essere da parte del titolare per reagire alla criticità emersa, sia di natura tecnica che organizzativa. Infatti, è stato installato un sistema client operante direttamente su webmail così da evitare il ripetersi dell’accaduto e inoltre il dipendente è stato ammonito per non aver scaricato le PEC dopo il ripristino della postazione, nonché è stato svolto un intervento di sensibilizzazione esteso a tutto il personale su sicurezza e osservanza della normativa in materia di protezione dei dati personali.

La lezione da apprendere.

Quale lezione è possibile apprendere, dunque? A parte la più evidente di non poter contare più di tanto di invocare un guasto informatico come scusa, ci sono due insegnamenti importanti.

Il primo è che un approccio reattivo a fronte di una contestazione di violazione è ben valutato da parte del Garante Privacy, soprattutto se si è in grado di porre in essere gli interventi per evitare il ripetersi di situazioni analoghe con interventi effettivi.

Il secondo è l’importanza di mettere alla prova le procedure adottate, soprattutto quelle di gestione delle richieste degli interessati, così da individuarne punti deboli e possibili fallimenti. E prevedere che queste debbano comunque continuare a funzionare nonostante qualsiasi imprevisto, inserendo i correttivi del caso (ad esempio istruzioni specifiche).

In modo tale da non doversi preoccupare dopo se (o sperare che) ci possa essere una causa di esclusione della responsabilità.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Aree di competenza: Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme

Visita il sito web dell'autore