Il principio di accountability e le misure tecniche ed organizzative adeguate
Il principio di accountability, tradotto nell’italiano responsabilizzazione, si può forse considerare il principio dei principi, su cui si fonda l’intero impianto del Regolamento UE 2016/679 (REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, noto anche con l’acronimo anglofono GDPR (General Data Ptotection Regulation).
In base a tale principio, è rimessa al Titolare del trattamento la scelta e l’adozione di misure idonee a garantire il rispetto del Regolamento.
Il principio di accountability è espresso, anzitutto, all’articolo 5, paragrafo 1, lettera f) del Regolamento, articolo dedicato all’enunciazione dei principi generali della privacy, laddove si legge: [I dati personali sono] trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»). Ma lo si ritrova richiamato anche in molte altre disposizioni dell’articolato normativo, tra cui, di particolare rilievo, soprattutto per le conseguenze che derivano dalla loro applicazione, agli articoli 24, 25 e 32 del GDPR.
Per quanto rileva in questa sede, all’articolo 24, disposizione di apertura della Sezione dedicata agli obblighi generali del Titolare del trattamento e dei suoi collaboratori, si afferma che spetta al Titolare del trattamento il compito di attuare misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Anche una volta adottate, dette misure di sicurezza sono soggette a revisione e aggiornamento ogni volta che se ne presenti la necessità.
La sicurezza dei dati trattati
Il principio di accountability torna determinante al momento in cui il Titolare del trattamento si trova ad approntare un apparato organizzativo idoneo a garantire la sicurezza dei dati trattati.
Di nuovo, infatti, all’articolo 32, paragrafo 1, si afferma che spetta al Titolare del trattamento (e al Responsabile del trattamento, ove previsto) l’onere di attuare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Al paragrafo successivo del medesimo articolo segue un elenco, dichiaratamente non esaustivo, di misure astrattamente idonee a garantire adeguati livelli di sicurezza.
La valutazione dell’adeguatezza delle misure adottate
In entrambe le disposizioni citate, gli articoli 24 e 32 del Regolamento, si fa riferimento all’onere, gravante sul Titolare del trattamento, di dimostrare, ove richiesto, l’adeguatezza delle misure adottate a garantire la sicurezza e la protezione dei dati personali oggetto di trattamento.
La valutazione terrà conto dei medesimi criteri modulari enunciati nei due articoli:
- natura, oggetto, contesto e finalità del trattamento
- stato dell’arte e costi di attuazione
- rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Non esistono regole generali e preordinate per valutare l’adeguatezza delle misure adottate.
Il legislatore europeo, agli articoli 35 e 36 del Regolamento, ha previsto la valutazione di impatto, quale strumento di valutazione preventiva del grado di rischio, che, tuttavia, è obbligatoria soltanto qualora il trattamento che il Titolare intende porre in essere presenti un rischio elevato per i diritti e le libertà delle persone fisiche e in tre casistiche puntualmente elencate al paragrafo 3 dell’articolo 35: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Inoltre, non è più possibile consultare preventivamente il Garante per la protezione dei dati per avere una sorta di via libera, come prevedeva il D.lgs. 196/2003 (c.d, Codice Privacy) prima della sua armonizzazione alla nuova normativa europea introdotta dal GDPR.
Il Data Breach e gli obblighi del Titolare del trattamento
Viene comunemente definita Data Breach la violazione dei dati personali che presenta un rischio per i diritti e le libertà delle persone fisiche; per violazione deve intendersi la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, sia essa imputabile ad attività dolosamente illecita o meramente accidentale.
Non tutte le violazioni, quindi, si configurano come Data Breach, ma anche le violazioni di minor impatto meritano riflessione e perciò devono essere registrate a cura del Titolare del trattamento e valutate in fase di revisione e aggiornamento delle misure tecniche ed organizzative adottate.
Qualora, tuttavia, il Titolare del trattamento abbia subito un Data Breach, scatta a suo carico l’obbligo di notifica all’Autorità di controllo, senza ingiustificato ritardo e, comunque, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza.
Con la notifica, che può essere effettuata anche seguendo una procedura telematica messa a disposizione dal Garante Privacy nell’apposita sezione del proprio sito istituzionale, devono, quanto meno, essere indicati:
a) la descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) la comunicazione del nome e dei dati di contatto del responsabile della protezione dei dati (se nominato) o di altro punto di contatto presso cui ottenere più informazioni;
c) la descrizione delle probabili conseguenze della violazione dei dati personali;
d) la descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Questa prima comunicazione può anche essere successivamente integrata.
Inoltre, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, recita il successivo articolo 34, il Titolare del trattamento è tenuto a comunicare la violazione agli interessati senza ingiustificato ritardo, con mezzi adeguati a consentire, almeno in via teorica, l’effettivo raggiungimento di tutti i destinatari della comunicazione.
Qualora il Titolare del trattamento non vi provveda autonomamente e tuttavia ne sussistano i presupposti, l’Autorità di vigilanza può invitarlo a provvedervi.
L’istruttoria del Garante per la protezione dei dati personali
Una volta ricevuta la segnalazione della violazione, il Garante per la protezione dei dati personali avvia un’istruttoria che può alternativamente concludersi con l’archiviazione, ovvero, qualora siano emersi elementi tali da configurare una presunta violazione del Regolamento, con la notifica al Titolare del trattamento dell’avvio del procedimento per l’adozione dei provvedimenti correttivi di cui all’articolo 58, paragrafo 2, del Regolamento, comprendenti una ampia gamma di poteri attribuiti all’Autorità di controllo, tra cui anche quello di comminare sanzioni amministrative pecuniarie.
La valutazione del Garante si incentra, soprattutto, sull’adeguatezza delle misure tecniche ed organizzative adottate dal Titolare del trattamento a garantire la sicurezza e la protezione dei dati personali trattati.
Tale valutazione viene effettuata, di volta in volta, con riferimento al singolo caso oggetto di esame.
Per comprendere meglio i criteri e le modalità operative seguiti dal Garante, può essere utile fare riferimento ad un recente provvedimento sanzionatorio pubblicato sul sito istituzionale dell’Autorità di controllo, avente ad oggetto un Data Breach subito da un Ordine professionale lombardo (Provvedimento n. 271 del 29 aprile 2025 [doc. web n. 10134827]).
Nel provvedimento de quo al Titolare del trattamento il Garante ha contestato la violazione dell’articolo 5, paragrafo 1, lettera f) e dell’articolo 32 del GDPR.
La violazione regolarmente notificata al Garante dal Titolare del trattamento è stata rappresentata da un ransomware che ha sottratto dati personali relativi a 3.000 interessati, principalmente riguardanti procedimenti disciplinari e dati personali e documenti identificativi dei dipendenti e di alcuni fornitori.
Nel verificare la corretta applicazione dell’articolo 32 e, perciò, la concreta adeguatezza delle misure tecniche e organizzative adottate dall’Ordine a garantire la sicurezza dei dati trattati, tra i quali anche dati personali di soggetti appartenenti alle categorie più fragili (pazienti, minori, ecc.), dati particolari ai sensi dell’articolo 9 GDPR e dati giudiziari di cui all’articolo 10 GDPR, il Garante ha effettuato le seguenti interessanti considerazioni, che prendo avvio dall’assunto per cui nel valutare l’adeguatezza delle misure tecniche ed organizzative adottate dal Titolare del trattamento si deve tenere conto dei criteri elencati dal legislatore europeo all’articolo 32, paragrafo 1, e cioè:
– stato dell’arte e costi di attuazione
– natura, oggetto, contesto e finalità del trattamento
– rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche
1. quanto ai costi di attuazione, il Garante afferma che l’art. 32 del Regolamento menziona i “costi di attuazione” soltanto tra i fattori che il titolare del trattamento deve tenere in considerazione ai fini dell’individuazione delle misure tecniche e organizzative adeguate a fronteggiare i rischi che insistono sui dati oggetto di trattamento (cfr. art. 24 del Regolamento). Tale fattore “implica che il titolare non impieghi una quantità sproporzionata di risorse nel caso in cui esistano misure alternative, meno dispendiose, ma efficaci”, fermo restando che “il costo di attuazione rappresenta un fattore di cui tenere conto nel realizzare la protezione dei dati fin dalla progettazione, e non già un motivo per astenersi dal realizzarla” […]. I titolari devono essere in grado di gestire i costi complessivi per poter attuare efficacemente tutti i principi e, di conseguenza, tutelare i diritti […] Ne discende che, allorquando il titolare del trattamento si risolva ad adottare misure tecniche e organizzative meno costose, le stesse devono essere comunque altrettanto efficaci nel mitigare i rischi che insistono sui dati.
In altre parole, una volta individuato un potenziale rischio nascente dal trattamento e, quindi, stabilita la necessità dell’adozione di misure di sicurezza finalizzate al contrasto/mitigazione del medesimo, secondo l’enunciato dell’articolo 32, il Titolare del trattamento è libero di selezionare tra le possibili opzioni quella economicamente più conveniente, purché di pari efficacia, ma non è mai liberato dall’obbligo di protezione de dati.
2. quanto allo stato dell’arte, questo parametro obbliga il titolare del trattamento a tenersi continuamente aggiornato sulle più recenti tecnologie presenti sul mercato, con le quali dare attuazione o aggiornare i trattamenti, rispettivamente, programmati o già in esecuzione.
3. quanto a natura, oggetto, contesto e finalità del trattamento, il Titolare del trattamento deve tenere conto delle tipologie di dati trattati, se tra essi rientrino dati personali di soggetti fragili, quali minori, anziani, ecc., dati particolari di cui all’articolo 9 GDPR (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché relativi a dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona), o dati relativi a condanne penali e ai reati o a connesse misure di sicurezza, di cui all’articolo 10 GDPR.
A tale riguardo, si deve tenere anche presente che, al paragrafo 2 dell’articolo 32 in esame, il legislatore europeo afferma un altro importante principio: Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. La maggiore gravità del rischio che potrebbe derivare agli interessati in conseguenza di una violazione deve necessariamente indurre il Titolare del trattamento all’adozione di misure tecniche e organizzative più stringenti.
Infine, nel caso oggetto del provvedimento doc. web n. 10134827, l’Ordine titolare del trattamento, tra le varie difese, aveva sostenuto di essersi conformato alla normativa dell’AgID e per ciò solo riteneva di essere in regola. Di diverso avviso si è, al contrario, dimostrato il Garante, laddove ha configurato la normativa AgID quale normativa standard, suscettibile di essere superata con l’adozione di misure più stringenti, qualora la natura dei dati trattati e/o le caratteristiche degli interessati lo richiedano/impongano.
La chiusura dell’istruttoria e il provvedimento sanzionatorio
La fase istruttoria, che si può articolare, anche congiuntamente, in richiesta di documenti, deposito di memorie da parte della difesa del titolare del trattamento e richiesta di audizione da parte di quest’ultimo, si può concludere con l’archiviazione ovvero con uno dei provvedimenti nascenti dall’esercizio, da parte del Garante, dei poteri assegnatigli dal legislatore con l’articolo 58 GDPR.
Nel caso in cui il Garante ritenga opportuna la comminazione di sanzioni amministrative pecuniarie, ai sensi dell’articolo 83 del Regolamento, queste devono, anzitutto, essere rapportate al singolo caso, in modo da risultare effettive, proporzionate e dissuasive.
Al momento di stabilire l’importo della sanzione dovrà individuare e classificare la violazione commessa, poiché, a seconda della norma violata, il massimo edittale varia da 10 milioni e 20 milioni di euro, con possibilità di un ulteriore innalzamento fino, rispettivamente, al 2% o al 4% del fatturato mondiale annuo, in caso di impresa, per ottenere l’effettiva afflittività.
Devono, altresì, essere valutati i seguenti parametri, elencati all’articolo 83, paragrafo 2:
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del
trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
Ad esempio, tornando al nostro caso concreto, il Garante, tenuto conto:
– che la violazione, non imputabile senz’altro a dolo, in ragione delle categorie di interessati e delle categorie di dati trattati, si configura di particolare gravità,
– che la violazione è scaturita da un’unica condotta e che questa al momento della decisione ha già esaurito i suoi effetti,
– che la violazione non ha compromesso la disponibilità e l’integrità dei dati trattati, grazie al loro recupero tramite diversi backup,
– che il Titolare del trattamento ha implementato nuove misure di sicurezza per evitare simili eventi in futuro,
– che, valutando, da una parte, dell’attuale elevato livello di rischio cibernetico e, dall’altro, lo stato dell’arte nel settore della sicurezza informatica, la condotta dell’Ordine, che consiste nell’aver omesso di adottare le richiamate misure tecniche e organizzative a presidio dei dati, deve considerarsi negligente, fermo restando che l’esfiltrazione e la diffusione dei dati sono comunque imputabili a un comportamento doloso posto in essere da un’organizzazione criminale, mediante un ransomware diffusosi in tempi relativamente recenti,
– che l’Ordine professionale, ha dimostrato uno spirito collaborativo con la sua tempestività nella notificazione del Data Breach sia all’Autorità di controllo che a tutti gli interessati,
Il Garante ha ritenuto, e, di conseguenza, ha ritenuto congrua l’applicazione di una sanzione amministrativa pecuniaria di 30.000 euro.