NEWS

 
  • Home
  • Informazione
  • Primo Piano
  • La conformità alle Linee Guida di AgID non esonera dalla valutazione sulla necessità di ulteriori misure di sicurezza

La conformità alle Linee Guida di AgID non esonera dalla valutazione sulla necessità di ulteriori misure di sicurezza

Con provvedimento del 29 aprile 2025 il Garante Privacy ha sanzionato l’Ordine degli Psicologi della Regione Lombardia per non aver adottato le misure necessarie a protezione dei dati personali, in violazione degli artt. 5, par. 1, lett. f), e 32, par. 1., del Regolamento UE 2016/679 (GDPR).

L’attacco ransomware - Il caso trae origine da un grave attacco ransomware, subito dall’Ordine degli Psicologi della Regione Milano nell’ottobre del 2023, attribuito all’Associazione criminale NoEscape.

Quest’ultima, a seguito di un accesso abusivo alla rete informatica dell’Ordine, la cifratura dei dati e la successiva cancellazione dei backup (che, tuttavia, sono stati successivamente recuperati), aveva minacciato la pubblicazione di 7GB di dati e, a seguito del mancato pagamento del riscatto, aveva pubblicato i dati esfiltrati sul dark web.

Violazione dei dati - I dati compromessi – circa 15.000 registrazioni relative a 3.000 persone – includevano informazioni anagrafiche, di contatto, di pagamento, dati sanitari, dati relativi a condanne penali e reati, e coperti dal segreto professionale. I numerosi interessati a cui i dati si riferiscono – tra cui soggetti vulnerabili come minori, pazienti, lavoratori – sono stati perciò esposti a particolari rischi di discriminazione, furto d’identità, frodi, rischi reputazionali e altri pregiudizi nella sfera economica e sociale.

Dall’istruttoria del Garante è emerso che l’Ordine non aveva effettuato una valutazione adeguata del rischio, omettendo di adottare le misure tecniche e organizzative idonee a garantire la sicurezza dei dati. Sono stati rilevati, già diversi giorni prima del suddetto attacco, numerosi tentativi di connessione RPD dall’esterno, dei quali l’Ordine ha preso contezza soltanto più di una settimana dopo, ritenendo inizialmente si trattasse di un mero malfunzionamento tecnico.

Provvedimento del Garante - Il Garante ha qualificato la condotta del titolare del trattamento come negligente, sottolineando come ’’l’asserita conformità alle misure indicate nelle Linee Guida di AgID non esaurisce l’obbligo del titolare del trattamento di adottare misure adeguate sulla base di una propria valutazione del rischio ’’: in altri termini, l’Ordine non doveva ritenersi esonerato, per il solo fatto di aver aderito al livello ‘’standard’’ previsto delle disposizioni AgID, ‘’dall’obbligo di effettuare una valutazione, in concreto, sull’appropriatezza delle misure adottate per garantire la sicurezza del trattamento’’.

In aggiunta, il Garante ha respinto anche le motivazioni addotte dall’Ordine per giustificare l’assenza di sistemi di alert automatici - i quali avrebbero identificato in tempo reale eventuali anomalie – con ragioni di contenimento di costi, sottolineando che ‘’allorquando il titolare del trattamento si risolva ad adottare misure tecniche ed organizzative meno costose, le stesse devono essere comunque altrettanto efficaci nel mitigare i rischi che insistono sui dati.’’

Alla luce di questi ed altri motivi, il Garante ha comminato all’Ordine una sanzione amministrativa pari ad euro 30.000, avendo valutato il livello di violazione come ‘’alto’’ e ‘’di particolare gravità’’, in ragione della natura dei dati coinvolti e delle categorie di interessati cui gli stessi si riferiscono.

Considerazioni - Il Garante ci aiuta a comprendere che l’Allegato B del Codice della Privacy, infatti, è stato abrogato e le Linee Guida AGiD non ne sono un surrogato.

L'art. 14-bis del C.A.D., al comma 2, lettera a), attribuisce all'AgID tra l'altro, l'emanazione di regole, standard e guide tecniche in materia di sicurezza informatica. Le misure minime sono un importante supporto metodologico, oltre che un mezzo attraverso il quale le Amministrazioni, soprattutto quelle più piccole e che hanno meno possibilità di avvalersi di professionalità specifiche, possono verificare autonomamente la propria situazione e avviare un percorso di monitoraggio e miglioramento, stabilendo una base comune di misure tecniche ed organizzative irrinunciabili.

Questa Guida, però, non deresponsabilizza il Titolare del trattamento dagli obblighi di cui all’articolo 24 GDPR, ovvero dal fare una valutazione in concreto, adottando misure tecniche ed organizzative per idonee allo specifico trattamento. Non si può delegare una prescrizione di misure l’analisi che invece dev’essere compiuta dal Titolare del Trattamento.

Note sull'Autore

Domenico Battaglia Domenico Battaglia

Avvocato del foro di Bolzano, socio membro Federprivacy e Delegato per la provincia di Bolzano. Membro dei gruppi di lavoro per la tutela della privacy nella gestione del personale, cybersecurity e studi professionali di Federprivacy. Docente a contratto presso l'Università di Padova. Data Protection Officer del Consiglio dell'Ordine degli Avvocati di Bolzano. - Email: battaglia@dedconsulting.org

Articoli correlati

Prev Se c'è un fondato sospetto, non violano la privacy le video riprese effettuate per documentare il comportamento disonesto del lavoratore
Next Il rispetto delle norme sulla privacy vale anche per i sistemi di accesso ai varchi della ZTL che rilevano le targhe delle auto

Galleria Video

Vademecum per prenotare online le vacanze senza brutte sorprese

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza