GPDP: per il calcolo della sanzione si tiene conto della gravità della violazione ma anche della posizione assunta dal titolare nella gestione della violazione.
-
- 25 Gennaio 2025
Un recente Provvedimento[1] dell’Autorità garante per la protezione dei dati personali (di seguito, “Garante”) permette di rilevare come il calcolo della sanzione, a fronte di accertate violazioni dei dati personali dell’interessato, tenga conto, in primis, della gravità della violazione ma anche della posizione assunta dal titolare del trattamento nella gestione della violazione stessa.[2]
Il caso
Una Azienda sanitaria ha dichiarato che la propria infrastruttura è stata oggetto di attacco informatico da parte di un gruppo che ha rilasciato un ransomware denominato “Ragnar Locker”.
Nello specifico è accaduto che l’infrastruttura informatica dell’Azienda ospedaliera ha visto molti dei pc della sua rete invasi da un messaggio che notificava un attacco hacker da parte di un gruppo denominato “Ragnar Locker”. Nel messaggio si legge che il contenuto esfiltrato dalle cartelle condivise sarebbe stato oggetto di vendita presso terze parti se entro tre gg. non ci fosse stato un contatto su canale TOR per istruzioni. Si precisa che l’attacco è stato limitato alla sola parte della infrastruttura dell’Ospedale che contiene dati condivisi dagli utenti, ovvero i file condivisi tramite file server. Non sono stati attaccati gli applicativi sanitari installati presso il data center centrale aziendale. Non sono stati violati software o servizi all’utenza. Pertanto l’ospedale non ha subito disservizi o limitazioni nell’esercizio della sua funzione istituzionale”. Per quanto attiene al numero di interessati i cui dati sulla salute sono stati coinvolti dall’attacco, l’Azienda ha dichiarato che “il contenuto delle cartelle violate è in corso di valutazione in quanto sono state pubblicate sul canale TOR informazioni da parte del gruppo “Ragnar Locker”” e che gli interessati sono riconducibili alle macrocategorie dipendenti, consulenti e pazienti.
Attività ispettive condotte dal titolare.
Nel corso delle attività ispettive, l’Azienda ha dichiarato che “a seguito della segnalazione della presenza della ransom note da parte del servizio IT, è stato contattato il RPD e la direzione generale mediante una mail contenente informazioni circa il tipo violazione subita, il contenuto della ransom note (richiesta di riscatto dei dati pubblicati). In seguito è stata fatta la segnalazione tramite il servizio dedicato dello CSIRT (ACN) ed è stata sporta denuncia alla polizia postale. Sono state anche inviate diverse comunicazioni sia fra i direttori delle strutture coinvolte sia a tutto il personale. (…) A seguire è stata effettuata un’ulteriore fase di approfondimento (…); è stato verificato che l’attaccante non persisteva nella rete rimanendo collegato passivamente, la backdoor, infatti, è stata smantellata e non sono state rilevate ulteriori evidenze di persistenza”; che i “livelli di protezione (delle postazioni di lavoro) sono stati progressivamente innalzati” e che “è stato consolidato il backup dei dati e dei sistemi (caselle di posta, file server, gestionali, etc..) con strategia di tipo [OMISSIS]”. Per quanto concerne il file server coinvolto nella violazione dei dati personali l’Azienda ha dichiarato che “è in fase avanzata di dismissione ed è attualmente accessibile in sola lettura. Tale server è stato sostituito da una nuova infrastruttura di file sharing, con permessi e autorizzazioni correlati a ciascuna struttura di riferimento che dispone di cartella denominata con il codice del relativo centro responsabilità. Su tale cartella il direttore della struttura ha tutti i permessi (es. lettura, scrittura, condivisione, etc..) e gestisce le autorizzazioni dei propri collaboratori.
Per quanto concerne la portata della violazione con riferimento agli applicativi aziendali di ordine sanitario e amministrativo contabile, l’Azienda ha dichiarato che “gli applicativi aziendali non hanno avuto alcun impatto e non si sono verificati disservizi né interruzioni dell’erogazione delle prestazioni sanitarie a favore degli assistiti. Per gli utenti interni si è verificata una limitazione degli accessi a seguito della revisione delle policy di gestione delle utenze e dell’assegnazione dei privilegi agli amministratori che, al momento della violazione, non era differenziata. Ciò, sia per consuetudine che per semplificazione operativa, anche con riferimento ai fornitori degli applicativi e delle apparecchiature elettromedicali che effettuano la manutenzione delle stesse. La violazione ha, pertanto, riguardato solo il profilo della riservatezza” e ha inteso precisare che “il gruppo hacker Ragnar Locker, autore dell’attacco, è stato smantellato, come da notizie di cronaca” (v. verbale del XX, pag. XX). Sempre nel corso delle attività ispettive, l’Azienda ha dichiarato che “non è stato possibile stimare il numero approssimativo degli interessati coinvolti dalla violazione, in quanto ogni struttura aveva una cartella condivisa sul citato file server utilizzato sia per l’attività di gestione dei reparti ma anche per la conservazione di documenti sanitari.
Il piano di remediation
Il piano di remediation posto in essere dal titolare si è incentrato sui seguenti tre pilastri concettuali:
• segmentazione a livello capillare, con una rete logica per ogni armadio di piano, una VLAN per i dispostivi elettromedicali differenziata per specialità d’uso (una per i biomedicali di radiologia, una per i medicali di laboratorio, una per le workstation di radiologia, una per i medicali generici) e VLAN dedicate per servizi che in qualche modo potessero mettere a rischio la sicurezza aziendale attraverso uscite dirette su internet, tipicamente per servizi di assistenza da remoto o per implementare monitoraggi su piattaforme in cloud.
• Messa in sicurezza della comunicazione tra una VLAN e l’altra, attraverso adeguati filtri ACL (Access Control List) per limitare il traffico. L’infrastruttura aziendale permette di usare un’ACL uguale ad ogni VLAN in modo da aumentare le performance. Importantissimo è stato vietare il traffico RDP (Remote Desktop Protocol) verso i server centrali, ad esclusione di quelli autorizzati (ad esempio i terminal server).
• Implementazione di un sistema di gestione automatica delle VLAN, attraverso l’implementazione, [OMISSIS], in modo da autorizzare all’accesso alla rete aziendale solo macchine autorizzate. Con questo meccanismo è possibile isolare quelle non autorizzate e attivare politiche di blocco verso quelle porte di rete risultate compromesse da un MAC address non autorizzato”; – “tale pianificazione (…) è in fase di implementazione”; – in relazione alla procedura di autenticazione informatica, “la proliferazione del numero di VPN abilitate nel biennio di gestione della pandemia da COVID-19 (attivazione postazioni in smart working), ha sicuramente peggiorato la postura di sicurezza dell’infrastruttura di rete. Ciò detto, è indubbio che, al momento dell’attacco, le VPN attive non avessero l’autenticazione a due fattori.
In ogni caso, il Garante ha evidenziato l’immediata responsività dell’infrastruttura subito dopo la notifica di attacco, implementando già entro la prima metà di gennaio il sistema MFA (Multi Factor Authentication), [OMISSIS]. Inoltre, è stata predisposta una pianificazione di riprogettazione delle VPN nella logica di:
• creare un vero e proprio LDAP server separato ed implementando ACL per ogni utente/ditta, in modo che l’accesso sia governato dal principio Role Based Access.
In aggiunta a tutto ciò, si è provveduto a porre in essere le restanti azioni:
• Implementare una serie di accessi tramite terminal server ai principali servizi applicativi web dell’ospedale, gestiti dal sistema bilanciatore;
• Avviare attività formative e informative all’utenza, in modo da rendere sensibili gli utenti sulla rilevanza che non tutti i servizi erogati in rete locale possano essere raggiungibili al di fuori della rete aziendale”.
La decisione del Garante
La violazione degli artt. 5, par. 1, lett. f)[3] e 32[4] del Regolamento, causata dalla condotta posta in essere dall’Azienda, comporta l’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5[5] del Regolamento.
Il Garante, ai sensi dell’art. 58, par. 2, lett. i)[6] del Regolamento e dell’art. 166 del Codice[7], ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle (altre) misure (correttive) di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso”, mediante l’adozione di una ordinanza ingiunzione (art. 18 legge 24 novembre 1981, n. 689), in relazione al trattamento dei dati personali effettuato dall’Azienda, di cui è stata accertata l’illiceità, nei termini sopra esposti.
Ritenuto di dover applicare il par. 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.
Alla luce di quanto sopra illustrato e, in particolare, della categoria di dati personali interessata dalla violazione, che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, si ritiene che il livello di gravità della violazione commessa dalla Azienda sia alto[8] nonostante il carattere non intenzionale della violazione (l’episodio risulta essere stato determinato da un comportamento doloso da parte di un soggetto terzo, denunciato formalmente alla polizia postale).
Ciò premesso, sono valutati nel loro complesso taluni elementi e, in particolare, che:
– il Garante ha preso conoscenza dell’evento a seguito della notifica di violazione effettuata dall’Azienda, ai sensi dell’art. 33 del Regolamento e non sono pervenuti reclami o segnalazioni in ordine alla violazione oggetto del presente provvedimento (art. 83, par. 2, lett. h) e k) del Regolamento);
– il titolare, al fine di evitare la ripetizione dell’evento occorso:
- si è impegnato nell’introduzione di misure volte a ridurre la replicabilità dell’evento occorso;
- ha cooperato con l’Autorità in ogni fase dell’istruttoria, ivi compresa quella ispettiva, al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi (art. 83, par. 2, lett. c) e f) del Regolamento);
– la gestione dell’emergenza pandemica ha reso necessario il forte coinvolgimento del settore informatico, con il conseguente significativo rallentamento dei processi di adeguamento dei sistemi (art. 83, par. 2, lett. k) del Regolamento).
Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di determinare l’ammontare della sanzione pecuniaria nella misura di euro 25.000,00 (venticinquemila/00) per la violazione degli artt. 5 e 32 del medesimo Regolamento, in ragione dei principi di effettività, proporzionalità e dissuasività ai quali l’Autorità deve attenersi, ai sensi dell’art. 83, par. 1, del Regolamento. In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante. Ciò, in considerazione della tipologia di dati personali oggetto di illecito trattamento e del numero di interessati coinvolti.
Conclusioni.
La lettura del Provvedimento appena commentato ci permette di trarre una serie di considerazioni utili qualora il titolare del trattamento debba comunicare al Garante una violazione dei dati.
La gravità della violazione verificatasi, che nel caso concreto si è sommata alla mancanza di misure di sicurezza basiche come la autenticazione multifattore oltre che alla segregazione delle reti, ha un aspetto determinante nel calcolo della sanzione che verrà irrogata; ma la stessa potrà essere soggetta ad una sorta di calmiere al verificarsi di una serie di ipotesi tali da rappresentare, concretamente, l’impegno del titolare sia nella gestione immediata della violazione[9], unita alla piena collaborazione con il Garante, che nelle attività di remediation da lui “messe a terra” per ridurre i danni.
[1] Cfr. Provvedimento del 17 ottobre 2024 [doc. web n. 10086523] Registro dei provvedimenti n. 621 del 17 ottobre 2024
[2] Articolo 34 Comunicazione di una violazione dei dati personali all’interessato (C86-C88)
1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.
2. La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d).
3. Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.
[3] Articolo 5 Principi applicabili al trattamento di dati personali
1. I dati personali sono: (C39)
f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
[4] Articolo 32 Sicurezza del trattamento (C83)
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
[5] Articolo 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie (C148, C150-C152)
4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4;
5. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:
a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
b) i diritti degli interessati a norma degli articoli da 12 a 22;
c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;
d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.
[6] Art. 58 Poteri (C122, C129)
2. Ogni autorità di controllo ha tutti i poteri correttivi seguenti:
i) infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso;
[7] Art. 166 Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.
(n.b. Nell’articolo sono riportate le correzioni apportate nell’errata corrige di cui al comunicato pubblicato sulla Gazzetta Ufficiale n. 21 del 12 settembre 2018. 64 Il comma reca la correzione riportata nell’avviso di rettifica pubblicato sulla Gazzetta Ufficiale n. 225 del 27 settembre 2018.)
1. Sono soggette alla sanzione amministrativa di cui all’articolo 83, paragrafo 4, del Regolamento le violazioni delle disposizioni di cui agli articoli 2-quinquies, comma 2, 92, comma 1, 93, comma 1, 123, comma 4, 128, 129, comma 2, e 132-ter. Alla medesima sanzione amministrativa e’ soggetto colui che non effettua la valutazione di impatto di cui all’articolo 110, comma 1, primo periodo, ovvero non sottopone il programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del predetto comma
2. Sono soggette alla sanzione amministrativa di cui all’articolo 83, paragrafo 5, del Regolamento le violazioni delle disposizioni di cui agli articoli 2-ter, 2-quinquies, comma 1, 2-sexies, 2-septies, comma 8, 2-octies, 2-terdecies, commi 1, 2, 3 e 4, 52, commi 4 e 5, 75, 78, 79, 80, 82, 92, comma 2, 93, commi 2 e 3, 96, 99, 100, commi 1, 2 e 4, 101, 105 commi 1, 2 e 4, 110-bis, commi 2 e 3, 111, 111-bis, 116, comma 1, 120, comma 2, 122, 123, commi 1, 2, 3 e 5, 124, 125, 126, 130, commi da 1 a 5, 131, 132, 132-bis, comma 2, 132-quater, 157, nonche’ delle misure di garanzia, delle regole deontologiche di cui rispettivamente agli articoli 2-septies e 2-quater.64
3. Il Garante e’ l’organo competente ad adottare i provvedimenti correttivi di cui all’articolo 58, paragrafo 2, del Regolamento, nonche’ ad irrogare le sanzioni di cui all’articolo 83 del medesimo Regolamento e di cui ai commi 1 e 2.
4. Il procedimento per l’adozione dei provvedimenti e delle sanzioni indicati al comma 3 puo’ essere avviato, nei confronti sia di soggetti privati, sia di autorita’ pubbliche ed organismi pubblici, a seguito di reclamo ai sensi dell’articolo 77 del Regolamento o di attivita’ istruttoria d’iniziativa del Garante, nell’ambito dell’esercizio dei poteri d’indagine di cui all’articolo 58, paragrafo 1, del Regolamento, nonche’ in relazione ad accessi, ispezioni e verifiche svolte in base a poteri di accertamento autonomi, ovvero delegati dal Garante.
5. L’Ufficio del Garante, quando ritiene che gli elementi acquisiti nel corso delle attivita’ di cui al comma 4 configurino una o piu’ violazioni indicate nel presente titolo e nell’articolo 83, paragrafi 4, 5 e 6, del Regolamento, avvia il procedimento per l’adozione dei provvedimenti e delle sanzioni di cui al comma 3 notificando al titolare o al responsabile del trattamento le presunte violazioni, nel rispetto delle garanzie previste dal Regolamento di cui al comma 9, salvo che la previa notifica della contestazione non risulti incompatibile con la natura e le finalita’ del provvedimento da adottare. Nei confronti dei titolari del trattamento di cui agli articoli 2-ter, comma 1-bis, e 58 del presente codice e all’articolo 1, comma 1, del decreto legislativo 18 maggio 2018, n. 51, la predetta notifica puo’ essere omessa esclusivamente nel caso in cui il Garante abbia accertato che le presunte violazioni hanno gia’ arrecato e continuano ad arrecare un effettivo, concreto, attuale e rilevante pregiudizio ai soggetti interessati al trattamento, che il Garante ha l’obbligo di individuare e indicare nel provvedimento, motivando puntualmente le ragioni dell’omessa notifica. In assenza di tali presupposti, il giudice competente accerta l’inefficacia del provvedimento.
6. Entro trenta giorni dal ricevimento della comunicazione di cui al comma 5, il contravventore puo’ inviare al Garante scritti difensivi o documenti e puo’ chiedere di essere sentito dalla medesima autorità.
7. Nell’adozione dei provvedimenti sanzionatori nei casi di cui al comma 3 si osservano, in quanto applicabili, gli articoli da 1 a 9, da 18 a 22 e da 24 a 28 della legge 24 novembre 1981, n. 689; nei medesimi casi puo’ essere applicata la sanzione amministrativa accessoria della pubblicazione dell’ordinanza-ingiunzione, per intero o per estratto, sul sito internet del Garante o della ingiunzione a realizzare campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravità della violazione. Nella determinazione della sanzione ai sensi dell’articolo 83, paragrafo 2, del Regolamento, il Garante tiene conto anche di eventuali campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, realizzate dal trasgressore anteriormente alla commissione della violazione. I proventi delle sanzioni, nella misura del cinquanta per cento del totale annuo, sono riassegnati al fondo di cui all’articolo 156, comma 8, per essere destinati alle specifiche attivita’ di sensibilizzazione e di ispezione nonche’ di attuazione del Regolamento svolte dal Garante.
8. Entro il termine di cui all’articolo 10, comma 3, del decreto legislativo n. 150 del 2011 previsto per la proposizione del ricorso, il trasgressore e gli obbligati in solido possono definire la controversia adeguandosi alle prescrizioni del Garante, ove impartite, e mediante il pagamento di un importo pari alla metà della sanzione irrogata.
9. Nel rispetto dell’articolo 58, paragrafo 4, del Regolamento, con proprio regolamento pubblicato nella Gazzetta Ufficiale della Repubblica italiana, il Garante definisce le modalita’ del procedimento per l’adozione dei provvedimenti e delle sanzioni di cui al comma 3 ed i relativi termini, in conformita’ ai principi della piena conoscenza degli atti istruttori, del contraddittorio, della verbalizzazione, nonche’ della distinzione tra funzioni istruttorie e funzioni decisorie rispetto all’irrogazione della sanzione.
10. Le disposizioni relative a sanzioni amministrative previste dal presente codice e dall’articolo 83 del Regolamento non si applicano in relazione ai trattamenti svolti in ambito giudiziario.
[8] cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60.
[9] Articolo 34 Comunicazione di una violazione dei dati personali all’interessato (C86-C88)
1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.
2. La comunicazione all’interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d).
3. Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all’interessato la violazione dei dati personali, l’autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.
