Se le violazioni della sicurezza dipendono da scelte del fornitore esterno è a lui che vanno applicate le sanzioni previste dal GDPR

A cura dell’Ufficio Stampa
uff.stampa@confartigianatofc.it

LA NEWSLETTER DI CONFARTIGIANATO FEDERIMPRESA CESENA DEDICATA ALLA PRIVACY, uno strumento facile e veloce per rimanere sempre aggiornati in tema di privacy.

Il fornitore di servizi informatici responsabile in proprio in caso di data breach: se le violazioni alla sicurezza dipendono da scelte del fornitore esterno, a quest'ultimo, infatti, vanno applicate le sanzioni previste dal Gdpr. 

È quanto deciso dal Garante della privacy con l’ingiunzione dell’11/04/2024 nr. 198, con la quale è stata irrogata una sanzione pecuniaria di 25 mila euro a una azienda speciale fornitrice di servizi IT a una camera di commercio. Nel caso specifico a causa di un errore umano, il personale dell’azienda non ha cancellato un file con dati di oltre 22 mila utenti, che è stato carpito dagli hacker.

Da un punto di vista dei ruoli privacy, l’azienda ha ricoperto quello di responsabile esterno del trattamento dei dati, cioè di ente che tratta dati personali per conto del titolare del trattamento (in questo caso la camera di commercio).

Peraltro, la funzione di responsabile esterno del trattamento, in quanto tale assoggettato a istruzioni e controlli da parte del committente, non ne attenua di per sé la responsabilità amministrativa per violazioni del Gdpr. Nell’ingiunzione il Garante ha agganciato la sanzione applicata al fornitore esterno al fatto che le violazioni commesse sono state causate da scelte effettuate proprio da quest’ultimo nell’ambito della sfera di discrezionalità allo stesso riconosciuta su aspetti di dettaglio concernenti le misure tecniche e organizzative. Tale circostanza può dunque avere l’effetto di concentrare la sanzione solo in capo ai fornitori esterni, con reciproca salvezza dei committenti.

La disciplina della responsabilità privacy, comunque, non è lineare se si considera che in altre occasioni il Garante, sempre in ipotesi di data breach, ha applicato sanzioni sia al fornitore esterno di un servizio IT sia al committente (cui si è contestata la mancata vigilanza sull’operato del primo). Peraltro, anche nei casi di responsabilità spalmata su committente e fornitore, quest’ultimo non ha di che gioire, considerato che in alcuni casi il Garante ha irrogato la sanzione più elevata proprio al fornitore dei servizi (ingiunzioni n. 194 e 196 del 21/3/2024).

Fonte: Italia Oggi – di Antonio Ciccia Messina