In riferimento agli articoli usciti sulla stampa relativi al provvedimento del Garante per la protezione dei dati personali, si segnala che la ricostruzione proposta è parziale e incompleta, non avendo tenuto conto dell’intera portata del provvedimento dell’Autorità, che ha adottato un semplice ammonimento – e non una sanzione – e si precisa quanto segue, riportando integralmente le conclusioni del provvedimento:
- la violazione è stata determinata da un comportamento doloso da parte di un soggetto terzo, denunciato formalmente alle autorità competenti;
- il Garante ha preso conoscenza dell’evento a seguito della notifica di violazione effettuata dall’Azienda, ai sensi dell’art. 33 del Regolamento e da alcune istanze pervenute al Garante sull’accaduto;
- il titolare, al fine di evitare la ripetizione dell’evento occorso, si è impegnato nella realizzazione di misure, delle quali alcune pianificate in un tempo antecedente il verificarsi della violazione dei dati personali, volte a incrementare il livello di sicurezza dei trattamenti svolti e, quindi, a ridurre la replicabilità dell’evento occorso e ad attenuare il danno subito dagli interessati;
- il titolare ha cooperato con l’Autorità ben oltre l’obbligo previsto dall’art. 31 del Regolamento in ogni fase dell’istruttoria, ivi compresa quella ispettiva, al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
- l’Azienda non è stata destinataria di un precedente provvedimento sanzionatorio in relazione a violazioni pertinenti;
- la gestione dell’emergenza pandemica ha comportato modifiche all’assetto infrastrutturale dell’Azienda per consentire lo smart working dei dipendenti e l’interruzione delle attività inerenti i servizi di vulnerability assessment e volti alla segmentazione delle reti ma non ha, comunque, impedito i forti investimenti in sicurezza informatica nonostante le criticità di bilancio intervenute dal 2020 a seguito della predetta emergenza pandemica.
Comunicato stampa
