GDPR: attacco informatico, anche il responsabile risponde dei data breach?

Nei giorni scorsi l’Autorità Garante (provv. n. 66 dell’8 febbraio 2024) ha sanzionato (800 mila euro) una società fornitrice di servizi IT (responsabile del trattamento) incaricata da un Istituto di credito per:

  • aver segnalato in ritardo (otto giorni) l’attacco informatico in corso alla banca;
  • affidato l’esecuzione delle attività di vulnerability assessment e penetration testing in subappalto ad un’altra società, senza l’autorizzazione preventiva del titolare del trattamento che invece aveva espressamente vietato l’affidamento a terze parti di tali attività.

Questa decisione rappresenta un’occasione importante per riepilogare gli step operativi di compliance GDPR da considerare:

👉 titolari del trattamento

  • sono tenuti a disciplinare puntualmente i rapporti con gli outsourcer che forniscono servizi informatici tramite l’atto di nomina quale “data processor” ai sensi dell’art. 28 del GDPR;
  • i data breach possono/devono essere notificati soltanto dai “data controller” nei termini previsti dall’art. 33 del GDPR.

👉 responsabili del trattamento

  • devono informare il titolare del trattamento senza ingiustificato ritardo dopo essere venuti a conoscenza della violazione dei dati;
  • possono avvalersi di subresponsabili solo dopo aver ottenuto la necessaria preventiva autorizzazione scritta, specifica o generale, da parte del titolare del trattamento.

Visualizza documento