Una recente sanzione evidenzia l’importanza per il Titolare del Trattamento di rispettare l’obbligo di verifica delle garanzie del Responsabile al trattamento esterno, presentate da quest’ultimo per provare il rispetto del GDPR.
Il motivo è semplice: se il Titolare avesse controllato meglio il proprio fornitore, non si sarebbe verificata la fuga di dati causata dalla negligenza di quest’ultimo.
Ecco cos’è successo.
Sanzionato dal Garante per non aver verificato le garanzie di un Responsabile: il caso
Una Casa di Cura lombarda (Titolare del trattamento Dati) si è avvalsa del prodotto di una Software House (Responsabile del Trattamento) per la gestione di alcuni dati dei pazienti (immagini medicali).
Tale piattaforma era stata ritenuta idonea a seguito della rassicurazione da parte della Software House sul fatto che fosse “pienamente compliance al GDPR“.
Peccato che in realtà non lo fosse.
La piattaforma infatti, come dichiarato dal Garante, non presentava le misure tecniche ed organizzative necessarie per garantire un livello di sicurezza appropriato.
Nello specifico, il software non rispettava i protocolli di rete sicuri (https) e non presentava password policy adeguate.
Queste debolezze sono state sfruttate dal gruppo hacker LulzSec che, dopo aver violato la piattaforma gestita dalla Casa di Cura, ha deciso di pubblicare sul proprio account Twitter alcune delle immagini radiologiche trafugate, criticando il basso livello di sicurezza adoperato.
Da qui la necessità di un intervento del Garante.
Le multe del Garante al Responsabile esterno e al Titolare del Trattamento
A seguito di accertamenti, il Garante ha dichiarato che entrambe le realtà non avevano adottato delle misure tecniche ed organizzative sufficienti per garantire un livello di sicurezza adeguato.
Tuttavia, nonostante la colpa “comune”, le sanzioni inflitte alle due realtà sono state ben diverse.
Nello specifico, il Garante ha imposto una sanzione rispettivamente di:
- € 7.000,00 per il Responsabile del Trattamento
- € 30.000,00 per il Titolare del Trattamento
Perché alla Casa di Cura è stata inflitta una sanzione molto più alta (più del quadruplo rispetto all’altra parte) se la violazione dei dati era stata causata da una carenza del software fornito?
Semplice: come affermato dal Garante, il Titolare del Trattamento non si può limitare ad accettare passivamente una dichiarazione di compliance al GDPR da parte dei propri fornitori/responsabili del trattamento esterni ma deve verificare attivamente le relative garanzie.
La Casa di Cura quindi avrebbe dovuto effettuare attività di controllo, vigilanza o revisione circa la sicurezza dei dati trattati dalla Software House.
Cosa insegna questo provvedimento sanzionatorio del Garante
L’accaduto evidenzia l’importanza di rispettare l’obbligo di verifica delle garanzie del responsabile (o dei responsabili) al fine di controllare l’effettiva compliance del fornitore al GDPR.
Responsabili quali commercialisti, studi paghe, consulenti del lavoro e tutti quei fornitori di strumenti e servizi che prevedono il trattamento di dati personali.
In particolare, come indicato nell’articolo 82 del GDPR, si ricorda che:
- I Responsabili esterni al trattamento devono essere nominati con atto scritto
- La nomina può essere effettuata solo dopo aver svolto un’idonea valutazione delle garanzie che i tali soggetti presentano per dimostrare il rispetto del GDPR per il trattamento dei dati personali che gli verranno affidati.
- Questo controllo sulle garanzie di tali fornitori deve essere dimostrabile.
Sicuro che la tua azienda sia compliance al GDPR? Nel dubbio, richiedi una consulenza ai nostri esperti!