Multe, dei buchi privacy risponde il fornitore

Stefano Manzelli
Se il sistema informativo della polizia locale viene violato il primo responsabile va ricercato nel fornitore esterno del servizio. In particolare se il comune si è avvalso di professionisti qualificati che sono stati adeguatamente inquadrati lato privacy e l’organizzazione municipale si è data regole precise in materia di protezione dei dati. Lo ha evidenziato il garante per la protezione dei dati personali con l’ordinanza n. 9767635 del 24 marzo 2022. Un utente è riuscito ad entrare abusivamente nel gestionale delle multe del comune di Genova e per questo motivo il garante ha aperto una istruttoria che si è conclusa con l’applicazione di una sanzione amministrativa a carico unicamente del fornitore privato della piattaforma informatica. A parere dell’autorità, infatti, il comune si è curato di regolare adeguatamente lato privacy sia la propria organizzazione amministrativa che i rapporti formali con il responsabile esterno del trattamento. L’art. 32 del gdpr pone in capo sia al titolare del trattamento che al responsabile esterno la responsabilità per l’adozione delle necessarie misure tecniche ed organizzative. Nel caso sottoposto all’esame del collegio le problematiche tecniche riscontrate sono però risultate addebitabili al fornitore esterno del servizio il quale non ha messo a disposizione un software perfettamente concepito privacy by design, ovvero in grado per esempio di obbligare l’utente a modificare la password al primo accesso al sistema. Queste carenze, unitamente ad ulteriori debolezze tecniche dell’applicazione, hanno permesso ad un soggetto terzo di entrare abusivamente nel sistema informativo della polizia locale per avere accesso ad informazioni di terzi. Il comune aveva però ben formalizzato, ai sensi dell’art. 28 del regolamento europeo sulla protezione dei dati, i rapporti contrattuali con il privato prevedendo esplicitamente, tra l’altro, “l’obbligo per la società, in ragione della sua esperienza tecnica nel settore, di mettere in atto misure tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio inclusa una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure”.

Stefano Manzelli
Fonte: