Provvedimento verso l'Azienda Ospedaliera Cardarelli - Altre considerazioni

Avevo scritto sul Provvedimento verso l'AO Cardarelli:
- http://blog.cesaregallotti.it/2020/10/provvedimento-del-garante-verso.html.

Con Pierfrancesco Maistrello abbiamo ragionato ulteriormente su alcuni particolari.

Il primo riguarda la multa comminata al fornitore (ossia "responsabile", che però aveva insistito, scorrettamente, per essere identificato come titolare) di 60 mila Euro. Questa multa è più del triplo della cifra (17.135 Euro netti) con cui si era aggiudicato la gara, come ha trovato Pierfrancesco Maistrello sul portale della trasparenza dell'AO.

Quindi, sempre Pierfrancesco Maistrello, suggerisce la frase a effetto: "Se pensate di aver fatto un affare, ricordatevi che non considerare i rischi privacy vi può costare anche 3 volte quello che avete fatturato".

Inoltre conveniamo sul fatto che il ruolo di responsabile è generalmente più conveniente di un'autoinflitta titolarità.

In caso di mancata nomina (ossia di clausole contrattuali tra titolare e responsabile come da Art. 28 del GDPR), che fare? Dopo aver valutato se sia opportuno effettuare lo stesso il trattamento, è comunque opportuno ragionare operativamente "come se" si stesse operando da titolare, quindi ovviando alle mancanze del committente, soprattutto in tema di misure di sicurezza, oltre a segnalare l'anomalia al titolare vero e proprio.

Da parte mia noto che il rischio è solo citato, mentre la valutazione dell'adeguatezza delle misure segue più il principio per cui una violazione dimostra che le misure non sono adeguate. Non sembra che il Garante abbia chiesto una valutazione del rischio né che le aziende coinvolte l'abbiano presentata.

Pierfrancesco pensa che "la valutazione del rischio è un adempimento raro e la fanno solo i più virtuosi". Però, se non viene mai citata dai provvedimenti sanzionatori, almeno per segnalarne la mancanza, l'approccio basato sulla valutazione del rischio sarà ritenuto inutile. Nel Provvedimento verso Unicredit del dicembre 2018 (https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9076378) e in altri se ne fa un accenno, ma molto difficile da cogliere.

Ho guardato i recenti casi di violazione sul sito dell'EDPB e risulta solo un caso in cui l'autorità norvegese rileva che la valutazione del rischio non era stata ancora completata. Negli altri casi che ho guardato (due finlandesi e una danese), non è citata. Per contro, nel celebre caso della multa a British Airways (https://ico.org.uk/action-weve-taken/enforcement/british-airways/), mi sembra sia citata la valutazione del rischio (punto 6.22, parzialmente censurato) e quindi è chiaro che in questo caso l'approccio è considerato.

Purtroppo, infine, non sembra che vengano pubblicati i provvedimenti relativi ai data breach e senza sanzioni. Sarebbero interessanti da consultare per conoscere i casi positivi e poterli prendere come esempio.