L’autorità di controllo svedese (Datainspektionen) ha emesso una sanzione nei confronti di un’agenzia governativa (Statens servicecenters – Centro Servizi Statale) che agisce in qualità di responsabile del trattamento nei confronti delle autorità pubbliche svedesi, contestando la mancanza di tempestiva segnalazione di un evento di violazione di dati personali nei confronti dei titolari e dell’autorità di controllo che ha coinvolto oltre 280 mila dipendenti.
Gli accertamenti hanno avuto origine dalla segnalazione di data breach relativo ad un errore dei sistemi informatici relativi alla gestione paghe, da cui si riscontrava la possibilità di effettuare accessi non autorizzati ai dati dei dipendenti delle singole autorità statali e del Centro Servizi Statale. L’attività istruttoria successiva ha evidenziato un duplice ritardo da parte dell’agenzia: in quanto responsabile del trattamento, ha impiegato 5 mesi prime di avvisare i titolari del trattamento; agendo come titolare, invece, ha notificato dopo 3 mesi l’evento all’autorità di controllo.
La Datainspektionen rileva infatti che il responsabile del trattamento ha l’obbligo di assistere il titolare nel rispetto dell’art. 33 GDPR, e che in forza del secondo paragrafo del medesimo articolo deve informarlo “senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione” affidando poi allo stesso titolare la decisione circa l’effettuare o meno un’investigazione sull’evento e provvedere alla notifica all’autorità di controllo.
Ulteriormente, viene precisato che il titolare può certamente svolgere una breve indagine preliminare per accertare l’effettiva violazione dei dati, esaurita la quale decorre il termine di 72 ore per provvedere alla notifica all’autorità di controllo, ma che tale indagine non può essere un’investigazione approfondita altrimenti andrebbe a svilire l’esigenza di tempestività di provvedere alla notifica, alle misure di contenimento del danno e all’eventuale comunicazione nei confronti degli interessati.
Da quanto rilevato sono state così contestate le violazioni degli artt. 28 e 33 GDPR, e dalla valutazione delle circostanze relative all’ingiustificato ritardo nelle comunicazioni l’autorità di controllo ha scelto di applicare la sanzione pecuniaria, rispettivamente, di 150 mila e di 50 mila corone svedesi, per un totale di circa 18 mila euro.
Dagli accertamenti ispettivi è emersa inoltre l’incompletezza della documentazione relativa al data breach rispetto alle prescrizioni di cui all’art. 33.5 GDPR, per cui è stato emesso un provvedimento correttivo ai sensi dell’art. 58.2 lett. d) GDPR con l’ordine di conformare le procedure interne all’obbligo di documentazione degli incidenti che possono generare una violazione di dati personali e sottoporle a verifiche periodiche.
Lo spunto che è possibile cogliere dalla sanzione è che la predisposizione di procedure per la gestione degli eventi di data breach costituisce un elemento fondamentale per ogni organizzazione, tanto nel caso in cui questa agisca in qualità di titolare o di responsabile del trattamento. Una corretta gestione degli incidenti di sicurezza, infatti, consente di non incorrere in quegli “ingiustificati ritardi” che producono non soltanto conseguenze sanzionatorie ma il potenziale aumento del danno nei confronti degli interessati.
