Sommario
Il Garante per la protezione dei dati personali ha emesso un ammonimento senza sanzione pecuniaria nei confronti dell’ASL 1 Avezzano Sulmona L’Aquila, nonostante l’esfiltrazione di 395 gigabyte di dati sanitari pubblicati nel dark web. Il provvedimento, datato 13 febbraio 2025, segna un precedente rilevante nell’applicazione del principio di accountability previsto dal GDPR, premiando una condotta definita come di collaborazione straordinaria da parte del titolare del trattamento.
Un breach di grandi proporzioni qualificato come violazione minore
L’incidente ha comportato la compromissione di dati altamente sensibili relativi a salute, origine razziale, orientamento sessuale, nonché informazioni su minori e disabili, resi pubblici sul dark web. Nonostante la gravità apparente, il Garante ha classificato la violazione come minore, evidenziando una gestione virtuosa da parte dell’ASL. Tra gli elementi attenuanti: la tempestiva notifica ai sensi dell’articolo 33 del GDPR, l’avvio di misure di rimedio immediate e la denuncia del soggetto terzo autore dell’attacco, descritto come doloso. Particolarmente apprezzato è stato l’impegno dell’ASL durante l’emergenza pandemica, che ha comportato modifiche infrastrutturali per abilitare lo smart working, interrompendo temporaneamente alcuni servizi come il vulnerability assessment. Nonostante ciò, l’azienda ha mantenuto investimenti costanti in sicurezza informatica, rafforzando la propria postura difensiva.
L’importanza della collaborazione oltre gli obblighi del GDPR
Il Garante ha riconosciuto che il titolare ha agito ben oltre gli obblighi dell’articolo 31 del GDPR, dimostrando una cooperazione proattiva in ogni fase dell’istruttoria, inclusa la parte ispettiva. Questo approccio ha avuto un peso determinante nella scelta di un provvedimento non sanzionatorio, laddove in altri casi simili si è optato per una multa pecuniaria. L’Autorità ha tuttavia rilevato una iniziale notifica inidonea nei confronti degli interessati ad alto rischio, imponendo all’ASL di completare la comunicazione entro 15 giorni. La misura si inserisce nell’ottica di assicurare trasparenza e tutela delle persone coinvolte, pur nel riconoscimento delle circostanze straordinarie legate alla pandemia.
Confronto con il caso Federprivacy: due pesi, due misure?
Il confronto con il caso Federprivacy, sanzionato il 13 novembre 2024 con una multa da 6.000 euro, mette in evidenza la discrezionalità dell’Autorità. Anche in quel caso si trattava di un data breach di origine hacker, ma con impatti minori: un numero limitato di soggetti coinvolti, tipologie di dati non sensibili, e un attacco considerato dimostrativo, avvenuto in prossimità del congresso annuale dell’associazione. Tuttavia, la gestione meno collaborativa da parte di Federprivacy, caratterizzata da uno scambio di note ispettive teso e da una mancanza di concrete lesson learned, ha influito sulla valutazione dell’Autorità. La sanzione è stata quindi giustificata da un atteggiamento ritenuto non coerente con il ruolo tecnico dell’organizzazione. Al contrario, l’ASL ha dimostrato piena accountability, anticipando misure prima ancora del breach, partecipando in maniera attiva all’istruttoria e investendo risorse nel monitoraggio post-evento.
Opinioni a confronto: la discrezionalità sotto osservazione
Il provvedimento ha acceso un vasto dibattito tra esperti di privacy e diritto digitale su LinkedIn, a partire da un post pubblicato il 27 luglio 2025 da Andrea Lisi, che ha evidenziato come un breach così massiccio possa essere classificato come “minore” soltanto alla luce di una collaborazione fuori dall’ordinario. Lisi sottolinea anche che il caso costituisce un precedente utile per eventuali opposizioni future, ribadendo la centralità del principio di accountability attiva.
Gerardo Costabile ha poi evidenziato come nel caso Federprivacy il fitto scambio con l’Autorità sia stato letto come segno di tensione e non di cooperazione, con effetti negativi sull’esito del provvedimento. Diversi altri professionisti del settore, come Marco Scialdone e Massimiliano Nicotra, hanno sollevato dubbi su trasparenza, coerenza e vaghezza giuridica della formula “oltre il dovuto” usata dal Garante per descrivere l’impegno dell’ASL. Simone Aliprandi ha espresso perplessità sulla qualifica di violazione minore, ironizzando sull’efficacia della difesa legale della struttura sanitaria e ipotizzando una valutazione più politica che tecnica.
Implicazioni per l’accountability nel GDPR
Il caso dell’ASL 1 Avezzano Sulmona L’Aquila rappresenta un esempio concreto di come la collaborazione effettiva con l’Autorità, se accompagnata da misure tempestive e strutturate, possa ridurre sensibilmente l’impatto sanzionatorio, anche in presenza di una violazione di ampia portata. La gestione dell’incidente è stata impostata su una strategia coerente con lo spirito del Regolamento europeo, dove ogni fase è stata affrontata con serietà operativa. La notifica è stata inviata al Garante entro i termini previsti dall’articolo 33 del GDPR, seguita da una comunicazione diretta agli interessati potenzialmente più esposti al rischio, sebbene inizialmente ritenuta inidonea. Le contromisure adottate hanno riguardato interventi sull’infrastruttura informatica, l’adozione di strumenti di rilevamento avanzati e la ripresa pianificata dei vulnerability assessment interrotti durante l’emergenza pandemica. La rete è stata riorganizzata in modo da contenere la propagazione di eventuali nuovi attacchi, con un monitoraggio continuo potenziato da soluzioni tecnologiche aggiornate. Questa impostazione rafforza la resilienza del titolare, mostrando che l’accountability, se praticata in modo sostanziale, può incidere sull’esito di un procedimento istruttorio. Tuttavia, la gestione flessibile dei criteri previsti dall’articolo 83 del GDPR, da parte dell’Autorità, solleva interrogativi sulla uniformità delle valutazioni, alimentando un dibattito crescente all’interno della community privacy.
Fino a che punto si può spingere l’Autorità nella sua discrezionalità generando un paradosso dove ratifica una violazione escludendo una sanzione?
Il rischio di discrezionalità percepita si riflette sulla prevedibilità dei provvedimenti, rendendo necessario un continuo confronto interpretativo tra giuristi, consulenti e professionisti del settore. Dal punto di vista tecnico, la risposta dell’ASL 1 al data breach ha seguito una logica strutturata, orientata alla completezza informativa e alla prevenzione di repliche future. La notifica al Garante ha incluso tutti gli elementi rilevanti, dalla descrizione del contesto alle categorie di dati compromessi, fino alla valutazione delle possibili conseguenze per i diritti e le libertà degli interessati. Le misure correttive sono state comunicate in modo trasparente e sono state accompagnate da un rafforzamento dell’architettura di sicurezza tanto che l’ampia collaborazione ha assunto una caratterizzazione salvifica come definita da Dario Denni.
L’integrazione di strumenti SIEM per il tracciamento degli eventi anomali, l’uso di vulnerability scanner per la rilevazione precoce di criticità, la segmentazione della rete per limitare la propagazione degli attacchi e la cifratura dei dati sensibili hanno definito una strategia di difesa multilivello. L’adozione di sistemi di monitoraggio supportati da intelligenza artificiale, unita al rispetto delle linee guida previste dalla norma ISO/IEC 27001, ha permesso di innalzare il livello di maturità della sicurezza senza compromettere la continuità operativa. La risposta tecnica al breach, in questo contesto, si è dimostrata coerente, tempestiva e allineata agli standard internazionali di riferimento.