Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

il provvedimento

Privacy e sostenibilità: la protezione dei dati non si sospende per mancanza di budget

Home Norme e adeguamenti
Indirizzo copiato

Un provvedimento del Garante Privacy ha ribadito che l’inerzia operativa non può essere mascherata da mancanza di risorse. Ecco la portata strategica della decisione e le indicazioni operative per enti pubblici e organizzazioni

Pubblicato il 17 giu 2025
Giuseppe Alverone

Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024

Monica Perego

Consulente, Formatore Privacy & DPO

Privacy e sostenibilità

Un recente provvedimento del Garante per la protezione dei dati personali ha ribadito un principio cardine del GDPR: le misure tecniche e organizzative per la sicurezza dei dati devono essere sempre adottate, anche quando le risorse economiche sono limitate.

Questo articolo analizza il contenuto della decisione, ne evidenzia la portata strategica e propone indicazioni operative per enti pubblici e organizzazioni che si trovano a bilanciare tutela dei diritti fondamentali e vincoli di bilancio.

Prevenzione e gestione dei cyber incidenti: fondamenti per una strategia integrata

Il cuore del provvedimento: basta alibi economici

Con il provvedimento n. 271/2025, il Garante per la protezione dei dati ha sanzionato un Ordine professionale che, per un lungo periodo, aveva trascurato l’adozione di misure di sicurezza adeguate.

La giustificazione addotta dall’ente era chiara: vincoli di bilancio, risorse limitate. Il Garante ha respinto radicalmente questa linea difensiva.

Il messaggio del Garante è stato netto: il rispetto dei diritti fondamentali non è subordinato alla disponibilità economica.

L’articolo 32 del GDPR contempla i costi tra i fattori da considerare per determinare le misure adeguate, ma non legittima l’inazione.

I rischi connessi al trattamento dei dati devono essere affrontati in modo concreto, responsabile e proporzionato.

Pertanto, anche con risorse ridotte, un titolare del trattamento è tenuto ad individuare soluzioni compatibili con la propria realtà, ma pur sempre efficaci. La soglia minima non è dettata dalla cassa, ma dalla dignità della persona.

La regola è chiara: misure adeguate sempre e comunque

Gli articoli 24 e 32 del GDPR, impongono al titolare l’obbligo di implementare misure tecniche ed organizzative “adeguate” al rischio. Non si tratta di un obbligo teorico o formale, ma di un impegno concreto che deve tradursi in azioni documentate.

E l’adeguatezza non è un concetto vago, ma si valuta in base alla natura dei dati, al contesto, alla probabilità e alla gravità dei rischi, allo stato dell’arte tecnologico e, sì, anche ai costi – ma solo come fattore accessorio.

Il Garante nel suo provvedimento sanzionatorio ha richiamato le Linee guida 4/2019 dell’EDPB, secondo cui “il costo di attuazione rappresenta un fattore di cui tenere conto, non una giustificazione per astenersi dall’attuare misure efficaci.”

Lo stesso concetto è stato affermato dalla Corte di Giustizia dell’Unione europea, in particolare con le sentenze:

  • C-687/21 MediaMarktSaturn, che ha escluso ogni forma di attenuazione degli obblighi in nome della convenienza economica;
  • C-340/21 Natsionalna Agentsia za prihodite, che ha ribadito il valore assoluto della protezione dei dati nel contesto dei trattamenti pubblici.

Chi tratta dati personali deve agire con responsabilità, trasparenza e lungimiranza.

Le misure non possono essere rimandate o ridotte a margine del bilancio: sono parte integrante della missione istituzionale di chi gestisce informazioni personali.

La realtà dei rischi: dati sensibili e soggetti vulnerabili

Nel caso esaminato dal Garante, l’Ordine professionale trattava informazioni di altissimo impatto: dati sanitari, disciplinari, economici e persino dati relativi a reati.

Si tratta di dati che, per la loro natura e per le possibili conseguenze in caso di violazione, richiedono un livello di protezione particolarmente elevato.

Non si può fare finta che siano dati “come tutti gli altri”. A questo si aggiunge il fatto che gli interessati coinvolti appartengono spesso a categorie vulnerabili: professionisti sottoposti a procedimento disciplinare, pazienti, minori, lavoratori in difficoltà. Sono persone reali, con diritti fondamentali.

Ed ogni mancanza nella protezione dei loro dati può trasformarsi in un danno tangibile, concreto, irreversibile.

In questi casi, le misure di sicurezza devono essere progettate non solo per rispettare la legge, ma per proteggere davvero. Non c’è spazio per approcci minimi, ritardi strutturali o alibi organizzativi.

Quando il rischio è alto, ogni giorno di inerzia può trasformarsi in una minaccia concreta alla riservatezza, alla reputazione, alla dignità delle persone coinvolte.

Questo è il punto di svolta: non stiamo parlando di adempimenti, ma di diritti fondamentali messi in gioco ogni giorno.

Stato dell’arte e soluzioni sostenibili

La sostenibilità economica è una componente fondamentale della governance, ma non può essere presentata come scusa per rinviare scelte che impattano sui diritti fondamentali.

Il concetto di “stato dell’arte” non implica necessariamente il ricorso a soluzioni costose o all’avanguardia tecnologica. Al contrario, significa scegliere, tra le soluzioni disponibili, quelle più efficaci rispetto al rischio e più sostenibili per l’organizzazione.

L’Enisa lo aveva già chiarito nel 2016: il riferimento ai costi non deve essere interpretato come un ostacolo all’azione, ma come un invito a progettare misure intelligenti, semplici, efficaci e accessibili. In una parola: proporzionate.

Ipotesi operativa: gestione documentata del rinvio temporaneo di misure di sicurezza

Nel caso in cui un’organizzazione si trovi impegnata in un investimento strategico – per esempio l’acquisto di un nuovo impianto produttivo essenziale per garantire la competitività sul mercato – può emergere l’esigenza di posticipare temporaneamente alcuni interventi previsti per il rafforzamento della sicurezza delle informazioni.

In situazioni di questo tipo, il rinvio dovrebbe essere gestito con rigore e trasparenza, attraverso una documentazione formale che dimostri l’adozione di un approccio responsabile e conforme ai principi del GDPR.

In particolare, la documentazione dovrebbe includere:

  • un piano di investimento per la sicurezza delle informazioni, con obiettivi chiari, tappe temporali definite e una strategia di attuazione progressiva;
  • una motivazione analitica e verificabile delle ragioni che rendono necessario il rinvio temporaneo;
  • una valutazione delle misure transitorie o compensative (per esempio, soluzioni tecniche meno onerose, audit interni mirati, controlli manuali, rafforzamento della consapevolezza degli utenti) per mitigare i rischi durante il periodo di attesa.

Questa documentazione andrebbe predisposta con il coinvolgimento diretto dei vertici organizzativi e, se presente, del Dpo che può esprimere valutazioni, suggerimenti e validare il piano, monitorandone l’esecuzione nel tempo.
È fondamentale però che questo tipo di rinvio sia eccezionale, temporalmente limitato e ben giustificato.

In nessun caso può rappresentare una copertura per politiche di spesa incoerenti con la priorità della protezione dei dati.

Così, se, nel medesimo periodo, l’organizzazione destina risorse a spese non essenziali (per esempio ristrutturazioni, eventi promozionali o investimenti d’immagine), decade ogni presupposto di legittimità del rinvio, con inevitabili riflessi in termini di accountability e responsabilità.

L’azione postuma smentisce le giustificazioni

Il provvedimento del Garante assume una portata ancora più significativa alla luce di quanto accaduto dopo la violazione che ha determinato il provvedimento sanzionatorio in esame.

Solo a seguito dell’intervento dell’Autorità, l’Ordine professionale ha adottato un sistema di rilevamento delle minacce informatiche – una misura tecnica basilare, economicamente sostenibile, che avrebbe potuto (e dovuto) essere attivata prima dell’incidente.

Questo è un punto fondamentale. Quando un’organizzazione sceglie di intervenire solo dopo una contestazione formale, dimostra nei fatti che la mancanza di fondi non era un ostacolo insormontabile, ma una questione di priorità mal poste.

Il Garante non si è lasciato convincere da giustificazioni tardive. Ha sottolineato che la misura adottata era accessibile anche in precedenza e che non c’era alcun elemento oggettivo che ne impedisse l’implementazione.

La lezione è chiara: l’inerzia operativa non può essere mascherata da mancanza di risorse. Quando le soluzioni adottate in seguito sono semplici, a basso costo e tecnicamente ragionevoli, il rinvio appare come una scelta, non una necessità.

E in tema di protezione dei dati, certe scelte – o meglio, certe non-scelte – hanno un prezzo che non si misura solo in euro, ma in responsabilità.

La protezione dei dati personali non è un lusso, ma un dovere

Il messaggio del Garante è diretto, inequivocabile e vale per tutti: la protezione dei dati personali non può essere subordinata alla disponibilità finanziaria. Non è un lusso, ma un dovere.

Chiunque gestisca dati, specialmente dati sensibili o riferiti a soggetti vulnerabili, deve assumersi l’onere di proteggere quei dati in modo effettivo, documentato, continuo.

Il GDPR – negli articoli 24 e 32 – non chiede il massimo tecnologico, ma l’adeguatezza. E adeguatezza significa misure efficaci, coerenti con il contesto, con i rischi e con i diritti in gioco.

Essere sostenibili non significa rinunciare alla sicurezza, ma saperla progettare in modo intelligente: soluzioni semplici, concrete, ragionevoli, ma attuate. Saper documentare quando si rinvia. Saper spiegare perché si sceglie una misura piuttosto che un’altra. E soprattutto, saper dimostrare che la protezione dei dati non è stata abbandonata, ma solo gestita con realismo.

Il punto finale è questo: la sostenibilità senza responsabilità diventa alibi. E un alibi, nel mondo del GDPR, non è mai una buona strategia.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

A
Giuseppe Alverone
Consulente e formatore Privacy e Cybersecurity. DPO certificato UNI CEI EN 17740:2024
Fondatore e amministratore unico di DATA FABER s.r.l.s., società specializzata in formazione, consulenza e progettazione sui temi della protezione dei dati, della sicurezza digitale e della gestione del rischio. Già Generale dei Carabinieri, DPO dell’Arma e Recruiter in ambito militare, oggi svolge l’attività di consulente, formatore e divulgatore nei campi della privacy, cyber security e governance del rischio. Laureato in Giurisprudenza (Università “La Sapienza” di Roma) e in Scienze della Sicurezza Interna ed Esterna (Università di Roma Tor Vergata), con Master e Corsi di Perfezionamento all’Università Statale di Milano, ha alle spalle un percorso militare di eccellenza: Scuola Militare Nunziatella di Napoli, Accademia Militare di Modena, Scuola Ufficiali Carabinieri, Scuola di Guerra di Civitavecchia, oltre a specializzazioni in alpinismo, in paracadutismo e quale Ufficiale Perito Selettore (Recruiter in ambito militare). Oggi accompagna vertici pubblici e privati nel comprendere e applicare norme come GDPR e NIS 2, trasformandole in leve strategiche di difesa, reputazione e continuità operativa. È DPO certificato UNI CEI EN 17740:2024, Auditor/Lead Auditor ISO 27001:2022, membro del Comitato Scientifico dell’Istituto ASAPIENS e docente nei corsi propedeutici alla certificazione dei DPO. Autore di manuali e saggi tra cui “Quaderno operativo di cybersecurity e privacy”, “Il modello organizzativo NIS 2 (MONIS)”, “Compliance privacy: Percorsi per imprese e P.A.”, “La DPIA nelle smart city”, oltre a numerosi articoli su riviste specialistiche. Il suo lavoro unisce visione strategica, rigore giuridico e capacità operativa, con l’obiettivo di diffondere cultura e strumenti concreti per una protezione dei dati e una cyber security a misura di persone e organizzazioni reali.
P
Monica Perego
Consulente, Formatore Privacy & DPO

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • CryptPad e il paradigma zero-knowledge: un binomio vincente - La fiducia come capitale: la conformità al Gdpr e alla NIS 2 diventa un vantaggio competitivo

  • responsabilità proattiva

    La fiducia come capitale: la conformità a GDPR e NIS 2 diventa un vantaggio competitivo

    31 Ott 2025

    di Giuseppe Alverone

    Condividi
  • Atlas OpenAI ChatGPT; AI browser: i rischi legati a ChatGPT Atlas e a Copilot Mode per Edge come nuovi vettori d'attacco

  • l'analisi

    Atlas, il browser intelligente di OpenAI che ricorda cosa facciamo online: i rischi privacy

    24 Ott 2025

    di Rosario Palumbo

    Condividi
  • Patente a crediti per imprese e lavoratori autonomi, c'è l'ok del Garante Privacy: le due correzioni necessarie in ambito cyber per la sicurezza sul lavoro

  • gdpr

    Patente a crediti per la sicurezza sul lavoro: il Garante Privacy spiega cosa correggere

    23 Giu 2025

    di Rosario Palumbo

    Condividi
  • La pubblicità sbarca su Whatsapp, ma è in contrasto con il Dma

  • privacy

    La pubblicità su WhatsApp viola DMA e GDPR: una partita sulla sovranità digitale UE

    18 Giu 2025

    di Mirella Castigli

    Condividi