Un recente provvedimento del Garante per la protezione dei dati personali ha ribadito un principio cardine del GDPR: le misure tecniche e organizzative per la sicurezza dei dati devono essere sempre adottate, anche quando le risorse economiche sono limitate.
Questo articolo analizza il contenuto della decisione, ne evidenzia la portata strategica e propone indicazioni operative per enti pubblici e organizzazioni che si trovano a bilanciare tutela dei diritti fondamentali e vincoli di bilancio.
Indice degli argomenti
Il cuore del provvedimento: basta alibi economici
Con il provvedimento n. 271/2025, il Garante per la protezione dei dati ha sanzionato un Ordine professionale che, per un lungo periodo, aveva trascurato l’adozione di misure di sicurezza adeguate.
La giustificazione addotta dall’ente era chiara: vincoli di bilancio, risorse limitate. Il Garante ha respinto radicalmente questa linea difensiva.
Il messaggio del Garante è stato netto: il rispetto dei diritti fondamentali non è subordinato alla disponibilità economica.
L’articolo 32 del GDPR contempla i costi tra i fattori da considerare per determinare le misure adeguate, ma non legittima l’inazione.
I rischi connessi al trattamento dei dati devono essere affrontati in modo concreto, responsabile e proporzionato.
Pertanto, anche con risorse ridotte, un titolare del trattamento è tenuto ad individuare soluzioni compatibili con la propria realtà, ma pur sempre efficaci. La soglia minima non è dettata dalla cassa, ma dalla dignità della persona.
La regola è chiara: misure adeguate sempre e comunque
Gli articoli 24 e 32 del GDPR, impongono al titolare l’obbligo di implementare misure tecniche ed organizzative “adeguate” al rischio. Non si tratta di un obbligo teorico o formale, ma di un impegno concreto che deve tradursi in azioni documentate.
E l’adeguatezza non è un concetto vago, ma si valuta in base alla natura dei dati, al contesto, alla probabilità e alla gravità dei rischi, allo stato dell’arte tecnologico e, sì, anche ai costi – ma solo come fattore accessorio.
Il Garante nel suo provvedimento sanzionatorio ha richiamato le Linee guida 4/2019 dell’EDPB, secondo cui “il costo di attuazione rappresenta un fattore di cui tenere conto, non una giustificazione per astenersi dall’attuare misure efficaci.”
Lo stesso concetto è stato affermato dalla Corte di Giustizia dell’Unione europea, in particolare con le sentenze:
- C-687/21 MediaMarktSaturn, che ha escluso ogni forma di attenuazione degli obblighi in nome della convenienza economica;
- C-340/21 Natsionalna Agentsia za prihodite, che ha ribadito il valore assoluto della protezione dei dati nel contesto dei trattamenti pubblici.
Chi tratta dati personali deve agire con responsabilità, trasparenza e lungimiranza.
Le misure non possono essere rimandate o ridotte a margine del bilancio: sono parte integrante della missione istituzionale di chi gestisce informazioni personali.
La realtà dei rischi: dati sensibili e soggetti vulnerabili
Nel caso esaminato dal Garante, l’Ordine professionale trattava informazioni di altissimo impatto: dati sanitari, disciplinari, economici e persino dati relativi a reati.
Si tratta di dati che, per la loro natura e per le possibili conseguenze in caso di violazione, richiedono un livello di protezione particolarmente elevato.
Non si può fare finta che siano dati “come tutti gli altri”. A questo si aggiunge il fatto che gli interessati coinvolti appartengono spesso a categorie vulnerabili: professionisti sottoposti a procedimento disciplinare, pazienti, minori, lavoratori in difficoltà. Sono persone reali, con diritti fondamentali.
Ed ogni mancanza nella protezione dei loro dati può trasformarsi in un danno tangibile, concreto, irreversibile.
In questi casi, le misure di sicurezza devono essere progettate non solo per rispettare la legge, ma per proteggere davvero. Non c’è spazio per approcci minimi, ritardi strutturali o alibi organizzativi.
Quando il rischio è alto, ogni giorno di inerzia può trasformarsi in una minaccia concreta alla riservatezza, alla reputazione, alla dignità delle persone coinvolte.
Questo è il punto di svolta: non stiamo parlando di adempimenti, ma di diritti fondamentali messi in gioco ogni giorno.
Stato dell’arte e soluzioni sostenibili
La sostenibilità economica è una componente fondamentale della governance, ma non può essere presentata come scusa per rinviare scelte che impattano sui diritti fondamentali.
Il concetto di “stato dell’arte” non implica necessariamente il ricorso a soluzioni costose o all’avanguardia tecnologica. Al contrario, significa scegliere, tra le soluzioni disponibili, quelle più efficaci rispetto al rischio e più sostenibili per l’organizzazione.
L’Enisa lo aveva già chiarito nel 2016: il riferimento ai costi non deve essere interpretato come un ostacolo all’azione, ma come un invito a progettare misure intelligenti, semplici, efficaci e accessibili. In una parola: proporzionate.
Ipotesi operativa: gestione documentata del rinvio temporaneo di misure di sicurezza
Nel caso in cui un’organizzazione si trovi impegnata in un investimento strategico – per esempio l’acquisto di un nuovo impianto produttivo essenziale per garantire la competitività sul mercato – può emergere l’esigenza di posticipare temporaneamente alcuni interventi previsti per il rafforzamento della sicurezza delle informazioni.
In situazioni di questo tipo, il rinvio dovrebbe essere gestito con rigore e trasparenza, attraverso una documentazione formale che dimostri l’adozione di un approccio responsabile e conforme ai principi del GDPR.
In particolare, la documentazione dovrebbe includere:
- un piano di investimento per la sicurezza delle informazioni, con obiettivi chiari, tappe temporali definite e una strategia di attuazione progressiva;
- una motivazione analitica e verificabile delle ragioni che rendono necessario il rinvio temporaneo;
- una valutazione delle misure transitorie o compensative (per esempio, soluzioni tecniche meno onerose, audit interni mirati, controlli manuali, rafforzamento della consapevolezza degli utenti) per mitigare i rischi durante il periodo di attesa.
Questa documentazione andrebbe predisposta con il coinvolgimento diretto dei vertici organizzativi e, se presente, del Dpo che può esprimere valutazioni, suggerimenti e validare il piano, monitorandone l’esecuzione nel tempo.
È fondamentale però che questo tipo di rinvio sia eccezionale, temporalmente limitato e ben giustificato.
In nessun caso può rappresentare una copertura per politiche di spesa incoerenti con la priorità della protezione dei dati.
Così, se, nel medesimo periodo, l’organizzazione destina risorse a spese non essenziali (per esempio ristrutturazioni, eventi promozionali o investimenti d’immagine), decade ogni presupposto di legittimità del rinvio, con inevitabili riflessi in termini di accountability e responsabilità.
L’azione postuma smentisce le giustificazioni
Il provvedimento del Garante assume una portata ancora più significativa alla luce di quanto accaduto dopo la violazione che ha determinato il provvedimento sanzionatorio in esame.
Solo a seguito dell’intervento dell’Autorità, l’Ordine professionale ha adottato un sistema di rilevamento delle minacce informatiche – una misura tecnica basilare, economicamente sostenibile, che avrebbe potuto (e dovuto) essere attivata prima dell’incidente.
Questo è un punto fondamentale. Quando un’organizzazione sceglie di intervenire solo dopo una contestazione formale, dimostra nei fatti che la mancanza di fondi non era un ostacolo insormontabile, ma una questione di priorità mal poste.
Il Garante non si è lasciato convincere da giustificazioni tardive. Ha sottolineato che la misura adottata era accessibile anche in precedenza e che non c’era alcun elemento oggettivo che ne impedisse l’implementazione.
La lezione è chiara: l’inerzia operativa non può essere mascherata da mancanza di risorse. Quando le soluzioni adottate in seguito sono semplici, a basso costo e tecnicamente ragionevoli, il rinvio appare come una scelta, non una necessità.
E in tema di protezione dei dati, certe scelte – o meglio, certe non-scelte – hanno un prezzo che non si misura solo in euro, ma in responsabilità.
La protezione dei dati personali non è un lusso, ma un dovere
Il messaggio del Garante è diretto, inequivocabile e vale per tutti: la protezione dei dati personali non può essere subordinata alla disponibilità finanziaria. Non è un lusso, ma un dovere.
Chiunque gestisca dati, specialmente dati sensibili o riferiti a soggetti vulnerabili, deve assumersi l’onere di proteggere quei dati in modo effettivo, documentato, continuo.
Il GDPR – negli articoli 24 e 32 – non chiede il massimo tecnologico, ma l’adeguatezza. E adeguatezza significa misure efficaci, coerenti con il contesto, con i rischi e con i diritti in gioco.
Essere sostenibili non significa rinunciare alla sicurezza, ma saperla progettare in modo intelligente: soluzioni semplici, concrete, ragionevoli, ma attuate. Saper documentare quando si rinvia. Saper spiegare perché si sceglie una misura piuttosto che un’altra. E soprattutto, saper dimostrare che la protezione dei dati non è stata abbandonata, ma solo gestita con realismo.
Il punto finale è questo: la sostenibilità senza responsabilità diventa alibi. E un alibi, nel mondo del GDPR, non è mai una buona strategia.
