Gestione dei data breach: la lezione del Garante privacy su due violazioni fa riflettere

Nei mesi scorsi l’Autorità garante per la protezione dei dati personali ha emanato due provvedimenti relativi a due casi di data breach avvenuti nel 2023 e che hanno coinvolto le realtà di Federprivacy e l’ASL 1 Avezzano Sulmona. Si tratta di vicende differenti ma particolarmente rilevanti per le loro peculiarità, specialmente alla luce delle posizioni assunte dal Garante che possono offrire indicazioni utili a chi si troverà a gestire situazioni simili in futuro.

Lo ha confermato l’Avv. Andrea Lisi nel suo nuovo intervento sulla sua Newsletter di Linkedin, Appunti di ICT Law, nella quale ha analizzato le interpretazioni del Garante, sottolineando l’importanza dell’intervento per chi si occupa di data protection.

Le vicende

Il caso dell’ASL 1 riguardava un’esfiltrazione di dati sensibili di alcuni pazienti (inclusi bambini e diversamente abili) pari a 365 gigabyte, poi pubblicati nel dark web, creando uno dei data breach più significativi nel settore sanitario italiano e gestito, almeno inizialmente, in maniera grossolana da parte della PA. La vicenda Federprivacy ha avuto, invece, dimensioni più modeste per via del numero di interessati coinvolti e per tipologia di dati, facendo scalpore solo per le caratteristiche del titolare coinvolto e perché è stato portato avanti dagli hacker a ridosso di un importante congresso annuale organizzato dall’associazione, che ha cooperato con impegno con l’Authority per minimizzare i rischi dell’attacco. Eppure, nei confronti di Federprivacy è stata comunque comminata una sanzione di 6.000 euro, mentre nei confronti dell’ASL 1 si è proceduto con una semplice annotazione, perché le circostanze del caso concreto hanno indotto a qualificare lo stesso come “violazione minore”.

Una posizione che farà scuola

Secondo l’analisi dell’Avv. Andrea Lisi: “Leggendo i due provvedimenti, le violazioni riscontrate dall’Authority sono sostanzialmente le stesse per i due titolari. E allora cosa ha determinato la differenza di trattamento ricevuta da parte dei due titolari? Ho letto e riletto il provvedimento nei confronti dell’ASL 1 e, considerato che senz’altro non può essere stata la marginalità dell’esfiltrazione riscontrata a determinare la scelta del Garante di non sanzionare, (perché 395 gigabyte di dati sanitari restano un’enormità) e considerato che entrambi i titolari non erano stati coinvolti in precedenti provvedimenti sanzionatori, allora la differenza mi sembra di poterla cogliere in questo fondamentale punto del provvedimento del febbraio 2025: “il titolare (ndr. l’ASL 1) ha cooperato con l’Autorità ben oltre l’obbligo previsto dall’art. 31 del Regolamento in ogni fase dell’istruttoria, ivi compresa quella ispettiva, al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi”. Per il futuro, quindi, l’insegnamento da trarre – come pesante precedente – è questo: in caso di databreach, anche disastroso, come quello purtroppo verificatosi nel 2023 in Abruzzo, è fondamentale cooperare con l’Authority, “anche oltre il dovuto”, in modo da cercare di minimizzare (se possibile) i rischi, almeno per ciò che non si sia già determinato a causa di quella pesante violazione. Si tratta a mio avviso di un segnale davvero importante e che ci fa percepire pienamente il ruolo dell’Autorità Garante per la protezione dei dati personali nella ormai piena maturità ed efficacia del GDPR, con i suoi consolidati principi, tra cui quello dell’accountability.”

Per leggere il contenuto completo:

VAI ALLA NEWSLETTER

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Gestione dei data breach: la lezione del Garante privacy su due violazioni fa riflettere

Le vicende

Una posizione che farà scuola

I giovedì dell’AI. Intelligenza artificiale e professione forense – Ciclo di seminari

Privacy Symposium 2026

AI e Commercialisti. Responsabilità, Etica e Futuro

Lo ho-BIT – Andata e Ritorno

Di

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco