Le responsabilità per la protezione dei sistemi informativi

Le responsabilità per la protezione dei sistemi informativi

L’introduzione del concetto di accountability, principio guida del GDPR (General Data Protection Regulation, Regolamento per il Trattamento dei Dati Personali) ha segnato un cambiamento radicale rispetto al recente passato.

Il principio di accountability non è traducibile in “responsabilizzazione”, probabilmente è più corretto associarlo al significato di “rendicontazione”, ma anche in questo caso la traduzione non è perfetta.

Non si tratta del passaggio di tutte le responsabilità in carico al titolare del trattamento dei dati (oppure al responsabile), quanto più alla dimostrazione della bontà di ogni decisione presa, del rispetto delle nuove norme in tema di protezione dei dati personali e della corretta catalogazione e archiviazione di dati, informazioni e processi.

Il ruolo e le responsabilità del responsabile del trattamento

In caso di mancata o inidonea protezione di un sistema informativo si può rispondere sia a livello civile, sia a livello amministrativo.

Ecco la lista dei principali casi in cui sorgono queste responsabilità:

  • In caso di inadempienze rispetto a quanto previsto dal contratto;
  • In caso di azioni difforme o contrarie alle legittime istruzioni del titolare;
  • In caso di determina di finalità e mezzi, quindi oltre a quanto previsto dalla nomina.

I profili di responsabilità per la protezione dei sistemi informativi in azienda

Il General Data Protection Regulation è nato per prevenire e limitare rischi e pericoli, definendo soggetti, procedimenti e regole per una corretta gestione dei dati personali.

I sistemi informativi con i quali vengono gestiti i dati personali devono essere a prova di cyber attack e comunque adeguati all’importanza, alla portata, alla durata e ai rischi della gestione e del trattamento dei dati personali.

La prevenzione non sempre è sufficiente e a volte nemmeno la difesa surclassa l’attacco, così diventa importante definire le responsabilità in caso di violazione dei sistemi informativi.
Anche perché il cyber crime è un fenomeno sempre più diffuso.

In caso di mancata o inidonea protezione del sistema informativo, la responsabilità può essere:

  • Responsabilità civile

La responsabilità civile può essere in carico a:

  • Dipendente: l’incidente è conseguenza di un inadempimento dei doveri contrattuali;
  • Azienda: l’illecito del dipendente è stato commesso nell’esercizio delle proprie funzioni. In questo caso sussisterà in capo all’ente una responsabilità per i danni causati.
  • Responsabilità penale

La responsabilità penale riguarda esclusivamente il dipendente e si può qualificare nelle situazioni in cui non siano rispettati i limiti previsti dalle normative vigenti, si implementino misure eccessive, o si fuoriesca dal proprio ambito di competenza.

Rappresentano degli esempi l’intercettazione di tutte le chiamate verso l’esterno oppure il controllo massivo di tutte le e-mail in uscita per verificare il corretto trattamento dei dati.

  • Responsabilità amministrativa

La responsabilità civile può essere in carico a:

  • Dipendente dell’ente: Una persona fisica appartenente all’ente abbia commesso un reato nell’interesse o nel vantaggio dell’ente stesso;
  • Azienda titolare del trattamento: Non conformità in merito alle misure tecniche ed organizzative a tutela dei dati.

I criteri per la comminazione della sanzione amministrativa

Per definire l’ammontare di una sanzione, l’Autorità di Controllo prende in considerazione diversi fattori:

  • La natura, la gravità, la durata della violazione, il numero di interessati lesi dal danno e il livello del danno da essi subito;
  • Il carattere doloso o colposo della violazione;
  • Le misure adottate dal Titolare del Trattamento o dal Responsabile del Trattamento per attenuare il danno subito dagli interessati;
  • Il grado di Responsabilità del Titolare del trattamento o del Responsabile del Trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto;
  • Eventuali precedenti violazioni pertinenti;
  • Il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
  • Le categorie di dati personali interessate dalla violazione;
  • La maniera in cui l'autorità di controllo ha preso conoscenza della violazione, (avvenuta notifica o meno);
  • Il rispetto di eventuali precedenti provvedimenti;
  • L'adesione ai codici di condotta e meccanismi di certificazione approvati;
  • Eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso.
Iscriviti alla Newsletter di UTOPIA.

Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.

Iscrizione avvenuta con successo!
Ops! Qualcosa è andato storto. Ricarica la pagina e riprova...
 SCOPRI TUTTE LE NEWS SUL GDPR

Leggi il nostro blog

Unisciti ad altri appassionati di privacy e ricevi subito l’Infografica sull’Accountability documentale, oltre alle novità sul mondo dei dati personali direttamente nella tua e-mail. Una volta al mese, niente SPAM.

Grazie per esserti iscritto alla nostra newsletter.
Presto riceverai una mail con l'Infografica sull'Accountability documentale! 👈🏼
Ops! Qualcosa è anadato storto durante l'invio della richiesta.