La protezione dei dati personali è diventata, nel corso degli ultimi anni, una delle aree di maggiore esposizione legale per le organizzazioni di qualsiasi dimensione e settore.
Non si tratta di un’evoluzione astratta del quadro normativo: è un cambiamento concreto e documentato nella pratica delle autorità di controllo europee e italiane. Il Garante per la protezione dei dati personali ha emesso nel 2023 e nel 2024 alcune delle sanzioni più significative della sua storia, colpendo non solo grandi multinazionali ma anche aziende di dimensioni medie.
La Corte di Cassazione ha confermato sentenze di condanna penale per trattamento illecito di dati. Le class action di risarcimento da parte degli interessati stanno diventando una realtà anche nel contesto italiano.
In questo scenario, la compliance alla normativa sulla protezione dei dati non è più una questione di adempimento burocratico: è una componente essenziale della gestione del rischio aziendale.
Un’organizzazione che tratta dati personali (e praticamente tutte le organizzazioni lo fanno) senza un modello di governance strutturato, senza strumenti operativi adeguati e senza tutele contrattuali appropriate nella propria catena di fornitura, è un’organizzazione esposta a rischi legali che possono avere impatti economici e reputazionali difficilmente reversibili.
Il panorama della protezione dati come leva di mitigazione del rischio legale
Il Regolamento generale sulla protezione dei dati (GDPR, Regolamento UE 2016/679, applicabile dal 25 maggio 2018) ha trasformato strutturalmente il rapporto tra le organizzazioni e i dati personali che trattano.
Prima del GDPR, la protezione dei dati era principalmente un obbligo formale con conseguenze sanzionatorie limitate; dopo il GDPR, è diventata un sistema di responsabilità con sanzioni di entità tale da rendere la non-compliance economicamente irrazionale per qualsiasi organizzazione che abbia una dimensione significativa.
Il massimale sanzionatorio del 4% del fatturato mondiale annuo (non del fatturato italiano, non del fatturato europeo, ma del fatturato mondiale) ha cambiato radicalmente la percezione del rischio da parte del management e dei consigli di amministrazione.
Il GDPR non opera in isolamento: il quadro normativo che le organizzazioni devono navigare nel 2024-2025 è significativamente più complesso, con la direttiva NIS2 (attuata in Italia dal D.lgs. 138/2024), il regolamento DORA per il settore finanziario, il Cyber Resilience Act per i produttori di software e hardware e il Regolamento AI Act per i sistemi di intelligenza artificiale.
Queste normative si sovrappongono parzialmente con il GDPR, creano obblighi aggiuntivi e, in alcuni casi, applicano sanzioni proprie che si sommano a quelle GDPR. La gestione di questo quadro normativo sovrapposto richiede un approccio integrato che eviti sia le duplicazioni inutili sia i gap di copertura.
I costi diretti e indiretti della non conformità per le imprese
I costi della non conformità alla normativa sulla protezione dei dati sono articolati su più dimensioni, non tutte immediatamente visibili.
I costi diretti sono i più evidenti: le sanzioni amministrative del Garante, i risarcimenti agli interessati per danni materiali e immateriali, i costi legali per la gestione delle procedure sanzionatorie e del contenzioso, e, in caso di violazione penale ai sensi del D.lgs. 101/2018, le conseguenze penali per le persone fisiche responsabili.
Ma i costi indiretti sono spesso più significativi nel lungo termine: il danno reputazionale che riduce la fiducia dei clienti, la perdita di contratti con clienti istituzionali o pubblici che richiedono garanzie di compliance, l’aumento dei premi assicurativi cyber post-sanzione, e il costo del remediation obbligatorio ordinato dal Garante che spesso richiede interventi infrastrutturali significativi.
Un elemento spesso sottovalutato è il costo del contenzioso: anche nei casi in cui l’organizzazione alla fine non viene sanzionata o il procedimento si conclude con un provvedimento favorevole, i costi di gestione della procedura davanti al Garante – avvocati specializzati, consulenti tecnici, personale interno dedicato per mesi – sono significativi.
La prevenzione attraverso una governance strutturata costa sistematicamente meno della gestione delle conseguenze della non-compliance.
| Normativa | Fattispecie | Sanzione massima | Responsabilità personale |
| GDPR art. 83 §5 | Violazione principi base, mancanza base giuridica, trasferimenti illeciti | 20M€ o 4% fatturato mondiale (se superiore) | No (persona giuridica) |
| GDPR art. 83 §4 | Violazioni obblighi del titolare (DPIA, DPO, registro, notifica breach) | 10M€ o 2% fatturato mondiale (se superiore) | No (persona giuridica) |
| D.Lgs. 138/2024 (NIS2) — Soggetti essenziali | Inadempimento misure di sicurezza art. 21, mancata notifica incidenti | 10M€ o 2% fatturato mondiale (se superiore) | Sì — dirigenti responsabili (divieto temporaneo funzioni) |
| D.Lgs. 138/2024 (NIS2) — Soggetti importanti | Stesse fattispecie con soglia di criticità inferiore | 7M€ o 1,4% fatturato mondiale (se superiore) | Sì — dirigenti responsabili |
| DORA (Reg. UE 2022/2554) | Inadempimento requisiti resilienza ICT, gestione rischio terze parti | Variabile per Stato membro — fino all’1% fatturato giornaliero medio | Sì — funzioni di gestione |
| D.Lgs. 101/2018 (penale) | Trattamento illecito dati (art. 167), comunicazione e diffusione illecita | Reclusione 1-3 anni (fino a 6 anni se dati sensibili o genetici) | Sì — persone fisiche (titolare, incaricato) |
Evoluzione del quadro normativo e sovrapposizione tra GDPR e nuove direttive
La sfida normativa per le organizzazioni nel 2025 non è la comprensione del GDPR, ormai relativamente consolidato nella pratica, ma la gestione delle interazioni tra GDPR e il crescente numero di normative settoriali che introducono obblighi complementari o sovrapposti.
NIS2 e GDPR si sovrappongono significativamente: entrambi richiedono misure di sicurezza tecniche e organizzative, entrambi impongono la notifica degli incidenti, entrambi prevedono un principio di accountability documentale.
Ma le scadenze di notifica sono diverse (72 ore per entrambi, ma con destinatari diversi: Garante privacy per GDPR, ACN per NIS2), i destinatari della comunicazione sono diversi e le sanzioni si applicano in modo indipendente, il che significa che lo stesso incidente può generare procedimenti sanzionatori paralleli sotto entrambe le normative.
Il Regolamento AI Act, applicabile progressivamente dal 2024 al 2026, introduce obblighi specifici per i sistemi di intelligenza artificiale che trattano dati personali, sovrapponendosi con il GDPR in modo complesso: le valutazioni di impatto richieste dall’AI Act per i sistemi ad alto rischio devono essere coordinate con le DPIA GDPR ma non le sostituiscono.
Il Cyber Resilience Act introduce requisiti di sicurezza per i produttori di software che trattano dati personali, aggiungendo un ulteriore strato di obblighi per le organizzazioni che sviluppano o commercializzano software.
Navigare questa sovrapposizione normativa richiede una funzione di compliance integrata che abbia una visione d’insieme del quadro regolatorio, non un approccio a silos in cui GDPR, NIS2 e AI Act vengono gestiti da team separati senza coordinamento.
Come strutturare un modello di governance per ridurre la responsabilità civile e penale
Il modello di governance per la protezione dei dati è il sistema di regole, ruoli, processi e controlli che un’organizzazione implementa per garantire il rispetto del GDPR e delle normative correlate in modo sistematico e verificabile.
Non è sufficiente rispettare la normativa: il principio di accountability del GDPR (art. 5, comma 2) richiede che l’organizzazione sia in grado di dimostrare tale rispetto.
La governance non è, quindi, solo un mezzo per essere conformi: è anche il mezzo per produrre la documentazione probatoria che protegge l’organizzazione nelle procedure davanti al Garante e nei procedimenti giudiziari.
La struttura di governance più efficace è quella che integra la protezione dei dati nei processi decisionali ordinari dell’organizzazione: non come un’attività separata gestita solo dal DPO o dal team legale, ma come una dimensione che ogni funzione aziendale considera nelle proprie decisioni.
Questo principio di privacy by design e privacy by default (art. 25 GDPR) richiede che la protezione dei dati venga considerata fin dalla progettazione di qualsiasi nuovo trattamento, prodotto o servizio che coinvolga dati personali, non come un’attività di verifica a posteriori.
Il ruolo strategico del Data Protection Officer nell’organigramma aziendale
Il Data Protection Officer (DPO) è la figura che il GDPR identifica come punto di riferimento interno per la protezione dei dati.
La sua designazione è obbligatoria per le autorità e gli organismi pubblici, per i soggetti che effettuano trattamenti su larga scala di categorie particolari di dati, e per i soggetti il cui core business consiste nel monitoraggio sistematico degli interessati su larga scala.
Per le organizzazioni nei settori critici NIS2 (sanità, energia, finanza, infrastrutture digitali) la designazione del DPO è quasi sempre obbligatoria, e la sua assenza è uno dei rilievi più frequenti nelle ispezioni del Garante.
Il posizionamento del DPO nell’organigramma è una questione che ha implicazioni concrete sulla sua efficacia.
Il GDPR richiede che il DPO riferisca direttamente al vertice dell’organizzazione (art. 38, comma 3) e che non riceva istruzioni riguardo all’esercizio delle sue funzioni: una disposizione che mira a garantire la sua indipendenza funzionale.
Nella pratica, molte organizzazioni posizionano il DPO in modo subordinato al legal, all’IT o all’HR, limitando la sua capacità di intervenire in modo efficace quando rileva violazioni o rischi.
Un DPO con accesso diretto al CdA e al CEO, con budget autonomo per le proprie attività e con la capacità di partecipare alle decisioni strategiche che coinvolgono dati personali, è un DPO che può effettivamente ridurre il rischio legale dell’organizzazione.
Definizione dei ruoli tra titolari, responsabili e contitolari del trattamento
La corretta qualificazione dei ruoli nel trattamento dei dati personali (titolare, responsabile esterno, contitolare) è uno degli aspetti tecnicamente più complessi e giuridicamente più rilevanti del GDPR.
La qualificazione errata dei ruoli, tipicamente la tendenza a trattare come responsabili esterni soggetti che sono in realtà contitolari, o viceversa, ha conseguenze dirette sulla distribuzione delle responsabilità legali e sull’adeguatezza degli strumenti contrattuali utilizzati.
Il Garante ha sanzionato organizzazioni specificatamente per la qualificazione errata dei ruoli, ritenendola una violazione del principio di accountability.
Il titolare del trattamento è il soggetto che determina le finalità e i mezzi del trattamento: è il soggetto che decide perché i dati vengono trattati e come vengono trattati.
Il responsabile esterno è il soggetto che tratta dati per conto del titolare, seguendo le sue istruzioni: non determina autonomamente finalità o mezzi, ma esegue il trattamento secondo quanto concordato con il titolare.
Il contitolare è il soggetto che, insieme a un altro soggetto, determina congiuntamente le finalità e i mezzi del trattamento: non riceve istruzioni, ma partecipa alle decisioni sul trattamento.
La distinzione è spesso difficile nella pratica, specialmente nei rapporti con fornitori cloud e SaaS che offrono servizi configurabili:
- un fornitore che offre una piattaforma in cui il cliente definisce le finalità del trattamento è un responsabile;
- un fornitore che tratta i dati anche per proprie finalità (analisi del comportamento degli utenti, miglioramento del prodotto) è potenzialmente un contitolare.
Strumenti operativi per la valutazione e la gestione del rischio
Il GDPR non richiede la perfezione nella protezione dei dati: richiede la proporzionalità. Le misure di sicurezza devono essere adeguate al rischio del trattamento, un principio che implica che organizzazioni diverse, con trattamenti diversi, debbano implementare misure diverse.
Questa proporzionalità richiede una valutazione sistematica dei rischi associati a ogni trattamento significativo, che si concretizza in due strumenti operativi fondamentali: la valutazione d’impatto sulla protezione dei dati (DPIA) e il registro dei trattamenti.
Quando sorge l’obbligo della valutazione di impatto sulla protezione dei dati
La DPIA, Data Protection Impact Assessment, è il processo sistematico di valutazione dei rischi che un trattamento di dati personali comporta per i diritti e le libertà degli interessati.
L’art. 35 GDPR la rende obbligatoria quando un trattamento «è suscettibile di presentare un rischio elevato» per i diritti e le libertà delle persone fisiche, e indica tre categorie esemplificative: la valutazione sistematica e automatizzata di persone fisiche (profilazione), il trattamento su larga scala di categorie particolari di dati (art. 9 GDPR) o di dati relativi a condanne penali, e il monitoraggio sistematico su larga scala di una zona accessibile al pubblico.
Il Garante italiano ha pubblicato un elenco di tipologie di trattamenti per cui la DPIA è obbligatoria, che include il trattamento dei dati biometrici, il monitoraggio dei dipendenti, il trattamento dei dati di soggetti vulnerabili, e i trattamenti che coinvolgono tecnologie innovative.
La DPIA non è un documento da redigere una volta e archiviare: è un processo che deve essere condotto prima dell’avvio del trattamento e aggiornato ogni volta che cambiano le condizioni del rischio (un nuovo fornitore, una nuova finalità del trattamento, una variazione significativa del volume dei dati, l’introduzione di una nuova tecnologia).
La qualità della DPIA dipende dalla sua concretezza: non una valutazione generica del tipo «il trattamento comporta rischi medi», ma un’analisi specifica delle minacce realistiche, delle vulnerabilità esistenti, degli impatti probabili sugli interessati e delle misure concrete adottate per mitigarli.
Una DPIA superficiale non solo non soddisfa il requisito normativo, ma non produce il valore operativo che giustifica l’investimento di tempo e risorse nella sua redazione.
Integrazione del registro dei trattamenti nei processi di risk management aziendale
Il registro dei trattamenti, previsto dall’art. 30 GDPR, è il documento che ogni organizzazione con più di 250 dipendenti (e, in molti casi, anche organizzazioni più piccole che effettuano trattamenti non occasionali di dati sensibili) è tenuta a mantenere.
Il registro elenca tutti i trattamenti di dati personali dell’organizzazione con le informazioni essenziali: finalità, categorie di dati e di interessati, destinatari, trasferimenti verso paesi terzi, termini di conservazione, descrizione delle misure di sicurezza.
Nella pratica, molte organizzazioni lo trattano come un adempimento documentale, lo compilano una volta e lo dimenticano, perdendo il suo valore operativo come strumento di governance.
Integrato nei processi di risk management aziendale, il registro dei trattamenti diventa uno strumento di gestione del rischio privacy molto più potente.
Collegato al registro dei rischi IT, consente di identificare automaticamente i trattamenti che usano sistemi con vulnerabilità note. Collegato al processo di vendor management, consente di identificare i trattamenti che dipendono da fornitori con posture di sicurezza carenti. Collegato al processo di incident response, consente di identificare rapidamente in caso di incidente quali trattamenti sono potenzialmente coinvolti e quindi se sussiste l’obbligo di notifica al Garante.
Un registro dei trattamenti che dialoga con gli altri sistemi di governance dell’organizzazione non è un documento statico ma uno strumento operativo che produce valore continuamente.
Gestione dei fornitori e tutele contrattuali nella catena di approvvigionamento
La catena di approvvigionamento IT è una delle principali fonti di rischio per la protezione dei dati: fornitori di software, provider cloud, system integrator, consulenti IT, tutti questi soggetti hanno accesso, in misura variabile, ai dati personali trattati dall’organizzazione.
La gestione di questo rischio richiede un approccio che combina la valutazione del rischio cyber nella catena di approvvigionamento con gli obblighi specifici del GDPR per i responsabili esterni del trattamento: non è sufficiente che il fornitore abbia buone pratiche di sicurezza informatica, deve anche rispettare gli obblighi specifici che il GDPR impone ai responsabili del trattamento, documentati in un accordo formale.
Il GDPR, all’art. 28, comma 3, stabilisce che il trattamento da parte di un responsabile esterno deve essere disciplinato da un contratto o da altro atto giuridico che vincoli il responsabile al titolare.
Questo contratto, comunemente chiamato DPA (Data Processing Agreement) o accordo ex art. 28 GDPR, deve includere una serie di elementi obbligatori: la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare.
Ma è nell’elenco delle clausole operative specifiche che il DPA diventa uno strumento di gestione del rischio concreto.
Le clausole essenziali negli accordi di nomina a responsabile esterno
Un DPA efficace va ben oltre il template standard che molti provider SaaS mettono a disposizione nelle proprie condizioni di servizio.
Le clausole operative che fanno la differenza nella gestione pratica del rischio coprono almeno sei aree fondamentali. La prima è il sub-processing: il fornitore può nominare a sua volta sub-responsabili? Con quale autorizzazione (generale o specifica)? Con quale obbligo di notifica al titolare? Con quale livello di sicurezza garantito ai sub-responsabili? Senza una clausola chiara sul sub-processing, il fornitore può trasferire i dati a decine di sub-fornitori senza che il titolare ne sia a conoscenza, vanificando ogni sforzo di controllo della catena.
La seconda area critica è la gestione dei data breach: il fornitore deve notificare al titolare qualsiasi violazione dei dati personali entro un termine che consenta al titolare di rispettare i propri obblighi verso il Garante (72 ore). La clausola deve specificare il contenuto minimo della notifica, il canale di comunicazione e il referente dedicato.
La terza area è il diritto di audit: il titolare deve poter verificare che il responsabile rispetti effettivamente gli obblighi contrattuali e normativi, attraverso audit diretti o report di terze parti (SOC 2, ISO 27001).
La quarta è la localizzazione dei dati e i trasferimenti verso paesi terzi: dove vengono fisicamente conservati i dati, esistono sub-processor extra-UE, quali meccanismi di trasferimento sono stati implementati (SCC, adeguatezza)?
La quinta è la cancellazione e la restituzione dei dati alla cessazione del contratto: modalità, tempistiche, certificazione della cancellazione.
La sesta, infine, è la responsabilità e le garanzie assicurative: il fornitore ha copertura assicurativa adeguata per i danni derivanti da violazioni della protezione dei dati?
Come affrontare le ispezioni delle autorità di controllo senza farsi trovare impreparati
Le ispezioni del Garante privacy, sia quelle programmate nell’ambito del piano ispettivo annuale, sia quelle avviate a seguito di reclami o segnalazioni, sono diventate significativamente più frequenti e più tecnicamente sofisticate negli ultimi anni.
L’Ufficio del Garante ha rafforzato le proprie capacità di analisi tecnica e può condurre verifiche che vanno ben oltre la revisione documentale: analisi dei log di accesso, verifica delle configurazioni dei sistemi di trattamento, test delle misure di sicurezza dichiarate.
L’organizzazione che si trova impreparata di fronte a un’ispezione, senza documentazione aggiornata, senza procedure chiare, senza evidenze delle misure adottate, è in una posizione difensivamente molto debole.
La preparazione alle ispezioni non è un’attività da avviare quando si riceve la notifica dell’ispezione: è un processo continuo che produce come effetto collaterale la conformità sostanziale alla normativa.
Un’organizzazione che mantiene costantemente aggiornato il registro dei trattamenti, che conduce le DPIA quando necessario, che ha DPA aggiornati con tutti i fornitori, che forma periodicamente il personale e che documenta le proprie decisioni in materia di protezione dei dati, è un’organizzazione che è già pronta per un’ispezione, indipendentemente da quando questa si verificherà.
Documentazione probatoria e procedure interne di audit per dimostrare l’accountability
Il principio di accountability (art. 5, comma 2 GDPR) impone al titolare del trattamento non solo di rispettare i principi del GDPR, ma di essere in grado di dimostrare tale rispetto.
Questa dimostrazione si concretizza attraverso la documentazione probatoria: l’insieme di documenti, evidenze e registrazioni che provano che l’organizzazione ha adottato le misure richieste in modo consapevole e sistematico.
In una procedura ispettiva, la qualità di questa documentazione è spesso determinante più dell’effettivo stato dei sistemi: un’organizzazione con sistemi ben configurati ma documentazione carente è in una posizione più difficile di una con sistemi meno perfetti ma documentazione completa e coerente.
La documentazione probatoria essenziale include:
- il registro dei trattamenti aggiornato con data dell’ultimo aggiornamento per ogni trattamento;
- le DPIA condotte con parere del DPO e data di approvazione;
- i DPA firmati con tutti i responsabili esterni;
- le policy interne sulla protezione dei dati (con versioning e date di approvazione);
- i record delle attività di formazione del personale (con elenco dei partecipanti, data, contenuto e risultati dei test);
- la documentazione delle decisioni significative in materia di protezione dei dati (con il ragionamento che le supporta);
- i log degli accessi ai sistemi che trattano dati sensibili;
- in caso di data breach pregressi, la documentazione completa della gestione dell’incidente, inclusa la valutazione sulla necessità di notifica.
Le procedure interne di audit per la protezione dei dati, condotte dal DPO, dal team di compliance o da un auditor esterno, producono due benefici complementari: identificano i gap di conformità prima che lo faccia il Garante, e producono evidenze documentali dell’impegno sistematico dell’organizzazione verso la conformità.
Un’organizzazione che conduce audit interni periodici e documenta le azioni correttive adottate a seguito degli audit dimostra al Garante un approccio proattivo che è considerato positivamente nell’ambito del principio di accountability, anche quando i risultati dell’audit rivelano imperfezioni.
La conformità alle normative sulla protezione dei dati non è un traguardo da raggiungere una volta: è un processo continuo di valutazione, adattamento e miglioramento che riflette l’evoluzione del quadro normativo, delle tecnologie utilizzate e dei rischi dell’organizzazione.
Le organizzazioni che trattano la protezione dei dati come un sistema di gestione del rischio, con governance strutturata, strumenti operativi adeguati, tutele contrattuali nella supply chain e capacità di documentare le proprie decisioni, non solo riducono la propria esposizione legale, ma costruiscono un asset di fiducia con clienti, partner e autorità di controllo che ha valore competitivo nel mercato digitale.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Paolo Tarsitano
Source link






