Sanzioni anche senza danni tangibili
Cosa succede se un’organizzazione subisce un attacco informatico – anche senza danni per gli interessati – a seguito di qualche negligenza nella gestione del sistema? Paga la sanzione! Questa la conclusione alla quale è giunto il Garante, posto che devono essere attivati e rispettati ragionevoli protocolli di sicurezza. Ma se il responsabile del mancato rispetto dei protocolli è esterno è il Titolare a rispondere comunque, oppure è il fornitore esterno? In questo caso l’Autorità ha optato per la seconda soluzione, anche se, a nostro parere, una responsabilità residuale del Titolare per mancata vigilanza o per affidamento incauto può ricorrere in alcuni casi. Certo che se ha scelto un fornitore affidabile, lo ha messo in condizioni di lavorare, ha effettuato verifiche periodiche allora la responsabilità grava interamente su chi non ha operato bene.
La sanzione viene comminata anche se un attacco informatico non crea danni agli interessati
Le violazioni causate da scelte di un fornitore esterno ricadono su di lui