Dati sanitari e disciplinari nel mirino: il Garante sanziona l’Ordine degli Psicologi lombardo. Riflessioni legali per DPO e professionisti IT
Il caso dell’Ordine lombardo evidenzia criticità nella gestione dei dati sensibili e offre spunti concreti su DPIA, accountability e misure minime per DPO e responsabili IT
Il caso dell’Ordine lombardo evidenzia criticità nella gestione dei dati sensibili e offre spunti concreti su DPIA, accountability e misure minime per DPO e responsabili IT
Un attacco ransomware ai danni dell’Ordine degli Psicologi della Lombardia si è concluso con una sanzione da 30.000 euro inflitta dal Garante per la protezione dei dati personali, a causa della mancata adozione di misure adeguate di sicurezza.
Il provvedimento n. 10134827, pubblicato a maggio 2025, è particolarmente significativo sotto il profilo della compliance normativa: la violazione ha coinvolto dati appartenenti a categorie particolari (ex art. 9 GDPR), come informazioni sulla salute, l’etnia, l’orientamento sessuale, convinzioni religiose e sindacali, oltre a dati relativi a condanne penali (art. 10 GDPR). L’attacco ha portato all’esfiltrazione e alla successiva pubblicazione nel dark web, causando un rischio elevatissimo per i diritti e le libertà degli interessati, tra cui anche soggetti minori.
Secondo l’istruttoria, l’Ordine non disponeva di misure idonee a:
- rilevare tempestivamente una violazione dei dati personali;
- garantire la protezione dei sistemi di trattamento in conformità al principio di “integrità e riservatezza” (art. 5.1.f GDPR);
- assicurare il principio di “accountability” (art. 24 GDPR).
Nonostante la collaborazione dell’Ordine e il rafforzamento successivo delle misure di sicurezza, il Garante ha ravvisato negligenza nella protezione preventiva di dati delicatissimi, su cui grava un obbligo di tutela rafforzata.
Per DPO, responsabili IT e fornitori di soluzioni per la compliance, il caso sottolinea l’urgenza di rivedere in chiave stringente i sistemi di controllo, auditing e risposta agli incidenti. È essenziale:
- predisporre un efficace data breach response plan;
- formalizzare e aggiornare le valutazioni d’impatto (DPIA) per il trattamento di categorie particolari di dati;
- verificare la presenza di strumenti avanzati di rilevamento e gestione delle minacce.
Un’ulteriore lezione per il canale IT e legale: la sicurezza dei dati non è solo una questione tecnica, ma un obbligo giuridico, con conseguenze concrete e pubbliche. L’assenza di misure adeguate può comportare non solo danni reputazionali, ma anche sanzioni economiche, responsabilità contrattuali e persino penali in caso di dolo o colpa grave.
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli
Redazione - Cips Legal
Gli aspetti legali della sicurezza informatica
Redazione - Cips Legal
Gli aspetti legali della sicurezza informatica
CIPS LEGAL
Accesso illimitato a tutti i contenuti per un anno!
Con la premium membership annuale hai diritto alla consultazione di tutti gli articoli, know-how e download diretto di tutti i file presenti all’interno di Cips Legal.
NIS2 / ISO 27001
SECURITY/PCI DSS
DATA PROTECTION
DIGITAL FORENSICS
BANDI
IN EVIDENZA
