Oltre il danno, la beffa si potrebbe dire però il GDPR sul tema è chiaro: in caso di esposizione di dati personali aziende ed enti pubblici hanno il dovere di presentare comunicazione al Garante. Garante che però ha, a sua volta, il dovere di avviare un'istruttoria per verificare l'accaduto e sanzionare eventuali mancanze anche da parte del denunciante. E così è successo ad Arpa Campania (ARPAC), l'Agenzia Regionale per la Protezione dell'Ambiente: un dipendente dell'ente, dopo aver subito il furto di un hard disk contenente dati personali, ha sporto denuncia presso i Carabinieri ma anche, coerentemente con le previsioni del GDPR, il Garante per la protezione dei dati personali.

Tutto corretto e degno di lode, si potrebbe dire: non per il Garante però, che ha deciso comunque di sanzionare ARPAC.

Dopo aver effettuato le dovute verifiche infatti, la nostra Authority ha emesso il provvedimento n. 5/2021 con il quale, alla luce del combinato disposto dagli artt.5 e 32 del GDPR, ha sanzionato l'ARPAC per 8.000 euro circa a titolo di sanzione amministrativa con pubblicazione del provvedimento sul sito dell'Autorità visto che

"la violazione è emersa in occasione di una condotta presumibilmente criminosa che potrebbe presentare aspetti di carattere penale, stante peraltro la denuncia presentata dall’Agenzia alle autorità competenti, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del regolamento del Garante n. 1/2019."

La motivazione? Semplicemente l'hard disk smarrito, contenente dati personali sia provenienti dall'ambito lavorativo che privato dei dipendenti ARPAC, non aveva attivo alcuno strumento di protezione dei dati: in dettaglio il Garante rilevava l'assenza sia di qualsiasi meccanismo di criptazione dei dati che di limite all'accesso agli stessi, consentendo quindi al ladro di poter accedere senza alcuna limitazione al contenuto dell'hard disk rubato.

Ecco perchè il Garante ha ritenuto che, nonostante il furto subito, il titolare del trattamento resti responsabile dei dati, quindi anche della mancata implementazione di misure di sicurezza preventiva: da qui il provvedimento sanzionatorio.