Con il provvedimento n. 244 del 2025, l’Autorità Garante per la protezione dei dati personali ha sanzionato l’Ordine degli Psicologi della Regione Lombardia per violazione dell’art. 32 del GDPR, infliggendo una sanzione di € 30.000 a seguito di un grave data breach. L’attacco, riconducibile al gruppo NoEscape, ha comportato l’esfiltrazione e successiva pubblicazione di 7 GB di dati, tra cui informazioni sanitarie, giudiziarie, orientamento sessuale e politico, nonché riferimenti a procedimenti disciplinari.
L’Ordine si è difeso richiamando la propria natura di ente pubblico non economico e la conseguente scarsità di risorse disponibili. L’Autorità, tuttavia, ha respinto tale argomento, ribadendo che la limitata disponibilità economica non giustifica l’adozione di misure inadeguate, specie in presenza di trattamenti ad alto rischio.
Il provvedimento evidenzia come il rispetto delle misure minime AgID non sia di per sé sufficiente: in mancanza di strumenti di rilevamento automatico delle anomalie e di sistemi di autenticazione a più fattori, l’Ordine è risultato carente nella protezione dei dati personali trattati. In questo senso, il Garante ha richiamato il principio di accountability (art. 5 GDPR), secondo cui il titolare deve valutare in modo concreto i rischi e adottare misure tecniche e organizzative adeguate, anche alla luce delle best practices europee promosse da ENISA.
L’accertamento ha evidenziato l’importanza di una costante rivalutazione delle misure di sicurezza, considerando che molte delle misure ritenute adeguate (come l’autenticazione forte e i backup immutabili) sono state adottate dall’Ordine solo dopo l’avvenuta violazione.
La metodologia di valutazione dei rischi elaborata da LEGADVANCE, ispirata al framework ENISA, consente di strutturare un approccio proporzionato e difendibile in caso di verifica ispettiva, fondato sulla concreta esposizione al rischio e non sulla mera adozione formale di misure standard.