Data Protection e responsabilità del titolare: analisi del provvedimento del Garante Privacy n. 389/2025 contro Poste Vita S.p.A.
Introduzione
Il provvedimento del Garante per la protezione dei dati personali del 10 luglio 2025 (doc. web n. 10154110) rappresenta un passaggio significativo nell’evoluzione della giurisprudenza e della prassi applicativa italiana in materia di data breach, responsabilità del titolare e misure di sicurezza organizzative. La vicenda riguarda Poste Vita S.p.A., società del Gruppo Poste Italiane, sanzionata per un illecito trattamento di dati personali e per la tardiva notifica di una violazione di dati personali (data breach) ai sensi dell’art. 33 GDPR.
Il caso offre spunti di riflessione rilevanti per le imprese e i professionisti che si occupano di compliance privacy, in quanto mette in luce:
- le difficoltà operative nella verifica dell’identità del richiedente informazioni su rapporti assicurativi;
- i limiti delle procedure di sicurezza in contesti caratterizzati da tentativi fraudolenti sofisticati;
- la centralità del principio di responsabilizzazione (accountability) nella gestione dei processi aziendali;
- il ruolo del Garante come organo di indirizzo e sanzione nell’applicazione dei principi di liceità, correttezza, integrità e riservatezza del trattamento.
1. La vicenda fattuale: dalla frode informativa alla violazione dei dati
1.1 Il reclamo della cliente
Il caso prende avvio dal reclamo presentato nel 2024 da una cliente (Sig.ra XX), titolare di tre polizze vita presso Poste Vita, che denunciava un’illecita comunicazione di dati personali a un soggetto terzo non autorizzato. Secondo quanto esposto, la compagnia avrebbe trasmesso a un indirizzo e-mail tedesco, da lei mai utilizzato né comunicato, una serie di informazioni e documenti dettagliati relativi alle sue polizze, successivamente prodotti in un procedimento giudiziario.
1.2 La ricostruzione di Poste Vita
A seguito della richiesta di chiarimenti del Garante, Poste Vita ha ricostruito i passaggi salienti:
- prima richiesta fraudolenta del 27 novembre 2021: pervenuta tramite e-mail, recava firma autografa apparentemente genuina della cliente e riferimenti precisi a versamenti su un libretto postale cointestato;
- richieste successive: ulteriori domande di informazioni (dicembre 2021, gennaio 2022, febbraio 2022, luglio 2023), tutte con firma autografa e dettagli specifici, tali da indurre gli operatori a ritenerle autentiche;
- disconoscimento della cliente: solo il 22 settembre 2024 la titolare ha formalmente contestato di aver inviato tali richieste, facendo emergere la frode;
- avvio delle indagini interne: Poste Vita ha sospeso le comunicazioni verso l’indirizzo e-mail contestato e notificato il data breach al Garante, con una denuncia successiva contro ignoti.
1.3 Il procedimento dinanzi al Garante
Il Garante ha avviato un procedimento istruttorio che si è concluso con:
- l’accertamento della violazione degli artt. 5 (principi di liceità e integrità) e 33 (notifica delle violazioni) GDPR;
- l’irrogazione di una sanzione amministrativa di 80.000 euro;
- la pubblicazione del provvedimento sul sito istituzionale, quale misura accessoria di trasparenza.
2. Il quadro normativo di riferimento
2.1 I principi fondamentali del trattamento (art. 5 GDPR)
Il Regolamento (UE) 2016/679 sancisce all’art. 5 i principi cardine che devono guidare ogni trattamento: liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza.
Nel caso concreto, le criticità si sono concentrate su due aspetti:
- liceità e correttezza (art. 5, par. 1, lett. a): l’invio dei dati a un soggetto non autorizzato ha reso il trattamento illecito;
- integrità e riservatezza (art. 5, par. 1, lett. f): mancata adozione di adeguate misure tecniche e organizzative atte a prevenire l’accesso non autorizzato.
2.2 La notifica delle violazioni (art. 33 GDPR)
L’art. 33 GDPR prevede l’obbligo per il titolare di notificare all’autorità di controllo una violazione dei dati personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza. Il punto controverso riguardava proprio la tempistica della notifica: Poste Vita ha notificato il data breach al Garante solo il 20 gennaio 2025, circa quattro mesi dopo il disconoscimento da parte della cliente. L’Autorità ha ritenuto tale ritardo ingiustificato.
2.3 Linee guida europee
Il Garante ha richiamato le Linee guida EDPB 9/2022 sulla notifica delle violazioni, secondo cui il titolare deve considerarsi “a conoscenza” della violazione quando sia ragionevolmente certo che si sia verificato un incidente di sicurezza con compromissione dei dati. Questo concetto è stato determinante per stabilire che il termine di 72 ore decorresse già dal disconoscimento della cliente, non dalla successiva conferma interna.
3. Analisi critica della condotta di Poste Vita
3.1 L’errore umano e l’inganno sofisticato
La vicenda mostra come anche sistemi aziendali strutturati possano cadere vittima di frodi basate su social engineering, caratterizzate da richieste apparentemente credibili. Il problema non risiede solo nella frode in sé, ma nella mancanza di procedure stringenti di verifica dell’identità del richiedente.
3.2 Le misure di sicurezza carenti
Poste Vita ha ammesso che le procedure interne all’epoca dei fatti consentivano di evadere richieste informative anche prive di recapiti certificati, purché accompagnate da documentazione apparentemente autentica. Questa scelta ha esposto l’organizzazione a un rischio elevato.
3.3 La tardiva notifica del data breach
Il secondo profilo critico riguarda la gestione del data breach: ritardo di quattro mesi nella notifica; mancanza di adeguata motivazione sulle cause del ritardo; interpretazione restrittiva del concetto di “conoscenza” della violazione.
4. Le argomentazioni difensive della società
Poste Vita ha cercato di difendersi sostenendo: buona fede ingannata da un soggetto terzo; certezza del data breach maturata solo a gennaio 2025; assenza di dati particolari ex art. 9 GDPR; procedure interne già in fase di aggiornamento. Tuttavia, tali elementi non sono stati ritenuti sufficienti dal Garante a escludere la responsabilità del titolare.
5. La decisione del Garante
Il Garante ha concluso: accertando l’illiceità del trattamento per violazione degli artt. 5 e 33 GDPR; irrogando una sanzione di 80.000 euro; disponendo la pubblicazione del provvedimento sul sito istituzionale.
6. Implicazioni pratiche per la privacy compliance
6.1 Verifica dell’identità del richiedente
Necessità di procedure forti di autenticazione (SPID, PEC, sistemi multifattore) per la gestione di richieste di accesso a dati sensibili.
6.2 Data breach management
Gestione tempestiva delle violazioni con piani interni di incident response, procedure di escalation rapida e formazione del personale sul significato di “conoscenza” della violazione.
6.3 Accountability e cultura organizzativa
L’accountability richiede processi dinamici, aggiornamento continuo e risk assessment proattivi, non solo policy formali.
7. Confronto con altri casi e giurisprudenza europea
Casi simili hanno riguardato istituti bancari e assicurativi in altri Stati membri, dove le autorità hanno ribadito che: il titolare non può invocare l’inganno di terzi come causa esimente; la gestione del data breach deve essere fondata su criteri oggettivi di tempestività.
Conclusioni
Il provvedimento n. 389/2025 contro Poste Vita rappresenta un precedente rilevante. L’insegnamento principale è che la compliance non può basarsi su mere dichiarazioni di buona fede, ma richiede: procedure robuste di verifica identitaria; tempestiva comunicazione dei data breach; responsabilizzazione continua del titolare del trattamento.
Per le imprese, il caso costituisce un monito e una guida per rafforzare i propri sistemi di privacy governance, nel solco di un approccio proattivo e basato sul rischio.
