Vai al contenuto principale
Sicurezza per le Imprese

Data breach fisico: cosa dice davvero il GDPR sulla protezione degli archivi cartacei

Paolo Colnaghi
15 minuti di lettura
Data breach archivio cartaceo cover articolo cln safety

Hai investito in firewall, crittografia, controlli di accesso a doppio fattore. Eppure, mentre leggi questo articolo, da qualche parte nei tuoi uffici c’è un faldone che non sopravvivrebbe a venti minuti di fiamme. E quel faldone, agli occhi del Garante, vale quanto il tuo database più protetto.

Questa guida spiega perché un incendio o un’alluvione che colpisce i tuoi archivi cartacei è, a tutti gli effetti, una violazione dei dati personali. Vedrai che cosa rischi tu come Titolare, che cosa rischia il DPO, e come un armadio ignifugo certificato si trasforma da arredo a prova documentale opponibile in ispezione.

L’errore mentale che può costare 20 milioni di euro alla tua azienda

Fai un esperimento veloce. Pensa a come hai blindato i tuoi dati negli ultimi cinque anni. Probabilmente ti vengono in mente sistemi di cifratura, audit informatici, contratti con il fornitore di servizi cloud. Ora pensa a dove tieni i fascicoli cartacei dei clienti, i contratti firmati, i registri antiriciclaggio, le cartelle cliniche, i fascicoli processuali in originale.

Senti la distanza tra le due risposte? Quella distanza è la prima cosa che un’ispezione del Garante guarda.

Il Regolamento UE 2016/679 non distingue tra dato digitale e dato cartaceo. L’articolo 4, numero 12 definisce la violazione dei dati personali come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Carta o silicio, per il legislatore europeo è la stessa cosa.

Questo principio si chiama equivalenza tecnologica. Ha una conseguenza che pochi DPO interiorizzano davvero: un faldone ridotto in cenere e un database criptato da un ransomware sono, agli occhi della legge, lo stesso evento. Stesso obbligo di notifica, stessa esposizione sanzionatoria, stessa responsabilità in capo al Titolare del trattamento.

Se ti chiedi perché ne senti parlare poco, la risposta è semplice: il discorso pubblico sulla privacy si concentra sui titoli di giornale, e i titoli di giornale parlano di hacker. Gli incendi negli archivi non fanno notizia. Eppure accadono, e i provvedimenti del Garante li registrano con regolarità.

Quando un incendio diventa data breach: la triade CIA spiegata in cinque minuti

Protezione dati cartacei gdpr cln safety

C’è un termine che torna di continuo nei provvedimenti del Garante e nelle linee guida europee: violazione di disponibilità. Significa che il dato continua a esistere ma tu non puoi più usarlo, oppure non esiste più affatto. Il GDPR considera questa categoria al pari delle violazioni di riservatezza (chi non doveva ha visto) e di integrità (chi non doveva ha modificato). È la cosiddetta triade CIA: Confidentiality, Integrity, Availability.

Le Linee guida 9/2022 dell’EDPB (European Data Protection Board) lo spiegano con un esempio che vale più di mille pagine di dottrina. Il magazzino di un ufficio di indagini statistiche viene allagato. I documenti erano solo cartacei e non esistono copie di sicurezza. Quella distruzione è data breach. Fa scattare l’obbligo di notifica all’Autorità di controllo entro 72 ore e, se il rischio per gli interessati è elevato, l’obbligo di comunicazione diretta a ciascuno di loro.

Anche la CNIL francese, una delle autorità più rigorose d’Europa, ha messo nero su bianco lo stesso concetto: l’incidente di sicurezza può derivare da un attacco cibernetico o da un evento fisico accidentale. Il diritto sostanziale non cambia.

Non si tratta di teoria. Nel marzo 2020, alle prime luci dell’alba, un cortocircuito ai sistemi informatici del Tribunale di Milano ha scatenato un incendio al settimo piano. Diciotto squadre dei vigili del fuoco sono intervenute. Quando il rogo è stato domato, l’archivio del Giudice per le Indagini Preliminari era cenere. L’acqua di spegnimento aveva allagato i piani sottostanti, dove ha sede la Direzione Distrettuale Antimafia. In una sola notte sono andati in fumo fascicoli investigativi originali, prove documentali non digitalizzate, atti processuali non ancora depositati in via telematica. Un incidente, tecnicamente. Un data breach, giuridicamente.

Se non hai mai mappato il rischio fisico dei tuoi archivi nel registro dei trattamenti, il primo passo è una ricognizione documentale. Ti aiutiamo noi: chiedi un sopralluogo tecnico senza impegno e ricevi una valutazione preliminare scritta in 48 ore.

Cosa pretende davvero l’articolo 32 GDPR quando parla di “misure adeguate”

L’articolo 32 del GDPR, rubricato “Sicurezza del trattamento”, impone al Titolare e al Responsabile del trattamento di mettere in campo misure tecniche e organizzative adeguate, calibrate sul rischio. Il legislatore europeo ha rotto con l’approccio prescrittivo del precedente Codice Privacy italiano, che elencava misure minime puntuali. Oggi non funziona più così.

Il GDPR introduce il principio di accountability (responsabilizzazione, nella traduzione ufficiale): sei tu, Titolare, a dover dimostrare di aver scelto misure proporzionate. Non basta averle adottate: devi poterlo provare.

Articolo 32 gdpr misure adeguate cln safety

Tre commi dell’articolo 32 ti riguardano in modo diretto:

  • la lettera b) chiede la capacità di assicurare in modo permanente riservatezza, integrità, disponibilità e resilienza dei sistemi di trattamento;
  • la lettera c) pretende la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico;
  • il paragrafo 3 stabilisce che l’adesione a codici di condotta o a meccanismi di certificazione approvati può essere usata come elemento probante della conformità.

Tradotto: se un incendio ti distrugge l’archivio cartaceo originale e tu non hai sistemi di protezione passiva in grado di schermare quei documenti dall’innalzamento termico, la violazione dell’articolo 32 non è solo conclamata, è documentata dall’evento stesso. La fiamma è la prova.

Ed è qui che entra in gioco un dettaglio che cambia tutto: la certificazione. Un armadio ignifugo dotato di marchio rilasciato da un ente terzo (ECB·S, VdS, Underwriters Laboratories) non è un acquisto logistico. È un atto di accountability documentabile, opponibile al Garante, opponibile al perito assicurativo, opponibile al magistrato.

Quanto rischi davvero tu e quanto rischia il tuo DPO

Le linee di responsabilità nel GDPR si dividono lungo binari distinti, ma intrecciati. Riconoscere dove finisce la tua responsabilità e dove inizia quella del DPO è il primo passo per capire perché entrambi avete interesse a chiudere la falla fisica.

Tu, Titolare del trattamento, sei l’apicale per principio di accountability. Non aver adottato misure idonee a prevenire o ritardare la distruzione fisica dei dati è una violazione diretta degli obblighi posti in capo a te. Le sanzioni amministrative del GDPR arrivano fino a 10 milioni di euro o al 2% del fatturato mondiale annuo (articolo 83, paragrafo 4) per la violazione dell’articolo 32. Salgono fino a 20 milioni o al 4% (articolo 83, paragrafo 5) quando l’assenza totale di cautele tradisce un disprezzo dei principi fondamentali del trattamento elencati all’articolo 5.

A questo si somma una linea interpretativa autorevole della dottrina italiana: il trattamento di dati personali può essere ricondotto al perimetro dell’articolo 2050 del Codice Civile, che disciplina l’esercizio di attività pericolose. La norma pone una presunzione di responsabilità a carico di chi esercita l’attività: per liberarsi, devi provare di aver adottato “tutte le misure idonee” a evitare il danno. Tenere documenti ultrasensibili in armadi metallici da ufficio, privi di coibentazione termica, non soddisfa quell’onere probatorio. Lo soddisfa un armadio certificato secondo standard europeo.

Il DPO non è schermato. Se un’emergenza ti coglie impreparato, e si scopre che il rischio incendio non era stato valutato in DPIA o che la consulenza data al vertice aziendale ha bollato come “idonei” armadi metallici comuni, il DPO espone se stesso a una contestazione di colpa grave professionale. La giurisprudenza europea, e in particolare l’orientamento dell’IAPP (International Association of Privacy Professionals), ricorda che il DPO non gode di immunità assoluta. Risponde civilmente del proprio mandato fiduciario; in alcuni ordinamenti, anche penalmente.

Ecco perché il discorso non riguarda solo il bilancio della tua azienda. Riguarda anche la tua firma e quella del professionista che ti consiglia.

Il listino delle sanzioni: cosa rischi articolo per articolo

Tipo di violazioneNorma GDPRSanzione massimaQuando scatta
Misure tecniche di sicurezza fisica omesse o inadeguateArt. 32 + Art. 83 §410 mln € o 2% del fatturato globaleAnche senza incendio: basta un’ispezione che accerti la mancanza di difese proporzionate
Notifica del data breach all’Autorità oltre le 72 oreArt. 33 + Art. 83 §410 mln € o 2% del fatturato globaleQuando il Titolare ritiene erroneamente che la distruzione cartacea non sia data breach
Mancata comunicazione del breach agli interessatiArt. 34 + Art. 83 §410 mln € o 2% del fatturato globaleIn presenza di rischio elevato (cure mediche compromesse, perdita di titoli, prove distrutte)
Violazione dei principi fondamentali del trattamentoArt. 5 + Art. 83 §520 mln € o 4% del fatturato globaleAssenza totale di cautele, ripetuta nel tempo, che dimostri disprezzo del Regolamento

Una nota che molti dimenticano: in caso di omessa notifica, l’Autorità può dedurre dall’evento documentale stesso la pregressa assenza di misure di sicurezza, e cumulare due sanzioni (articolo 32 + articolo 33). A questi esborsi si sommano costi non amministrativi: danno reputazionale, fermi operativi, cause civili da parte degli interessati ex articolo 82, perizie tecniche distrutte che fanno perdere giudizi in corso.

Per i settori speciali i tempi si stringono. Il Provvedimento Garante n. 392/2015 impone alle pubbliche amministrazioni la notifica entro 48 ore (anche per “incendi o altre calamità”). Il Provvedimento n. 513/2014 sulla biometria scende a 24 ore. Il Provvedimento n. 331/2015 sui dossier sanitari elettronici ribadisce le 48 ore.

Hai bisogno di una mappa veloce delle tue esposizioni in caso di evento fisico? Scarica la nostra checklist DPIA per il rischio termico negli archivi cartacei: 7 voci, 3 minuti di compilazione, una fotografia immediata della tua conformità.

Cassaforte non è armadio ignifugo: la differenza che ti costa la conformità

En 1047 1 armadio ignifugo cln safety

Il falso mito più pericoloso che incontro nei sopralluoghi è questo: pensare che una cassaforte antiscasso protegga anche dal fuoco. Non è così. Una cassaforte certificata solo per la resistenza all’effrazione (per esempio secondo la norma UNI EN 1143-1) ha pareti spesse in acciaio, ma niente coibentazione termica. In un incendio reale, l’interno raggiunge centinaia di gradi in pochi minuti e tutto il contenuto va in autocombustione. La carta carbonizza già a 170 °C. I supporti digitali, unità a stato solido (SSD) e nastri magnetici LTO, perdono i bit a partire da 50 °C.

L’armadio ignifugo certificato funziona in modo opposto. Ha intercapedini riempite di cementi cellulari micro-alveolati, materiali ad alto calore specifico arricchiti con sali che assorbono l’energia termica. Le guarnizioni intumescenti lungo il perimetro delle porte si espandono di decine di volte sotto shock termico, sigillano le fessure, impediscono l’ingresso di gas combusti, fumo e acqua di spegnimento.

Per scegliere bene serve conoscere quattro standard. Eccoli a confronto.

StandardPer quali supportiTemperatura del fornoLimite internoDrop test (caduta)
EN 15659 (LFS 30/60 P)Solo carta, contesti a basso rischio842-945 °CSotto soglia di combustione cartaAssente
EN 1047-1 (S 60/120 P)Carta ad alta sicurezza1090 °CMassimo 170 °CPresente, da 9,15 metri
EN 1047-1 (S 60/120 DIS)Supporti digitali, backup, nastri1090 °CMassimo 50 °C, umidità sotto 85%Presente, da 9,15 metri
UL 72 Class 350 (USA)Carta, isolamento “a secco”Test ad alto calore177 °C (350 °F)Presente, da 9 metri

Lo standard EN 1047-1 è il riferimento europeo per gli archivi davvero critici. Il drop test simula il collasso strutturale dell’edificio: l’armadio rovente viene sollevato e fatto precipitare su un letto di detriti, perché un incendio reale non distrugge solo per fiamma diretta, distrugge anche per crollo. La temperatura interna continua a essere monitorata anche durante il raffreddamento, per intercettare il cosiddetto soaking period: il calore accumulato nelle pareti che si irradia verso l’interno anche dopo lo spegnimento.

Se vuoi un riferimento operativo, lo standard EN 1047-1 con classe S 120 P o S 120 DIS è quello che ti permette di chiudere positivamente una DPIA su archivi cartacei o supporti digitali contenenti dati ad alto impatto. Le classi S 60 sono accettabili in scenari di rischio medio.

Vuoi un confronto modello per modello adatto alla tua categoria di dati? Sfoglia il catalogo degli armadi ignifughi certificati EN 1047-1 di CLN Safety oppure prenota una consulenza sulla scelta dello standard più adatto alla tua DPIA.

I 7 passi per trasformare l’armadio ignifugo nella tua prova di accountability

Comprare un armadio non basta. Devi inserirlo in un processo documentato che resista a un’ispezione e a un contenzioso. Ecco la sequenza che applichiamo nei progetti di adeguamento alla protezione fisica dei dati.

  1. Censimento. Mappa nel registro dei trattamenti (articolo 30 GDPR) tutti gli archivi cartacei e i supporti digitali tenuti in sede. Identifica quelli che contengono categorie particolari di dati, dati giudiziari, dati antiriciclaggio, dati sanitari.
  2. DPIA con rischio termico. Includi esplicitamente il rischio incendio e ambientale nella Valutazione d’Impatto sulla protezione dei dati (articolo 35). Stima probabilità e magnitudo. La probabilità non è mai zero: i guasti elettrici sono una causa documentata.
  3. Selezione dello standard. Scegli la certificazione coerente con il supporto: EN 1047-1 S 60 o S 120 P per la carta critica, EN 1047-1 S 60 o S 120 DIS per i backup digitali. EN 15659 LFS solo dove l’edificio dispone già di sistemi attivi di spegnimento.
  4. Verifica della certificazione. Controlla la targhetta inamovibile applicata dall’ente terzo: norma di riferimento, classe, durata del test, numero del rapporto di laboratorio. Diffida dei prodotti pubblicizzati genericamente come “ignifughi” senza marchio rilasciato da ECB·S, VdS o Underwriters Laboratories.
  5. Adozione tracciata. Documenta l’acquisto e la collocazione nel Modello di funzionamento della sicurezza. Allinea con il piano di Continuità Operativa (norme ISO 22301 e ISO 22313). Per gli studi professionali, integra con lo standard ISO/IEC 27701 sui Privacy Information Management System.
  6. Manutenzione periodica. Le guarnizioni intumescenti, i sistemi di chiusura, le tenute della porta vanno ispezionati periodicamente. Programma le verifiche e archivia i verbali. Quei verbali sono la prova pre-costituita della tua diligenza.
  7. Aggiornamento della procedura di gestione degli incidenti. Includi gli eventi fisici (incendio, allagamento, crollo strutturale) nelle procedure di gestione del data breach. Notifica al Garante entro 72 ore (24-48 ore per i settori speciali) e comunicazione agli interessati in caso di rischio elevato.

Questi sette passi non sono burocrazia. Sono il sentiero che separa una sanzione da uno scudo legale.

Studi legali, commercialisti, medici: dove il rischio fisico ha un volto specifico

Tre categorie professionali hanno responsabilità aggravate sui dati cartacei. Se ti riconosci in una di queste, leggi con attenzione.

Sicurezza fisica dati personali cln safety

Studi legali e segreto forense

Il Consiglio Nazionale Forense impone agli avvocati, in qualità di Titolari del trattamento dello studio, l’osservanza intransigente del segreto professionale. Le linee guida deontologiche prescrivono armadiature dedicate per fascicoli correnti e archivi di deposito che contengano dati giudiziari, prove documentali non riproducibili, atti processuali non ancora depositati in telematico.

Pensa allo scenario peggiore: un fascicolo originale carbonizzato, un cliente che perde il giudizio per impossibilità di esibire le prove difensive, un’azione di rivalsa per colpa professionale. Si somma alla violazione GDPR. Per uno studio legale, l’armadio ignifugo EN 1047-1 sui faldoni più critici è l’unica difesa tangibile contro la rovina economica e reputazionale.

Studi di commercialisti e antiriciclaggio decennale

Il D.Lgs. 231/2007 impone la conservazione decennale dei dati di adeguata verifica della clientela, delle copie dei documenti d’identità, delle tracce dei mezzi di pagamento. L’articolo 31, comma 3 è perentorio: dieci anni di conservazione ininterrotta dalla cessazione del rapporto continuativo.

La Regola Tecnica n. 3 del CNDCEC (Consiglio Nazionale dei Dottori Commercialisti) chiede modalità organizzative che “prevengano qualsiasi perdita di dati e di informazioni” e siano “idonee a garantire la ricostruzione dell’operatività del cliente” in caso di verifiche. Tradotto: se l’Unità di Informazione Finanziaria o la Guardia di Finanza ti chiedono i fascicoli storici e tu non puoi esibirli perché un incendio li ha distrutti, accumuli sanzione antiriciclaggio e sanzione GDPR.

Studi medici e dati sanitari

I dati sanitari rientrano nelle categorie particolari dell’articolo 9 GDPR. Una loro indisponibilità improvvisa può cagionare esiti letali: pensa a un paziente che arriva in pronto soccorso e l’ospedale non riesce a recuperare la sua anamnesi.

La FNOMCeO (Federazione Nazionale degli Ordini dei Medici Chirurghi e degli Odontoiatri), nel suo Piano Protezione Dati, prevede esplicitamente la voce “Sistema di custodia archivi cartacei” dove il medico Titolare deve dichiarare la tipologia di hardware passivo: armadi blindati, armadi ignifughi con serratura, armadi ignifughi senza serratura, classificatori a vista. La presenza esplicita della dicitura “armadio ignifugo con serratura” nei registri obbligatori dell’Ordine dimostra la centralità di questa misura nei controlli sanitari. Il Garante storicamente sanziona al massimo edittale chi non adotta protezioni adeguate sui dati clinici.

Il calcolo che cambia il discorso: 1 euro di prevenzione, 8 di rovina evitata

Quando porti il tema in consiglio di amministrazione o davanti al management, il discorso normativo da solo non basta. Ti serve il numero.

Le ricerche indipendenti condotte da Ponemon Institute, ampiamente citate nella letteratura sulla sicurezza dell’informazione, documentano un rapporto vicino a 1:8 tra investimento in mitigazione fisica e costo totale del recupero post-incidente. Significa che ogni euro speso oggi in armadiatura ignifuga certificata genera in media otto euro di risparmio nei costi di ripristino dati, gestione della crisi, conformità sanzionatoria e fermo operativo a valle di un sinistro distruttivo.

Un armadio ignifugo certificato EN 1047-1 con resistenza di 120 minuti ha un costo di acquisto che, parametrato sul potenziale danno (sanzione massima ex articolo 32, contenzioso civile, fermo operativo, danno reputazionale), si ripaga la prima volta che eviti, o anche solo attenui, le conseguenze di un evento fisico.

Cambia anche il discorso con l’assicurazione. Le compagnie premiano la presenza di misure passive certificate con riduzioni di premio e con accettazione di franchigie più favorevoli. Quel risparmio si compone nel tempo.

Tre direttrici da non rimandare oltre questa settimana

Dpia rischio incendio cln safety

Se sei arrivato fin qui, hai capito che il rischio fisico non è un’ipotesi remota e che il GDPR ti chiede di documentarlo prima che si verifichi. Tre azioni concrete, con priorità definita.

Prima: rivedi la tua DPIA entro le prossime due settimane. Aggiungi la voce “rischio termico e ambientale” alla valutazione d’impatto degli archivi che contengono dati sensibili, giudiziari, sanitari, antiriciclaggio. Stima probabilità e magnitudo, anche in modo qualitativo. Una DPIA che non parla di incendio è una DPIA incompleta.

Seconda: sposta il discorso dalle promesse commerciali alle certificazioni. Diffida di chiunque ti offra un armadio “resistente al fuoco” senza targa di un ente terzo. Lo standard si vede, si fotografa, si allega al fascicolo della sicurezza. Senza targa, non vale.

Terza: programma una manutenzione documentata. Una guarnizione intumescente che si è seccata in dieci anni di servizio non protegge più. Le ispezioni periodiche, archiviate per iscritto, costituiscono la prova di diligenza che esonera l’azienda e i suoi dirigenti dalla responsabilità in caso di evento.

Il Garante non sanziona per l’incidente in sé. Sanziona per la vulnerabilità che lo ha reso possibile. La differenza tra le due cose è una targa metallica fissata su un armadio.

Vuoi capire dove ti collochi rispetto allo standard EN 1047-1? Prenota un sopralluogo tecnico nei tuoi uffici con un nostro specialista. Ricevi una valutazione scritta delle tue armadiature attuali, con priorità d’intervento e proposte certificate. Il sopralluogo è senza impegno e si conclude in 90 minuti.

FAQ: domande frequenti

Un incendio in archivio è un data breach anche se nessuno ruba i dati?

Sì. L’articolo 4, numero 12 del GDPR include la distruzione accidentale tra le forme di violazione dei dati personali. La triade CIA non considera solo riservatezza e integrità: la perdita di disponibilità (i dati esistono ma non puoi usarli, oppure non esistono più) è essa stessa data breach. L’EDPB lo conferma nelle Linee guida 9/2022. Scattano l’obbligo di notifica al Garante entro 72 ore e, se il rischio per gli interessati è elevato, la comunicazione diretta a ciascuno di loro.

Quale standard scegliere tra EN 1047-1 ed EN 15659?

EN 1047-1 è la scelta corretta per archivi cartacei ad alta sicurezza e per supporti digitali (server, hard disk, nastri di backup). Prevede test in fornace a 1090 °C, drop test da 9,15 metri e monitoraggio della temperatura anche in fase di raffreddamento. EN 15659 (Light Fire Storage, classi LFS 30/60 P) è una soglia minima per la sola carta in contesti già protetti da sistemi attivi di spegnimento. Non prevede drop test e non controlla l’umidità interna. Per dati sanitari, giudiziari, antiriciclaggio o sensibili, la scelta è EN 1047-1.

Una cassaforte antiscasso può sostituire l’armadio ignifugo?

No. Le casseforti certificate solo per resistenza all’effrazione (norme come UNI EN 1143-1) non hanno coibentazione termica adeguata. In un incendio l’interno raggiunge centinaia di gradi in pochi minuti e il contenuto va in autocombustione. La carta degrada a 170 °C, i supporti digitali a 50 °C. L’armadio ignifugo invece sigilla l’interno con guarnizioni intumescenti che si espandono sotto shock termico, e mantiene la temperatura interna sotto le soglie critiche per la durata certificata.

In quanto tempo devo notificare al Garante un incendio in archivio?

Entro 72 ore dalla scoperta del fatto, secondo l’articolo 33 GDPR. Per la pubblica amministrazione il termine scende a 48 ore (Provvedimento Garante n. 392/2015). Per la biometria si arriva a 24 ore (Provvedimento n. 513/2014). Per i dossier sanitari elettronici, 48 ore (Provvedimento n. 331/2015). Se il rischio per gli interessati è elevato, all’obbligo di notifica si somma quello di comunicazione diretta agli interessati.

Il DPO può essere ritenuto personalmente responsabile per un data breach fisico?

Sì, in alcune ipotesi. Il GDPR stabilisce che il Titolare resta l’apicale per principio di accountability, ma il DPO non gode di immunità assoluta. Se omette di valutare il rischio incendio nella DPIA, oppure avalla come “idonei” armadi metallici comuni privi di certificazione, può essere chiamato a rispondere per colpa grave professionale. La conseguenza è civile (azione di rivalsa) e, in alcuni ordinamenti, anche penale. È per questo che il DPO ha interesse diretto a documentare la propria consulenza con riferimenti normativi e standard certificati.