Il titolare del trattamento risponde della mancata adozione di misure di sicurezza da parte del fornitore responsabile

Con le ordinanze ingiunzioni nei confronti di Regione Toscana – 10 febbraio 2022 [doc. web n. 9751498] e nei confronti di Scanshare S.r.l. – 10 febbraio 2022 [doc. web n. 9754332] l’Autorità Garante privacy è nuovamente intervenuta sul delicato tema del rapporto tra titolari e responsabili del trattamento.

Nel corso del tempo sono stati molteplici i casi in cui la gestione non adeguata del rapporto che intercorre tra data controller e data processor si è rivelata fonte di violazioni in ambito data protection, ad esempio:                                                 

1. Con due provvedimenti di dicembre 2021 e resi pubblici agli inizi del 2022 (doc. web n. 9734884 e doc. web n. 9734934), il Garante ha sanzionato una Casa di Cura, con sede nella provincia di Varese, ed un suo responsabile del trattamento, che ricopriva anche la funzione di amministratore di sistema, per avere effettuato un trattamento di dati in violazione degli obblighi in materia di sicurezza;

2. Con tre provvedimenti (292, 293 e 294) del 22 luglio 2021 segnalati con newsletter n. 481 del 10 settembre 2021) il Garante ha sanzionato per oltre 1 milione di euro, complessivamente, Roma Capitale, Atac Spa e un subfornitore, a seguito di verifiche su un sistema di gestione dei dati relativi ai parcheggi a pagamento.

L’alto livello di attenzione sul tema è comprovato anche dalla newsletter 486 del 31 gennaio 2022 con la quale l’Autorità Garante ha pubblicato il piano ispettivo per il primo semestre del 2022 nel quale è specificato che l’attività di controllo, sarà indirizzata anche alla verifica della corretta individuazione dei titolari e dei responsabili del trattamento da parte di soggetti pubblici e privati.

Prima di proporre una sintesi dell’accaduto e delle valutazioni dell’Autorità per il caso di specie, è fondamentale ribadire che queste recenti sanzioni, consolidano ulteriormente temi che titolari e responsabili del trattamento di ogni dimensione (sia pubblici che privati) devono prendere in seria considerazione:

1. È fondamentale mappare correttamente ed in modo chiaro i processi di trattamento posti in essere e che tali analisi siano aggiornate/rivalutate a scadenze periodiche e comunque ad ogni cambiamento significativo. In caso contrario non sarà possibile individuare in modo oggettivo e comprovabile in quali attività i fornitori responsabili sono effettivamente coinvolti, in che misura, per quali specifiche attività di trattamento e, più in generale, non saranno a disposizione informazioni essenziali per la corretta gestione del rapporto con i fornitori stessi;

2. Effettuare una valutazione dei rischi in relazione alle attività di trattamento che sia oggettivamente orientata a valutare il rischio per gli interessati in tema di libertà, dignità, riservatezza, integrità, disponibilità dei dati, oltre che ad individuare puntualmente le misure di sicurezza adeguate al rischio in ottica di prevenzione e  di riduzione degli impatti nel caso si verificasse qualche accadimento nefasto;

3. Pianificare una valutazione preventiva concreta e comprovabile dei fornitori che ricoprono il ruolo di responsabili del trattamento in modo da avere la certezza che gli stessi forniscano adeguate garanzie per poter realizzare trattamenti conformi al Gdpr ed alle istruzioni del titolare;

4. Definire in modo preciso i rapporti contrattuali in relazione ad aspetti civilistici, ma anche in relazione ai trattamenti affidati ed alle misure di sicurezza ed alle istruzioni documentate che il titolare del trattamento deve fornire al responsabile. Gli accordi contrattuali redatti ai sensi dell’art.28 GDPR devono avere un sufficiente livello di dettaglio per garantire il corretto affidamento, ma anche l’adozione puntuale e concreta delle misure di sicurezza concordare.

5. Pianificare valutazioni in itinere dell’operato dei responsabili del trattamento. Queste valutazioni devono prevedere anche procedure di test delle misure di sicurezza concordate. Le misure devono essere testate anche prima di porre in essere un trattamento dati;

6. Nel caso in cui si acquistino, o i fornitori di tecnologia propongano, software/applicativi utilizzati per attività che comportano trattamento di dati personali (CRM, software gestione dati sanitari, APP, strumenti per invio mail marketing, gestionali HR solo per citare alcuni casi concreti) richiedere preventivamente documentazione ed indicazioni comprovabili relative alle valutazioni effettuate in fase di ideazione progettazione e sviluppo degli strumenti, delle misure di sicurezza tecniche che sono state progettate in fase di design e che saranno di conseguenza adottabili in fase di default.

Sintesi dell’ordinanza ingiunzione del 10 febbraio 2022 nei confronti della Regione Toscana

Cosa è accaduto

L’Autorità Garante è intervenuta per verificare la compliance in ambito data protection legata ai trattamenti connessi ad una procedura concorsuale.

L’azione della DPA è scaturita dalla notifica di un data breach effettuata dal titolare del trattamento, oltre che da diverse decine di reclami presentati dai soggetti interessati sempre relativamente al Breach che si è verificato.

Dalle attività di controllo è emerso che durante le procedure relative ad un concorso pubblico per assistenti amministrativi indetto dalla Regione Toscana, si è verificato un data breach caratterizzato dalla pubblicazione accidentale di alcuni dati dei candidati alle prove preselettive.

Una candidata, dopo aver richiesto informazioni relative ai tempi di pubblicazione dei risultati delle prove preselettive al fornitore tecnico responsabile del trattamento, ha ricevuto una mail di risposta direttamente dal fornitore. Il messaggio conteneva un URL dal quale risultava possibile scaricare in modo diretto dei dati personali relativi ad un elevato numero di candidati. In potenza i dati dei candidati potevano quindi essere scaricati da chiunque avesse avuto la possibilità di raggiungere l’URL, ed erano quindi a disposizione di un numero indefinito di individui.

Dalla lettura dell’ordinanza, emerge che il fornitore era stato correttamente individuato come responsabile ai sensi dell’Art.28 GDPR e che il contratto di affidamento prevedeva il divieto di porre in essere trattamenti non necessari per le attività tecniche oltre che ulteriori istruzioni, divieti ed indicazione delle misure di sicurezza individuate come necessarie ed adeguate, tra le quali, era stata individuata la necessità che i candidati potessero accedere esclusivamente ai propri dati a seguito di procedura di autenticazione individuale al portale dedicato al concorso.

La risposta diretta alla candidata da parte del responsabile e la mancata adozione di adeguate misure di sicurezza, tra cui le procedure di configurazione dei dati visibili e l’autenticazione informatica, sono gli elementi che hanno reso possibile a chiunque si fosse collegato ad un determinato indirizzo web, di accedere liberamente ai dati personali dei circa 3.600 soggetti interessati partecipanti alla procedura, ed eventualmente scaricare tali informazioni.

A seguito della violazione di sicurezza la responsabile del procedimento concorsuale ha ricevuto una segnalazione specifica sull’accaduto ed ha immediatamente attivato le procedure di gestione interna del breach intervenendo sia nei confronti del fornitore responsabile, che ha successivamente impedito l’ulteriore diffusione di dati personali che si è quindi protratta per circa un’ora, sia effettuando la notificazione all’Autorità Garante e ai soggetti interessati (tutti i candidati) ai sensi degli Artt. 33 e 34 Gdpr.

I rilievi dell’Autorità

Si riportano alcuni dei rilievi della DPA:

1. Il titolare, nell’ambito della predisposizione delle misure tecniche e organizzative che soddisfino i requisiti stabiliti dal GDPR, anche sotto il profilo della sicurezza, può avvalersi di soggetti terzi per lo svolgimento di alcune attività di trattamento, è tuttavia imprescindibile ricorrere  a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto le misure individuate in modo che il trattamento posto in essere soddisfi concretamente ed in modo comprovabile i requisiti del GDPR e di livelli di sicurezza prestabiliti;
2. ll titolare del trattamento è tenuto a dimostrare la conformità delle attività di trattamento compresa l’efficacia delle misure adottate, anche quando le stesse sono poste in essere da terzi per suo conto;
3. L’accordo che disciplina il rapporto con il responsabile del trattamento deve avere un sufficiente livello di dettaglio in merito alle misure da adottare, ma non è di per sè sufficiente ad escludere responsabilità del titolare del trattamento;
4. L’assenza di misure tecniche e organizzative adeguate ai rischi connessi a tutte le attività di trattamento, anche se nel caso di specie è riconducibile principalmente alla mancata predisposizione di specifiche misure di controllo da parte del fornitore responsabile del trattamento – ha generato la violazione di sicurezza che ha comportato la diffusione online dei dati dei candidati ed il titolare del trattamento, deve essere comunque ritenuto responsabile ai sensi degli artt. 5, par. 2 e 24 GDPR.

Conclusioni

Con l’ordinanza ingiunzione analizzata, è stata comminata una sanzione di 10.000 € nei confronti della Regione Toscana.

Tale importo potrebbe sembrare esiguo in relazione dell’accaduto; tuttavia, chi scrive ritiene che sia di assoluta importanza evidenziare che il valore economico della sanzione è stato commisurato e rapportato a diversi elementi oggettivi, tra cui il numero di soggetti interessati e la tipologia della violazione, ma anche del fatto che il breach:

1. si è protratta per un breve arco temporale (circa un’ora) anche grazie alla tempestività della reazione del titolare del trattamento;
2. è risultata essere riconducibile principalmente alla mancata predisposizione di specifiche misure di sicurezza da parte del responsabile del trattamento;
3. il titolare del trattamento ha adottato adeguate misure per porre rimedio all’accaduto e attenuarne i possibili effetti negativi nei confronti degli interessati;
4. Il titolare ha prestato la propria ampia collaborazione nel corso dell’istruttoria.

È bene rammentare che un adeguato sistema di gestione in ambito data protection comprendente una chiara definizione di ruoli funzioni e responsabilità, mappatura dei processi, valutazione dei rischi, misure di sicurezza commisurate al rischio stesso, procedure di prevenzione, ma anche di reazione immediata in caso di accadimenti nefasti, ha l’oggettivo pregio di ridurre la probabilità di violazioni normative e, nel caso ciò avvenisse, di mitigare eventuali sanzioni.

A tal proposito si ricorda che in base a quanto previsto dall’art.83 punto 2 Gdpr al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene conto dei seguenti elementi:

a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;

b) il carattere doloso o colposo della violazione;

c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;

d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;

e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;

f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;

g) le categorie di dati personali interessate dalla violazione;

h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;

i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;

j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e

k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

Per il caso esaminato, il responsabile del trattamento, non esente da specifiche incombenze normative, è stato anch’esso sanzionato con ordinanza ingiunzione del 10 febbraio 2022 [9754332] per un importo di 10.000 €.

Dott. Marco Trombadore
Consulente compliance integrata (privacy, antiriciclaggio, responsabilità amministrativa degli enti), DPO e AML Manager.