Provvedimento del 27 novembre 2024 [10095761]

VEDI ANCHE Newsletter del 31 gennaio 2025

[doc. web n. 10095761]

Provvedimento del 27 novembre 2024

Registro dei provvedimenti
n. 762 del 27 novembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il Cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del Garante n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il prof. Pasquale Stazione;

PREMESSO

1. L’attività istruttoria.

Il 24 gennaio 2023 la Regione Molise (di seguito Regione) ha trasmesso al Garante, ai sensi dell’art. 33 del Regolamento, una notifica di violazione dei dati personali, riguardante il Portale regionale del FSE (https://fse.regione.molise.it) che, a causa di una “vulnerabilità del sistema”, aveva consentito a un soggetto terzo “attraverso una manipolazione intenzionale della URL di effettuare una ricerca dei dati di altri cittadini presenti in Anagrafe Regionale del Molise”.

In particolare, nella predetta notifica, la Regione ha dichiarato che “sul Portale FSE della Regione Molise l’utente con ruolo “Assistito” è stato in grado, sfruttando una vulnerabilità del sistema attraverso una manipolazione intenzionale della URL, di effettuare una ricerca dei dati di altri cittadini presenti in Anagrafe Regionale del Molise. Nello specifico, manipolando la URL da https://fse.regione.molise.it/fseui/dashboard in https://fse.regione.molise.it/fseui/list l’utente è stato in grado di utilizzare la funzionalità di ricerca cittadino e successivamente selezionandolo accedere alla funzionalità di consultazione dei dati anagrafici e di consultazione del FSE del cittadino stesso” (v. notifica del 24 gennaio, sez. F, punto 7). Secondo quanto dichiarato in atti il numero di assistiti coinvolti è stato pari a 7.

In merito a quanto rappresentato dalla Regione, l’Ufficio ha effettuato due richieste di informazioni (note del 21 febbraio e del 17 aprile 2023) -a cui è stato fornito riscontro con le note del 3 marzo e del 5 maggio 2023- al fine di acquisire maggiori dettagli circa la violazione e gli interventi effettuati per rimuovere la vulnerabilità evidenziata, nonché elementi informativi sui ruoli dei diversi soggetti che sono intervenuti nei trattamenti oggetto di violazione, sulle misure tecniche e organizzative relative alle procedure di identificazione, autenticazione informatica (Identity Management) e di autorizzazione degli assistiti ai fini della consultazione dei propri documenti presenti nel FSE, sui soggetti responsabili della progettazione di tali procedure e sulle valutazioni effettuate in ordine ai rischi per i diritti e le libertà per gli interessati derivanti dalla violazione, anche al fine di verificare la sussistenza dei presupposti per la comunicazione della stessa agli interessati coinvolti.

In riscontro alle predette richieste di informazioni la Regione ha chiarito che “in data 17 gennaio 2023 il Sig. […] segnalava a questo Ente, mediante posta elettronica certificata […] un problema di sicurezza informatica riscontrato mentre visionava il suo fascicolo sanitario elettronico” e che “l’accesso è stato possibile alterando manualmente e forzatamente la URL (non visibile e accessibile agli utenti con il ruolo di Assistito); il segnalante, con il ruolo di assistito, ha forzato il sistema modificando la URL con il conseguente utilizzo della funzionalità di ricerca e consultazione dei dati. La funzionalità di ricerca era preclusa nella normale navigazione a sistema. Resta ignota la modalità con cui l’assistito si sia procurata l’esatta URL “https://fse.regione.molise.it/fseui/list” per poter fare la forzatura nel sistema” (v. nota del 3 marzo 2023, pag. 1 e allegato 1 e pag. 2 dell’allegato 2 alla medesima).

Per quanto riguarda le categorie dei dati che il soggetto terzo ha potuto consultare mediante il richiamo dell’URL https://fse.regione.molise.it/fseui/list, la Regione ha dichiarato che “sono riferite a: dati anagrafici (Nome, Cognome, Data di Nascita, Città di Nascita); dati di residenza e domicilio; dati relativi alla assistenza sanitaria (ASL appartenenza, Distretto di appartenenza, Medico di Base, Esenzioni); documenti e referti sanitari (ad es. referti di Laboratorio, referti specialistici, ecc.)” e che la “ricerca deve essere fatta in maniera puntuale con l’inserimento del Codice Fiscale completo e valido o tramite l’inserimento di Nome, Cognome e data di nascita (i tre dati sono obbligatori per finalizzare la ricerca)” (v. nota del 5 maggio 2023, pag. 3).

Con riferimento alle misure in essere al momento della violazione, la Regione ha richiamato il documento allegato alla notifica redatto dalla società Engineering Ingegneria Informatica S.P.A., designata responsabile del trattamento, con cui la medesima società ha comunicato la violazione dei dati alla Regione. Tra le misure tecniche ed organizzative adottate con riferimento ai trattamenti dei dati oggetto di violazione descritte nel predetto documento, sono indicate le attività di vulnerability assessment e penetration test svolti con cadenza periodica da un team preposto indipendente (v. notifica del 24 gennaio 2023).

Al riguardo, la Regione ha inoltre dichiarato che “le misure tecniche di autenticazione sono tutte rimandate al proxy regionale (gestito dalla Molise Dati) di accesso SPID e CIE. La Web APP accede al proxy tramite un URL compreso di token di autenticazione. Il sistema riceve in risposta un body con i dati anagrafici che, a seconda del tipo di autenticazione, variano. Il middleware effettua i controlli in Anagrafe per controllare se effettivamente l’utenza è un assistito della regione Molise. In caso contrario viene rimandato alla pagina di autenticazione del sistema. In caso positivo al momento dell’accesso e alla selezione del ruolo viene generato il token dall’User Manager (modulo software per la gestione degli utenti) al fine di essere autorizzato all’utilizzo dei servizi API per la ricerca in anagrafe e alla documentale. […] sono stati configurati i seguenti ruoli: 1. Medico/Dirigente Sanitario; 2. MMG/PLS; 3. Farmacista; 4. Operatore Amministrativo; 5. Assistito; 6. Tutore, Informal giver, Genitore. Per ognuno di questi ruoli sono state determinate le tipologie di interazioni che possono essere svolte” (v. nota del 3 marzo 2023, pagg. 2 e 3 dell’allegato 2 alla medesima).

In particolare, la Regione ha precisato che “a valle dell’analisi dei requisiti tecnici e funzionali del FSE alla quale hanno partecipato Regione Molise, Molise Dati, Tim S.p.A. ed Engineering S.p.A. (All. 6 denominato “FSE Regione Molise-Ruoli e permessi.pdf”), il sistema è stato progettato e realizzato dal punto di vista informatico da Engineering S.p.A, che, pertanto, rappresenta il soggetto responsabile della progettazione delle procedure di identificazione e autenticazione informatica (Identity Management) nonché di autorizzazione informatica degli assistiti ai fini della consultazione dei documenti presenti nel FSE e delle misure a garanzia della riservatezza dei medesimi documenti” (v. nota del 5 maggio 2023, pag. 2).

Con riferimento alle misure adottate a seguito della violazione, la Regione ha rappresentato che “è stata condotta un’analisi della possibile causa da cui è derivata la segnalazione, quindi, è stata fatta un’analisi dei log di tutti i moduli applicativi a tutti i livelli e successivamente è stata condotta un’analisi del codice per circoscrivere il bug e risolverlo definitivamente. La prima misura adottata è stata quella di inibire la possibilità di accedere alla pagina https://fse.regione.molise.it/fseui/list tramite chiamata diretta da browser. La seconda misura adottata è stata quella di implementare attraverso controlli inseriti nel codice sorgente un controllo che consenta di verificare che la pagina web https://fse.regione.molise.it/fseui/list non sia in alcun modo visibile ed utilizzabile da utenti autenticati con il ruolo “Assistito”” (v. notifica del 24 gennaio 2023, sez. H, punto 1).

Per quanto attiene alle misure adottate per prevenire simili violazioni in futuro, è stato poi dichiarato di aver “richiesto a Molise Dati di dar luogo ad una analisi finalizzata a valutare eventuali presenze di simili errori nel software sviluppato dalla società Engineering SpA” (v. notifica del 24 gennaio 2023, sez. H, punto 2).

In merito alla comunicazione della violazione agli interessati, la Regione ha rappresentato che la gravità del potenziale impatto per gli interessati era “media” in quanto “la falla di sicurezza è stata segnalata dal medesimo soggetto che ha riscontrato la possibilità di accesso a dati non autorizzati. Non si ravvede nel medesimo la volontà di operare in maniera pregiudiziale nei confronti degli interessati”, che la violazione “non è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche” e che “si è ritenuto di non dover procedere alla comunicazione agli interessati, non ravvisando un rischio elevato per i diritti e le libertà degli stessi. In particolare, tenuto conto che la falla di sicurezza veniva segnalata dallo stesso soggetto che aveva effettuato l’accesso non autorizzato, non si deduceva, da parte dello stesso, la volontà di operare in maniera pregiudizievole nei confronti degli interessati” (v. notifica del 24 gennaio 2023, sez. G, punto 3, e sez. L, punto 1 e nota del 3 marzo 2023 pag. 2 in riscontro alla richiesta di informazioni del 21 febbraio 2023).

Sulla base di quanto sopra rappresentato, con nota del 28 settembre 2023 (prot. 133809), l’Ufficio ha effettuato una notifica di violazione di cui all’art. 166, comma 5, del Codice alla Regione Molise in quanto è stato rilevato che il trattamento di dati personali in esame è stato effettuato in maniera non conforme al principio di “integrità e riservatezza” (art. 5, par. 1, lett. f), del Regolamento), non adottando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (art. 32 del Regolamento) e adeguate, fin dalla progettazione dei trattamenti effettuati nell’ambito del FSE, ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati, in violazione dell’art. 25 del Regolamento.

Con nota del 27 ottobre 2023, la Regione ha fatto pervenire le proprie memorie difensive nell’ambito delle quali ha rappresentato, in particolare:

– di aver demandato “l’attività di implementazione tecnica del FSE a Molise Dati S.p.A., organismo in house providing della Regione Molise” che con “atto allegato alla deliberazione di Giunta regionale n. 143 del 20 maggio 2021” veniva designata “quale responsabile del trattamento relativamente allo “svolgimento di tutte le attività dettagliate nei documenti approvati con DGR n. 571 del 30 dicembre 2019 e n. 59 del 7/2/2020 riguardanti il rapporto convenzionale tra la Regione Molise e la Molise Dati nel campo dell’informatica sanitaria””. Tale nomina, in atti, prevede:

“l’obbligo di implementare i principi di privacy by design e privacy by default;

ii l’obbligo di mettere in atto misure di sicurezza adeguate alla protezione dei dati personali oggetto di trattamento, inclusa la “…definizione di appropriate soluzioni tecniche ed organizzative rivolte alla regolamentazione degli accessi logici…profili autorizzativi definiti in funzione del principio del “Need to Know”” e della “…esecuzione di attività rivolte a individuare le vulnerabilità nelle applicazioni e nelle infrastrutture tecniche funzionali all’erogazione del servizio ed attivazione di opportuni piani di mitigazione”;

iii la facoltà di ricorrere ad eventuali sub-responsabili del trattamento, nel rispetto di determinati requisiti formali e sostanziali”;

che “nell’esecuzione dell’incarico ricevuto, e rilevata la necessità di rivolgersi ad un partner tecnologico specializzato, Molise Dati S.p.A. aderiva al Contratto Quadro SPC Cloud Lotto 1 di Consip S.p.A., stipulando, in data 28 ottobre 2020, il contratto esecutivo n. 2000379980709001COE con un R.T.I. composto da TIM S.p.A., Enterprise Services Italia S.r.l., Poste Italiane S.p.A., Postecom S.p.A. e Postel S.p.A.”;

– che “contestualmente alla stipulazione del contratto di servizio, Molise Dati S.p.A. e TIM S.p.A. sottoscrivevano l’atto di “nomina a responsabile del trattamento” ad esso allegato, nel quale, per quel che qui rileva, veniva delimitato l’ambito del trattamento e stabilito l’obbligo del fornitore di (…) “adottare tutte le misure tecniche ed organizzative che soddisfino i requisiti del Regolamento UE al fine di assicurare un adeguato livello di sicurezza dei trattamenti”;

– che “rispetto alle operazioni di trattamento dei dati personali oggetto della violazione, quindi:(i) la Regione Molise assumeva il ruolo di (con)titolare del trattamento; (ii) Molise Dati S.p.A. assumeva il ruolo di responsabile del trattamento; (iii) TIM S.p.A. assumeva il ruolo di sub-responsabile del trattamento, designato da Molise Dati S.p.A. in virtù dell’apposita facoltà attribuita con l’atto di designazione; (iv) Engineering Ingegneria Informatica S.p.A. assumeva il ruolo di ulteriore subresponsabile del trattamento, designato da TIM S.p.A. in virtù dell’apposita clausola contenuta nell’atto di nomina a responsabile del trattamento stipulato con Molise Dati S.p.A..”;

– che “Molise Dati S.p.A. avviava immediatamente un’indagine volta a verificare l’effettiva sussistenza del problema di sicurezza informatica segnalata dal cittadino, chiedendo al subresponsabile Engineering Ingegneria Informatica S.p.A. di svolgere ogni più opportuno accertamento. All’esito delle verifiche effettuate, in data 21 gennaio 2023 Engineering Ingegneria Informatica S.p.A. trasmetteva a Molise Dati S.p.A. un documento, denominato “report”, nel quale veniva dato atto dell’effettiva presenza del bug rilevato dal segnalante. In particolare, secondo quanto esposto dal sub-responsabile, “sul Portale FSE della Regione Molise l’utente con ruolo “Assistito” è stato in grado, sfruttando una vulnerabilità del sistema attraverso una manipolazione intenzionale della URL, di effettuare una ricerca dei dati di altri cittadini presenti in Anagrafe Regionale del Molise. Nello specifico, manipolando la URL da https://fse.regione.molise.it/fseui/dashboard in https://fse.regione.molise.it/fseui/list l’utente è stato grado di utilizzare la funzionalità di ricerca cittadino e successivamente selezionandolo accedere alla funzionalità di consultazione dei dati anagrafici e di consultazione del FSE del cittadino stesso”;

– che “con nota del 23 gennaio 2023, Molise Dati S.p.A. segnalava alla Regione Molise la violazione dei dati personali, dando atto di aver immediatamente provveduto a svolgere “un’analisi tecnica in collaborazione con Engineering S.p.A., nella sua qualità di Cloud Enabler di TIM S.p.A. nel progetto FSE”, di aver rilevato l’effettiva sussistenza di “…un bug di sicurezza, che consentiva ad un utente con ruolo “Assistito” di poter effettuare una ricerca dei dati di altri cittadini presenti sul FSE e di poter consultare tali dati” e di aver provveduto a correggere tale problema di sicurezza informatica”;

– che “ad integrazione della precedente nota, in data 24 gennaio 2023 Molise Dati S.p.A. trasmetteva alla Regione Molise il documento denominato “report” predisposto da Engineering Ingegneria Informatica S.p.A. ed il giorno successivo il Direttore Generale per la Salute della Regione Molise dava atto al Presidente, all’ASREM e a Molise Dati S.p.A. di aver provveduto alla notificazione”.

In relazione a quanto emerso dalle memorie della Regione, l’Ufficio ha avviato un procedimento sanzionatorio anche nei confronti delle società Molise dati S.p.A. e Engineering ingegneria informatica S.p.A. (note del 5 febbraio 2024).

In particolare, il coinvolgimento della società Molise dati S.p.A., è stato effettuato in considerazione di quanto rappresentato dalla predetta Regione in merito all’aver demandato “l’attività di implementazione tecnica del FSE a Molise Dati S.p.A., organismo in house providing della Regione Molise” che con “atto allegato alla deliberazione di Giunta regionale n. 143 del 20 maggio 2021” veniva designata “quale responsabile del trattamento” e che tale nomina, in atti, prevede, tra l’altro, l’obbligo di mettere in atto misure di sicurezza adeguate alla protezione dei dati personali oggetto di trattamento, inclusa la “…definizione di appropriate soluzioni tecniche ed organizzative rivolte alla regolamentazione degli accessi logici…profili autorizzativi definiti in funzione del principio del “Need to Know”” e della “…esecuzione di attività rivolte a individuare le vulnerabilità nelle applicazioni e nelle infrastrutture tecniche funzionali all’erogazione del servizio ed attivazione di opportuni piani di mitigazione”.

Alla luce di tali elementi è stato rilevato che il trattamento di dati personali in questione è stato effettuato dalla società Molise dati S.p.A. omettendo di mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, in violazione dell’art. 32 del Regolamento.

Con nota del 21 marzo 2024 la società Molise dati ha presentato le proprie memorie difensive in cui è stato rappresentato, in particolare, che:

“la Regione Molise demandava alla Società l’attività di implementazione tecnica del FSE e, con atto allegato alla deliberazione di Giunta regionale n. 143 del 20 maggio 2021, la designava quale responsabile del trattamento (…) attribuendole, per quel che qui rileva, la facoltà di ricorrere ad eventuali sub-responsabili del trattamento, nel rispetto di determinati requisiti formali e sostanziali”;

“Nell’esecuzione dell’incarico ricevuto, e rilevata la necessità di rivolgersi ad un partner tecnologico specializzato, la Società aderiva al Contratto Quadro SPC Cloud Lotto 1 di Consip S.p.A., stipulando, in data 28 ottobre 2020, il contratto esecutivo (…) con un R.T.I. composto da TIM S.p.A., Enterprise Services Italia S.r.l., Poste Italiane S.p.A., Postecom S.p.A. e Postel S.p.A. Il contratto stipulato con il predetto R.T.I. aveva ad oggetto la fornitura di servizi cloud IaaS, PaaS e servizi di cloud enabling per la migrazione dell’originaria web app del FSE da un ambiente di tipo “on-premises” al cloud SPC, con contestualmente replatforming della web app per adattarla al nuovo ambiente sfruttando i servizi di cloud enabling, e prevedeva espressamente che l’esecuzione delle prestazioni indicate nell’apposito capitolato sarebbe stata affidata a Engineering Ingegneria Informatica S.p.A.”;

“Contestualmente alla stipulazione del contratto di servizio, la Società e TIM S.p.A. sottoscrivevano l’atto di “nomina a responsabile del trattamento” ad esso allegato, nel quale, per quel che qui rileva, veniva delimitato l’ambito del trattamento e stabilito l’obbligo del fornitore di: (…) “assicurare”, in caso di ricorso ad un sub-responsabile del trattamento, che questi rispetti “obblighi analoghi a quelli forniti dall’Amministrazione al Responsabile Iniziale del trattamento <oppure sub-responsabile del trattamento” e che “il sub-Responsabile del trattamento presenti garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per l’adozione di misure tecniche ed organizzative appropriate di modo che il trattamento risponda ai principi e alle esigenze del Regolamento UE””;

“Engineering Ingegneria Informatica S.p.A. rappresentava, quindi, il soggetto responsabile della progettazione e della realizzazione, dal punto di vista tecnico, del sistema informatico impiegato per la gestione del fascicolo sanitario elettronico, inclusa la progettazione delle procedure di identificazione e autenticazione informatica (Identity Management) nonché di autorizzazione informatica degli assistiti ai fini della consultazione dei documenti presenti nel FSE e delle misure a garanzia della riservatezza dei medesimi documenti”;

“Il portale veniva reso operativo e rilasciato al pubblico in data 18 agosto 2022” e in data 17 gennaio 2023 perveniva la segnalazione in oggetto;

“All’esito delle verifiche effettuate, in data 21 gennaio 2023 Engineering Ingegneria Informatica S.p.A. trasmetteva alla Società un documento, denominato “report”, nel quale veniva dato atto dell’effettiva presenza del bug rilevato dal segnalante”;

“Engineering Ingegneria Informatica S.p.A. dava atto, inter alia, delle pratiche di “vulnerability assessment & penetration test” adottate conformemente al contratto di servizio ed all’addendum ex art. 28, par. 4 GDPR, ed in particolare  del periodico espletamento di test volti a verificare la sicurezza dell’applicativo, con registrazione di eventuali eventi anomali rilevati (…);  dell’impiego, a tal fine, di una serie di strumenti ed applicativi da parte di un team dedicato (..)”;

“Engineering Ingegneria Informatica S.p.A. dava contestualmente atto di aver svolto un’indagine sulle cause della violazione e, una volta individuato il bug, di aver provveduto alla relativa risoluzione, effettuando l’integrale ed esclusiva responsabilità dell’accaduto grava sui sub-responsabili del trattamento incaricati di curare la fase d’implementazione del F.S.E.”;

“l’incidente di sicurezza che ha provocato la perdita di riservatezza dei dati è stato reso possibile esclusivamente da un errore di programmazione commesso dal sub-fornitore Engineering Ingegneria Informatica S.p.A. nella fase di esecuzione delle operazioni demandategli, e che, nonostante il dichiarato svolgimento di attività di costante verifica (penetration tests e vulnerability assessments), non è stato in grado di rilevare la specifica vulnerabilità informatica oggetto della successiva segnalazione”.

2. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato nella documentazione in atti e nelle memorie difensive, si osserva che:

ai sensi del Regolamento si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento). Il considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”; “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”;

il Regolamento prevede che i dati personali siano essere “trattati in maniera da garantire un’adeguata sicurezza (…) compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento). In proposito, l’art. 32 del Regolamento, concernente la sicurezza del trattamento, stabilisce che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2);

tenendo altresì conto della finalità del FSE e della natura dei dati personali trattati, appartenenti anche a categorie particolari, i trattamenti effettuati nel contesto in esame richiedono l’adozione dei più elevati standard di sicurezza, al fine di non compromettere la riservatezza, l’integrità e la disponibilità dei dati personali di milioni di interessati. Su tale base, gli obblighi di sicurezza imposti dal Regolamento richiedono l’adozione di rigorose misure tecniche e organizzative, includendo, oltre a quelle espressamente individuate dall’art. 32, par. 1, lett. da a) a d), anche tutte quelle necessarie ad attenuare i rischi che i trattamenti presentano;

dall’esame delle informazioni e della documentazione fornita dalla Regione, emerge che il Portale FSE della Regione Molise, reso disponibile all’indirizzo https://fse.regione.molise.it, a causa di una “vulnerabilità” ha consentito a un utente autenticato con il ruolo di ”assistito” “attraverso una manipolazione intenzionale della URL, di effettuare una ricerca dei dati di altri cittadini presenti in Anagrafe Regionale del Molise”, in assenza di una verifica dei permessi di autorizzazione attribuiti all’utente per l’accesso a tali dati;

la Regione aveva demandato “l’attività di implementazione tecnica del FSE a Molise Dati S.p.A., organismo in house providing della Regione Molise” in qualità di “responsabile del trattamento” e che tale nomina, in atti, prevede, tra l’altro, l’obbligo di mettere in atto misure di sicurezza adeguate alla protezione dei dati personali oggetto di trattamento, inclusa la “…definizione di appropriate soluzioni tecniche ed organizzative rivolte alla regolamentazione degli accessi logici…profili autorizzativi definiti in funzione del principio del “Need to Know”” e della “…esecuzione di attività rivolte a individuare le vulnerabilità nelle applicazioni e nelle infrastrutture tecniche funzionali all’erogazione del servizio ed attivazione di opportuni piani di mitigazione”;

il trattamento di dati personali in questione è stato effettuato dalla società Molise dati omettendo di mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, come previsto dall’atto di nomina a responsabile, in violazione dell’art. 32 del Regolamento;

le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021 indicano che sul responsabile del trattamento incombe la responsabilità, nei confronti del titolare del trattamento, di assicurare il rispetto degli obblighi in materia di protezione dei dati da parte degli altri sub-responsabili del trattamento (punto 129). Sebbene la catena possa essere alquanto lunga, il titolare del trattamento mantiene un ruolo centrale nella determinazione della finalità e dei mezzi dello stesso (punto 152) e anche il responsabile del trattamento conserva nei confronti del titolare l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile (articolo 28, paragrafo 4, del GDPR) (punto 159).

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si rileva l’illiceità del trattamento di dati personali effettuato dalla società Molise dati nei termini di cui in motivazione, in violazione dell’art. 32 del Regolamento.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione dell’art. 32 del Regolamento comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 4 del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere dalla società Molise dati, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Alla luce di quanto sopra illustrato, si ritiene che il livello di gravità della violazione commessa dalla società Molise dati sia basso (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:

l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione di dati personali effettuata dalla Regione Molise, che con riferimento ai trattamenti in esame, anche alla luce della specifica disciplina di settore, opera in qualità di titolare del trattamento che in tale veste ha designato la società Molise dati responsabile del trattamento;

il trattamento in esame riguarda dati idonei a rilevare informazioni sulla salute (dati anagrafici e di residenza, dati relativi all’assistenza sanitaria ricevuta (ASL di appartenenza, distretto di appartenenza, nominativo del medico di base, eventuale titolarità di esenzioni), dati sanitari desumibili dai documenti e dai referti sanitari eventualmente presenti nello specifico fascicolo sanitario elettronico (ad es. referti di laboratorio, referti specialistici, ecc.)) di 7 soggetti che sono stati esposti a possibili accessi illeciti per circa 45 giorni (dal 14 novembre al 30 dicembre 2022);

il tipo di vulnerabilità rilevato non era né di facile rilevazione né di semplice sfruttamento, richiedendo la previa conoscenza della URL di destinazione “https://fse.regione.molise.it/fseui/list e una manipolazione intenzionale della URL;

la società Molise dati ha dimostrato un elevato grado di cooperazione adoperandosi al fine di garantire che fossero introdotte nell’immediato misure idonee a superare le vulnerabilità sopra evidenziate;

la società Molise dati non è stata destinataria di altri provvedimenti sanzionatori e correttivi in merito alla fattispecie in esame.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti della società Molise dati la sanzione amministrativa del pagamento di una somma pari ad euro 10.000,00 (diecimila/00).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi degli artt. 57, par. l, lett. a) e 83 del Regolamento, dichiara l’illiceità del trattamento dei dati personali effettuato dalla società Molise dati S.p.A. con sede in Via Insorti d’Ungheria, n. 81 – 86100 Campobasso (CB), C.F. / P. IVA 00379980709, per la violazione dei principi di integrità e riservatezza (art. 32 del Regolamento), nei termini di cui in motivazione;

ORDINA

b) ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, alla predetta Società,  di pagare la somma di euro 10.000,00 (diecimila/00) a titolo di sanzione amministrativa pecuniaria, per aver violato l’art. 32 del Regolamento, come sopra descritto;

INGIUNGE

c) alla società Molise dati di pagare la predetta somma di euro 10.000,00 (diecimila/00), secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

d) ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

e) ai sensi dell’art. 154 bis, comma 3 del Codice dispone la pubblicazione del presente provvedimento sul sito del Garante.

f) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 novembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei