Data protection

Accesso illegittimo al portale FSE della Regione Molise. Sanzione da parte del garante.

il caso

Il 24 gennaio 2023 la Regione Molise (di seguito Regione) ha trasmesso al Garante, ai sensi dell’art. 33 del Regolamento, una notifica di violazione dei dati personali, riguardante il Portale regionale del FSE (https://fse.regione.molise.it) che, a causa di una “vulnerabilità del sistema”, aveva consentito a un soggetto terzo “attraverso una manipolazione intenzionale della URL di effettuare una ricerca dei dati di altri cittadini presenti in Anagrafe Regionale del Molise”.

In particolare, nella predetta notifica, la Regione ha dichiarato che “sul Portale FSE della Regione Molise l’utente con ruolo “Assistito” è stato in grado, sfruttando una vulnerabilità del sistema attraverso una manipolazione intenzionale della URL, di effettuare una ricerca dei dati di altri cittadini presenti in Anagrafe Regionale del Molise. Nello specifico, manipolando la URL da https://fse.regione.molise.it/fseui/dashboard in https://fse.regione.molise.it/fseui/list l’utente è stato in grado di utilizzare la funzionalità di ricerca cittadino e successivamente selezionandolo accedere alla funzionalità di consultazione dei dati anagrafici e di consultazione del FSE del cittadino stesso” (v. notifica del 24 gennaio, sez. F, punto 7). Secondo quanto dichiarato in atti il numero di assistiti coinvolti è stato pari a 7.

La violazione era stata segnalata al titolare del trattamento (la Regione Molise) da parte del responsabile del trattamento, la Società Engineering Ingegneria Informatica S.P.A.,

Per quanto riguarda le categorie dei dati che il soggetto terzo ha potuto consultare mediante il richiamo dell’URL https://fse.regione.molise.it/fseui/list, la Regione ha dichiarato che “sono riferite a: dati anagrafici (Nome, Cognome, Data di Nascita, Città di Nascita); dati di residenza e domicilio; dati relativi alla assistenza sanitaria (ASL appartenenza, Distretto di appartenenza, Medico di Base, Esenzioni); documenti e referti sanitari (ad es. referti di Laboratorio, referti specialistici, ecc.)” e che la “ricerca deve essere fatta in maniera puntuale con l’inserimento del Codice Fiscale completo e valido o tramite l’inserimento di Nome, Cognome e data di nascita (i tre dati sono obbligatori per finalizzare la ricerca)” (v. nota del 5 maggio 2023, pag. 3).

In particolare, la Regione ha precisato che “a valle dell’analisi dei requisiti tecnici e funzionali del FSE alla quale hanno partecipato Regione Molise, Molise Dati, Tim S.p.A. ed Engineering S.p.A., il sistema è stato progettato e realizzato dal punto di vista informatico da Engineering S.p.A, che, pertanto, rappresenta il soggetto responsabile della progettazione delle procedure di identificazione e autenticazione informatica (Identity Management) nonché di autorizzazione informatica degli assistiti ai fini della consultazione dei documenti presenti nel FSE e delle misure a garanzia della riservatezza dei medesimi documenti”.

In merito alla comunicazione della violazione agli interessati, la Regione ha rappresentato che la gravità del potenziale impatto per gli interessati era “media” in quanto “la falla di sicurezza è stata segnalata dal medesimo soggetto che ha riscontrato la possibilità di accesso a dati non autorizzati. Non si ravvede nel medesimo la volontà di operare in maniera pregiudiziale nei confronti degli interessati”, che la violazione “non è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche” e che “si è ritenuto di non dover procedere alla comunicazione agli interessati, non ravvisando un rischio elevato per i diritti e le libertà degli stessi. In particolare, tenuto conto che la falla di sicurezza veniva segnalata dallo stesso soggetto che aveva effettuato l’accesso non autorizzato, non si deduceva, da parte dello stesso, la volontà di operare in maniera pregiudizievole nei confronti degli interessati”.

l’istruttira condotta  dal garante[1]

Preso atto di quanto rappresentato nella documentazione in atti e nelle memorie difensive, si osserva che:

ai sensi del Regolamento si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento). Il considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”; “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”;

il Regolamento prevede che i dati personali siano essere “trattati in maniera da garantire un’adeguata sicurezza (…) compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento). In proposito, l’art. 32 del Regolamento, concernente la sicurezza del trattamento, stabilisce che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2);

tenendo altresì conto della finalità del FSE e della natura dei dati personali trattati, appartenenti anche a categorie particolari, i trattamenti effettuati nel contesto in esame richiedono l’adozione dei più elevati standard di sicurezza, al fine di non compromettere la riservatezza, l’integrità e la disponibilità dei dati personali di milioni di interessati. Su tale base, gli obblighi di sicurezza imposti dal Regolamento richiedono l’adozione di rigorose misure tecniche e organizzative, includendo, oltre a quelle espressamente individuate dall’art. 32, par. 1, lett. da a) a d), anche tutte quelle necessarie ad attenuare i rischi che i trattamenti presentano.

l’art. 25, par. 1, del Regolamento prevede che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento [debba mettere] in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati” (cfr. anche cons. 75 e 78 del Regolamento).

in base al principio di “protezione dei dati fin dalla progettazione”, il titolare del trattamento è tenuto, pertanto, ad attuare i principi di protezione dei dati (art. 5 del Regolamento) adottando misure tecniche e organizzative adeguate e integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati. Il considerando 78 del Regolamento suggerisce una responsabilità dei titolari, ossia quella di valutare costantemente se stiano utilizzando, in qualunque momento, i mezzi appropriati di trattamento e se le misure scelte contrastino effettivamente le vulnerabilità esistenti. Inoltre, i titolari dovrebbero effettuare revisioni periodiche delle misure di sicurezza poste a presidio e tutela dei dati personali, nonché della procedura per la gestione delle violazioni dei dati. L’obbligo di mantenere, verificare e aggiornare, ove necessario, il trattamento si applica anche ai sistemi preesistenti. Ciò implica che i sistemi progettati prima dell’entrata in vigore del Regolamento devono essere sottoposti a verifiche e manutenzione per garantire l’applicazione di misure e garanzie che mettano in atto i principi e i diritti degli interessati in modo efficace[2];

con particolare riferimento al principio di “integrità e riservatezza” (art. 5, par. 1, lett. f), del Regolamento), il titolare deve (cfr. le citate “Linee guida 4/2019 sull’articolo 25”, spec. punto 85) tenere conto non appena possibile dei requisiti di sicurezza nella progettazione e nello sviluppo del sistema, integrando e svolgendo costantemente test pertinenti;

la violazione dei dati personali oggetto della presente istruttoria è stata portata a conoscenza dell’Autorità da parte della predetta Regione, a cui è stata rappresentata dal responsabile del trattamento a seguito della segnalazione di un assistito;

spetta al titolare del trattamento “mettere in atto misure adeguate ed efficaci [e a …] dimostrare la conformità delle attività di trattamento con il […] Regolamento, compresa l’efficacia delle misure” adottate (cons. 74 del Regolamento), anche qualora si avvalga di un responsabile per lo svolgimento di alcune attività di trattamento, al quale deve impartire specifiche istruzioni, anche sotto il profilo della sicurezza (cons. 81 e art. 32, parr. 1, lett. d), e 4, del Regolamento).

Infatti, il titolare deve porre in essere le misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato in conformità al Regolamento[3];

come indicato nelle richiamate Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento “Sebbene la catena possa essere alquanto lunga, il titolare del trattamento mantiene un ruolo centrale nella determinazione della finalità e dei mezzi dello stesso” (punto 152); infatti “anche se le decisioni sui mezzi non essenziali possono essere lasciate al responsabile del trattamento, il titolare del trattamento deve comunque stabilire determinati elementi nell’accordo sul trattamento dei dati quali, ad esempio, in relazione al requisito della sicurezza, l’istruzione di adottare tutte le misure richieste a norma dell’articolo 32 del GDPR”. Detto ciò le predette Linee guida aggiungono che “In ogni caso, il titolare del trattamento rimane responsabile dell’attuazione di misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento (punto 41 delle Linee guida e art 24 del Regolamento)”;

dall’esame delle informazioni e della documentazione fornita dalla Regione, emerge che il Portale FSE della Regione Molise, reso disponibile all’indirizzo https://fse.regione.molise.it, a causa di una “vulnerabilità” ha consentito a un utente autenticato con il ruolo di ”assistito” “attraverso una manipolazione intenzionale della URL, di effettuare una ricerca dei dati di altri cittadini presenti in Anagrafe Regionale del Molise”, in assenza di una verifica dei permessi di autorizzazione attribuiti all’utente per l’accesso a tali dati;

il titolare del trattamento non aveva adottato misure e garanzie adeguate ad attuare efficacemente il principio di “integrità e riservatezza” (cfr. paragrafo 3.3), tenendo conto anche dei rischi per i diritti e le libertà degli interessati derivanti dai trattamenti in esame. Alla luce di quanto sopra esposto, si ravvisano gli estremi di una violazione del principio della “protezione dei dati fin dalla progettazione” di cui all’art. 25, par. 1, del Regolamento da parte di codesta Regione;

La sanzione.

Alla luce delle valutazioni sopra richiamate, si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione Molise nei termini di cui in motivazione, in violazione degli artt. artt. 5, par. 1, lett. f), 25 e 32 del Regolamento.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

La violazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, parr. 4 e 5 del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere dalla Regione Molise, di cui è stata accertata l’illiceità, nei termini sopra esposti.

Ritenuto di dover applicare il paragrafo 3 dell’art. 83 del Regolamento laddove prevede che “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento […] viola, con dolo o colpa, varie disposizioni del presente Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, l’importo totale della sanzione è calcolato in modo da non superare il massimo edittale previsto dal medesimo art. 83, par. 5.

Alla luce di quanto sopra illustrato, si ritiene che il livello di gravità della violazione commessa dalla Regione Molise sia basso[4].

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:

l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuata dalla Regione Molise, che con riferimento ai trattamenti in esame, anche alla luce della specifica disciplina di settore, opera in qualità di titolare del trattamento;

il trattamento in esame riguarda dati idonei a rilevare informazioni sulla salute (dati anagrafici e di residenza, dati relativi all’assistenza sanitaria ricevuta (ASL di appartenenza, distretto di appartenenza, nominativo del medico di base, eventuale titolarità di esenzioni), dati sanitari desumibili dai documenti e dai referti sanitari eventualmente presenti nello specifico fascicolo sanitario elettronico (ad es. referti di laboratorio, referti specialistici, ecc.) di 7 soggetti che sono stati esposti a possibili accessi illeciti per circa 45 giorni (dal 14 novembre al 30 dicembre 2022);

il tipo di vulnerabilità riscontrato non era né di facile rilevazione, né di semplice sfruttamento, richiedendo la previa conoscenza della URL di destinazione https://fse.regione.molise.it/fseui/list  e una manipolazione intenzionale della URL;

la Regione ha dimostrato un elevato grado di cooperazione adoperandosi al fine di introdurre nell’immediato misure idonee a superare le vulnerabilità sopra evidenziate;

la Regione Molise non è stata destinataria di altri provvedimenti sanzionatori e correttivi in merito alla fattispecie in esame.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti della Regione Molise la sanzione amministrativa del pagamento di una somma pari ad euro 10.000,00 (diecimila/00).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l’ordinanza ingiunzione sul sito Internet del Garante.

Considerazioni a uso dei titolari del trattamento.

Dal caso sopra descritto si possono trarre una serie di insegnamenti da riverberare nel trattamento dei dati personali; di seguito ne riportiamo alcuni.

  1. Qualora il trattamento dei dati personali che si intenda avviare comporti l’intervento di uno o più soggetti terzi, è necessario disciplinare i ruoli privacy e, di conseguenza, individuare i relativi perimetri di responsabilità.

Anche nel caso in cui la filiera dei soggetti che partecipano al trattamento dei dati personali sia “lunga”, con più responsabili ed, eventualmente, con più sub-responsabili, resta ferma la regola secondo la quale è il titolare che risponde per eventuali violazioni della normativa, di conseguenza il contratto che viene stipulato in attuazione dell’art. 28 del GDPR dovrà essere il più possibile dettagliato, andando ad indicare, in prima battuta i seguenti aspetti: la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi ed i diritti del titolare del trattamento.

  • Se il trattamento è stato avviato in data anteriore all’applicazione del regolamento UE 2016/679, il titolare del trattamento è sempre tenuto ad assicurare il principio di Privacy by design, a mente del quale “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

Sempre in applicazione di suddetto principio, il titolare del trattamento deve mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.  Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità a suddetto principio di Privacy by Design.

  • Il trattamento dei dati personali non può prescindere dal rispetto dei principi di «liceità, correttezza e trasparenza»; «limitazione della finalità»; «minimizzazione dei dati»; «esattezza».
  • L’applicazione di suddetti principi richiede, altresì, al titolare del trattamento di essere in grado di comprovarlo.

[1] Provvedimento del 27 novembre 2024, n. 761; link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10095854

[2] Cfr. le “Linee guida 4/2019 sull’articolo 25 – Protezione dei dati fin dalla progettazione e per impostazione predefinita” adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020, spec. punti 7, 38, 39 e 84.

[3] Cfr. artt. 5, par. 2, e 24 del Regolamento; cfr. le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, spec. punto 41.

[4] Cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

anonimizzazione

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Garante privacy controllo a distanza
Lavoro: Garante privacy, no al controllo a distanza
14 Maggio 2025
Fascicolo Sanitario Elettronico
Il Fascicolo Sanitario Elettronico e gli adempimenti in carico al titolare del trattamento.
11 Novembre 2024
Sistemi AI
Obbligo in capo ai fornitori ed agli utilizzatori di sistemi di IA di garantire un livello sufficiente di alfabetizzazione dei propri dipendenti e di coloro che utilizzano i sistemi per loro conto.
27 Marzo 2025

Start typing and press Enter to search