Data breach: Il garante sanziona un istituto bancario

26 Giugno 2020

Data breach, sanzionato dal Garante un istituto bancario

Il Garante per la privacy ha ordinato ad un istituto bancario il pagamento di una sanzione di 600 mila euro al termine di una complessa istruttoria riguardante un data breach causato da accessi abusivi ai dati personali di oltre 700 mila clienti, tra aprile 2016 e luglio 2017. Era stata la banca stessa, a fine luglio 2017, a comunicare all’Autorità, la violazione subita.

Gli accessi abusivi, avvenuti in due momenti distinti, erano stati effettuati utilizzando le utenze di alcuni dipendenti di un partner commerciale esterno alla banca ed avevano riguardato una molteplicità di informazioni (dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di riconoscimento e informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban).

L’attuale sanzione, determinata applicando la disciplina precedente l’entrata in vigore del Gdpr, segue la contestazione di violazioni amministrative notificata alla banca nel maggio 2019, originata a sua volta da un provvedimento adottato dall’Autorità nel marzo 2019 con il quale il Garante aveva accertato la violazione, da parte dell’istituto bancario, delle misure minime di sicurezza previste dal Codice privacy e il mancato rispetto delle regole fissate dalla stessa Autorità nel provvedimento n. 192 del 12 maggio 2011 in materia di tracciamento delle operazioni bancarie.

Il Garante quindi, considerati i rilevanti profili di illiceità del trattamento determinati dalla mancata adozione di misure tecniche e organizzative adeguate e valutate le argomentazioni addotte dalla banca, ha ritenuto necessario l’applicazione della sanzione al fine di salvaguardare i diritti e le libertà delle persone coinvolte, a prescindere dalla notificazione della violazione di dati personali effettuata dalla banca. Nel determinare l’ammontare dell’importo in 600mila euro, l’Autorità ha tenuto conto di diversi elementi, tra i quali il fatto che le violazioni sono state commesse nei confronti di un rilevante numero di persone e che la banca – che non ha subito precedenti provvedimenti sanzionatori del Garante – a seguito del data breach ha adottato diverse misure e iniziative volte a rafforzare la sicurezza dei propri sistemi informatici.

Fonte: Garante Privacy

Relazione annuale 2019, discorso del Presidente e sintesi per la stampa

Roma, 23 Giugno 2020

RELAZIONE SULL’ ATTIVITA’ 2019

Sintesi per la stampa

L’Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano, presenta oggi la Relazione sull’attività svolta nel 2019.

La Relazione illustra i diversi fronti sui quali è stato impegnato il Collegio dell’Autorità nel corso dell’anno di proroga del suo mandato, caratterizzato in questi ultimi mesi dall’impatto determinato dall’emergenza sanitaria legata al Covid-19 su tutti i settori della vita nazionale. La necessità di assicurare un corretto trattamento dei dati – in particolare di quelli sulla salute – e il rispetto dei diritti delle persone, ha visto l’Autorità impegnata nel fornire pareri e indicare misure di garanzia riguardo alla app “Immuni”; all’effettuazione dei test sierologici; alla raccolta dei dati sanitari di dipendenti e clienti; alla ricetta elettronica; alla sperimentazione clinica e alla ricerca medica; all’attivazione dei sistemi di didattica a distanza; al processo penale e amministrativo da remoto.

Il 2019 ha peraltro rappresentato per l’Autorità un anno particolarmente impegnativo ai fini del progressivo adeguamento al Regolamento Ue da parte dei soggetti pubblici e privati per i quali sono oggi previste nuove responsabilità.

Gli interventi più rilevanti

Il 2019 ha visto una serie di interventi centrati innanzitutto sulle rilevanti novità introdotte dal Regolamento Ue e sulle grandi questioni legate alla tutela dei diritti fondamentali delle persone nel mondo digitale: in particolare, le implicazioni etiche della tecnologia; l’economia fondata sui dati; le grandi piattaforme; i big data; l’intelligenza artificiale e le problematiche poste dagli algoritmi; la sicurezza dei sistemi e la protezione dello spazio cibernetico; la pervasività delle diverse forme di controllo e sorveglianza; il ricorso sempre più diffuso ai dati biometrici; la monetizzazione delle informazioni personali; le fake news; l’Internet delle cose; il revenge porn.

Sul fronte delle violazioni dei dati on line e sui rischi di profilazioni occulte l’anno trascorso ha registrato la sanzione di 1 milione di euro applicata a Facebook per le violazioni emerse nell’ambito dell’istruttoria relativa all’ormai nota vicenda “Cambridge Analytica”, che ha interessato anche cittadini italiani.

Riguardo ai pericoli posti da Tik Tok, il social network cinese che consente di creare e condividere audio, video e immagini, usato da milioni di utenti, in gran parte giovanissimi, il Garante ha chiesto e ottenuto la costituzione di una specifica task force  nell’ambito del Comitato europeo che riunisce tutte le Autorità privacy dell’Unione (Edpb).

Sul fronte cybersecurity e sulla scarsa attenzione alle misure di sicurezza da parte di pubbliche amministrazioni, imprese e piattaforme on line, l’Autorità ha proseguito l’attività di vigilanza e intervento, anche a seguito di casi di particolare gravità.

Significativo a questo proposito il numero dei data breach notificati nel 2019 al Garante da parte di soggetti pubblici e privati: 1443.

L’Autorità ha prescritto ad una società che offre servizi di posta elettronica certificata di adottare rigorose misure per la messa in sicurezza del proprio servizio pec e di sanare le vulnerabilità emerse durante un accertamento ispettivo.

Sempre nel 2019, il Garante ha inoltre dato una serie di puntuali prescrizioni per la messa in sicurezza di una piattaforma di partecipazione politica.

In ordine ai trattamenti di dati per fini di sicurezza nazionale e alle garanzie da assicurare ai cittadini, è stata rafforzata la cooperazione con l’intelligence con il nuovo protocollo d’intenti sulla sicurezza cibernetica firmato con il Dis.

E’ proseguito il lavoro svolto per assicurare la protezione dei dati on line, in particolare riguardo ai possibili rischi connessi all’uso degli assistenti digitali, installati sui nostri smartphone o presenti nelle nostre case. Per contrastare il fenomeno del cyberbullismo è stato stipulato un protocollo d’intesa con alcuni Co.Re.Com. con l’obiettivo di rafforzare il sistema di tutele e attivare una rete di intervento tempestiva e coordinata a protezione delle giovani vittime.

Il Garante ha inoltre fornito indicazioni su come difendersi dai software dannosi, in particolare dai ransomware, i programmi informatici che prendono “in ostaggio” un dispositivo elettronico (pc, tablet, smartphone, smart tv per poi chiedere un riscatto (ransom, in inglese) per “liberarlo”. Una minaccia, questa, particolarmente pericolosa nell’epoca del Covid-19 che ha portato molte più persone e per molto più tempo ad essere connesse online.

Nel 2019 si è rafforzata ulteriormente l’attività a tutela del diritto all’oblio e si è sviluppato il confronto in ambito internazionale riguardo ad una sua protezione al di là dei confini europei.

Nel mondo del lavoro il Garante ha definito le garanzie per la raccolta delle impronte digitali dei dipendenti pubblici a fini di lotta all’assenteismo e ha fissato le regole per l’uso delle nuove tecnologie, con particolare riguardo al controllo dei lavoratori e alla gestione della posta elettronica.

Nel settore della giustizia l’Autorità ha proposto misure per assicurare maggiori garanzie nell’uso dei captatori informatici (trojan) a fini investigativi e ha segnalato al Ministro della Giustizia la necessità di una riforma organica per questi strumenti di indagine particolarmente invasivi, anche per limitare i gravi rischi di un loro uso distorsivo emersi da ultimo nel caso “Exodus”.

Nel settore della sanità il Garante è intervenuto a dare chiarimenti  a cittadini, medici, asl e soggetti privati, sulle novità introdotte dal Regolamento Ue e dalla normativa nazionale.

Per quanto riguarda la pubblica amministrazione, il Garante ha richiamato le amministrazioni a rispettare canoni di proporzionalità e a contemperare obblighi di pubblicità degli atti e dignità delle persone.  Ha fissato precise regole per l’esercizio del diritto di accesso civico e ha chiesto più tutele per chi denuncia illeciti con lo strumento del “whistleblowing”. Per il nuovo censimento permanente l’Autorità ha chiesto garanzie per rafforzare la tutela dell’ingente mole di informazioni raccolte, in particolare migliorando le tecniche di pseudonimizzazione dei dati.

Per quanto riguarda il sistema della fiscalità, il Garante ha chiesto tutele per evitare trattamenti sproporzionati dei dati personali dei contribuenti e misure di sicurezza per l’accesso all’archivio dei rapporti finanziari per l’Isee precompilato. Per il sistema di fatturazione elettronica l’Autorità ha ribadito la necessità di garantire la proporzionalità e la selettività nella memorizzazione dei dati dei contribuenti. Sono state fissate inoltre le garanzie per i processi automatizzati ai fini della lotta all’evasione fiscale e sono state stabilite le regole per l’avvio della cosiddetta “lotteria degli scontrini”.

In ambito welfare l’Autorità ha chiesto di rendere conforme il meccanismo di riconoscimento, erogazione e gestione del reddito di cittadinanza alla normativa europea, evitando il monitoraggio troppo invasivo sulle scelte di consumo individuali e assicurando la selettività degli accesi a informazioni relative a fasce deboli della popolazione.

Sul fronte della tutela dei consumatori il Garante è intervenuto contro il telemarketing aggressivo con l’applicazione di pesanti sanzioni (una di 27,8 milioni di euro e un’altra di 11,5 milioni di euro) ad operatori che hanno utilizzato i dati degli abbonati senza il loro consenso. Sono state varate nuove regole a tutela dei consumatori censiti nei sistemi di informazione creditizia, per rispondere alle sfide della digital economy e imporre trasparenza sul funzionamento degli algoritmi.

Un capitolo importante ha riguardato il rapporto tra privacy e diritto di cronaca. Il Garante è intervenuto più volte per stigmatizzare gli eccessi di morbosità che caratterizzano un certo modo di fare informazione e per assicurare le opportune tutele innanzitutto nei confronti delle vittime di abusi sessuali, specie se minori.

Il 2019 ha visto, infine, il Garante costantemente impegnato nell’azione di supporto a imprese e pubbliche amministrazioni con una intensa attività di formazione, anche attraverso progetti di cooperazione internazionale (T4Data e Smedata), ai fini di una corretta ed effettiva applicazione del Regolamento Ue, anche riguardo alla nuova figura del Responsabile della protezione dei dati

Le cifre

Nel 2019 sono stati adottati 232 provvedimenti collegiali.
L’Autorità ha fornito riscontro a oltre 8.000 reclami e segnalazioni riguardanti, tra l’altro il marketing telefonico; la sanità; il credito al consumo; la sicurezza informatica; il settore bancario e finanziario; il lavoro; gli enti locali.

pareri resi dal Collegio su atti regolamentari e amministrativi sono stati 46 ed hanno riguardato l’attività di polizia e sicurezza nazionale; il casellario giudiziale; la digitalizzazione della Pa; le misure contro l’assenteismo e la raccolta delle impronte digitali dei dipendenti pubblici; il testamento biologico; il reddito di cittadinanza; la riforma del Registro pubblico delle opposizioni; il “bonus cultura”; il “whistleblowing”; l’istruzione; la procreazione assistita.

33 sono stati i pareri resi ai sensi della normativa sulla trasparenza.

Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 9 e hanno riguardato l’inosservanza dei provvedimenti del Garante, la falsità nelle dichiarazioni e notificazioni al Garante e un caso di accesso abusivo ad un sistema informativo e telematico.    Le ordinanze-ingiunzione sono state 36.

Le ispezioni effettuate nel 2019 sono state 147. Gli accertamenti, svolti anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, hanno riguardato numerosi settori, sia nell´ambito pubblico che privato. Per quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti effettuati da società di intermediazione finanziaria; da istituti bancari (con particolare riferimento ai flussi di dati verso l’anagrafe dei conti correnti); da società che svolgono attività di marketing e fidelizzazione (anche con riferimento alla profilazione dei clienti). Per quanto riguarda il settore pubblico l´attività di verifica si è concentrata sul Sistema statistico nazionale (Sistan), sullo Spid, sui software per la gestione del “whistleblowing” e sulle banche dati di rilevanti dimensioni.

Per quanto riguarda l’attività di relazione con il pubblico si è dato riscontro a oltre 15.800 quesiti, che hanno riguardato, in maniera preponderante, gli adempimenti connessi all’applicazione del Regolamento Ue, seguiti dalle questioni legate alle telefonate, mail, fax e sms promozionali indesiderati; a Internet; al rapporto di lavoro pubblico e privato; alla videosorveglianza; alle centrali rischi private; ai dati bancari.

L’attività internazionale

Non meno rilevante e intensa l’attività del Garante a livello internazionale, con 137 riunioni, ed è stata caratterizzata soprattutto dall’azione di supporto all’ applicazione del Regolamento in materia di protezione dei dati.
Nell’ambito del Comitato europeo per la protezione dei dati (EDPB), che riunisce le autorità di protezione dati dell’Ue, il Garante ha contribuito all’adozione di numerose linee-guida e pareri su tematiche complesse: i codici di condotta; i principi di privacy by design e by default; i contratti online; la videosorveglianza; i trasferimenti di dati verso Paesi extra-Ue basati su norme vincolanti d’impresa (BCR). Il Garante partecipa, inoltre, ai meccanismi di cooperazione (“sportello unico”) e coerenza previsti dal Regolamento Ue, attraverso scambi quotidiani di informazioni e documentazione (in particolare concernenti decisioni su reclami transfrontalieri) sul sistema IMI utilizzato a tale scopo. Importante anche il lavoro svolto sull’interazione tra Regolamento europeo e Direttiva relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva e-Privacy)

Da sottolineare anche l’attività del Garante italiano per il Consiglio d’Europa, che – attraverso l’apposito Comitato incaricato di seguire le questioni di protezione dati presieduto da una rappresentante del Garante italiano – ha proseguito il lavoro di follow up del Protocollo emendativo della Convenzione 108 che ha dato vita alla cosiddetta “Convenzione 108+”. Il Comitato consultivo della Convenzione 108 ha inoltre adottato le Linee guida in materia di intelligenza artificiale e il Parere relativo alla bozza di secondo protocollo addizionale alla Convenzione di Budapest sul cybercrime. E’ stata infine adottata dal Comitato dei ministri la Raccomandazione sulla protezione dei dati relativi alla salute.

Significativo anche il contributo dato in seno all’OCSE, in particolare riguardo alla sicurezza e alla tutela della privacy nell’economia digitale alla protezione dei minori on line. Si è intensificata anche la collaborazione nell’ambito di gruppi internazionali (quali la Global Privacy Enforcement Network, GPEN), che promuovono interventi congiunti e mirati di verifica del rispetto della normativa in materia di protezione dei dati.Da segnalare anche il lavoro svolto in rapporto alle attività di controllo sull’applicazione nazionale dei regolamenti Ue concernenti il sistema Schengen, Europol (Ufficio europeo di polizia) e VIS (Sistema dei visti).

Il testo della Relazione annuale 2019

Discorso del Presidente Antonello Soro

Roma, 23 giugno 2020

Fonte: Garante Privacy

Seminario Formativo Gratuito Online – Venerdì 26 Giugno 2020

Venerdì  26 Giugno 2020 – ore 09.30/12.00

L’emergenza sanitaria rappresenta  una sfida per le Pubbliche Amministrazioni che dovranno mettere a regime e rendere sistematiche le misure adottate nella fase emergenziale al fine di rendere il lavoro agile lo strumento primario nell’ottica del potenziamento dell’efficacia e dell’efficienza dell’azione amministrativa.

Una rivoluzione che comporterà una riorganizzazione non solo nella gestione del lavoro ma anche nell’implementazione di programmi di investimento nelle tecnologie informatiche, nello sviluppo delle competenze attraverso attività formative. Il tutto al fine di garantire servizi pubblici sempre più efficienti da assicurare alla collettività.

I relatori, al fine di supportare i referenti della P.A. a gestire i trattamenti dati e le attività da porre in essere per individuare gli aspetti organizzativi da migliorare, forniranno suggerimenti e documentazione utile da poter utilizzare per raggiungere questo ambito traguardo.

ISCRIZIONE OBBLIGATORIA TRAMITE IL SEGUENTE LINK:
https://attendee.gotowebinar.com/register/5075236130300602383?source=Web

Clicca qui per visualizzare il programma!

Parere su uno schema di decreto relativo ai trattamenti di dati personali effettuati tramite il Sistema Tessera Sanitaria (Sistema TS) nell’ambito del Sistema di allerta Covid-19

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la prof.ssa Licia Califano e la dott.ssa Giovanna Bianchi Clerici, componenti e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito Regolamento);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);

VISTO il decreto legge 30 aprile 2020, n. 28, recante “Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta Covid-19”;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Con nota del 29 maggio 2020 (prot. n. 77692), il Ministero dell’Economia e delle Finanze (Mef) ha trasmesso, per il previsto parere, uno schema di decreto, da adottare di concerto con il Ministero della salute, relativo ai trattamenti di dati personali effettuati tramite il Sistema Tessera Sanitaria (Sistema TS) nell’ambito del Sistema di allerta Covid-19 di cui all’art. 6, comma 1 del decreto legge 30 aprile 2020, n. 28.

RILEVATO

Lo schema di decreto inviato al Garante prevede che il Sistema TS renda disponibili agli operatori del Dipartimento di Prevenzione delle ASL, anche tramite i Sistemi di Accoglienza Regionale (SAR), le funzionalità per la trasmissione di alcuni dati al Sistema di allerta Covid-19. A tal fine, lo schema di decreto prevede che, in caso di esito positivo di un tampone, l’operatore del Dipartimento di prevenzione dell’Azienda sanitaria locale competente contatti il paziente per effettuare l’indagine epidemiologica, che prevede anche la verifica dell’installazione dell’applicazione di cui all’art. 6, comma 1, del decreto legge n. 30 aprile 2020, n. 28 (di seguito “App”). Se il paziente ha installato la predetta App, gli sarà richiesto di utilizzare la funzione di generazione del codice OTP che il paziente comunicherà all’operatore; a questo punto, ottenuta l’autorizzazione, il sistema procederà con il caricamento sul server di backend del Sistema di allerta Covid-19 delle chiavi crittografiche casuali (Temporary Exposure Key) generate dal dispositivo mobile su cui è installata l’App (art. 2 dello schema di decreto).

Secondo quanto indicato nello schema di decreto, l’operatore del Dipartimento di prevenzione dell’Azienda sanitaria locale competente, dopo aver acceduto al Sistema TS, anche tramite i SAR, con le credenziali in suo possesso e in virtù del particolare profilo di autorizzazione attribuito, inserisce i dati forniti dal paziente (codice OTP e data di inizio dei sintomi) che saranno inviati dal Sistema TS al server di backend del Sistema di allerta Covid-19 con le modalità descritte nell’Allegato A al decreto (art. 2, commi 3 e 4 dello schema di decreto).

In merito ai descritti trattamenti effettuati dal Sistema TS, il Ministero dell’economia e delle finanze è designato Responsabile del trattamento da parte del Ministero della salute (art. 28 del Regolamento e art. 2, comma 7 dello schema di decreto).

La valutazione di impatto relativa ai trattamenti di dati personali posti in essere tramite il Sistema TS nell’ambito del richiamato Sistema di allerta Covid-19 è stata effettuata, conformemente all’art. 35, par. 1 del Regolamento, unitamente a quella relativa al complesso delle operazioni effettuate mediante il predetto Sistema di allerta Covid-19 (art. 2, comma 8 dello schema di decreto).

Lo schema di decreto trasmesso all’Autorità è stato formulato anche sulla base dei rilievi e delle indicazioni fornite dall’Ufficio nel corso di alcune riunioni e interlocuzioni.

Lo schema di decreto trasmesso si compone di 2 articoli, relativi al quadro definitorio (art. 1) e alla trasmissione dei dati dagli operatori sanitari per il tramite del Sistema TS (art. 2), nonché di un allegato tecnico relativo alle “Modalità di trasmissione dei dati dagli operatori sanitari per il tramite del Sistema” (Allegato A allo schema di decreto).

OSSERVA

Lo schema di decreto in esame definisce le modalità del trattamento dei dati personali effettuato tramite il Sistema TS nell’ambito del Sistema di allerta Covid-19 di cui all’art. 6, comma 1 del decreto legge 30 aprile 2020, n. 28.

Le misure indicate nello schema di decreto in esame completano l’individuazione dei dati personali raccolti dall’App necessari ad avvisare gli utenti della stessa di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19 che sono stati determinati dal Ministero della salute e specificati nell’ambito della valutazione di impatto presentata al Garante contestualmente allo schema di decreto in esame (art. 6, comma 2, lett. b), d.l. n. 28/2020).

Al riguardo, l’Ufficio, nel corso delle interlocuzioni con il Mef e con il Ministero della salute, ha fornito il proprio contributo affinché, seppur con l’urgenza connessa al contesto emergenziale, le soluzioni individuate fossero rispettose della disciplina in materia di trattamento dei dati sulla salute.

Con specifico riferimento al trattamento dei dati personali effettuato tramite il Sistema TS nell’ambito del Sistema di allerta Covid-19, è stata richiesto che fosse specificamente demandato all’operatore di sanità pubblica il compito, in caso di esito positivo di un tampone, di contattare il paziente per effettuare l’indagine epidemiologica che prevederà anche la verifica circa l’eventuale installazione dell’App.

Ciò in conformità alle disposizioni di settore, adottate anche nel contesto emergenziale in atto, che attribuiscono proprio ai Dipartimenti di prevenzione delle aziende sanitarie locali il compito di ricostruire la filiera dei contati stretti del soggetto risultato positivo al Covid-19 e di determinare le misure di contenimento di contagio più opportune (art. 3, comma 6, d.p.c.m. 8 marzo 2020, Circolare n. 5443 del Ministero della salute del 22 febbraio 2020, e successive modificazioni e integrazioni).

L’Ufficio ha inoltre rappresentato la necessità che, con riferimento ai trattamenti effettuati tramite il Sistema TS nell’ambito del Sistema di allerta Covid-19, il Mef sia designato Responsabile del trattamento ai sensi dell’art. 28 del Regolamento.

Nell’ambito della predetta collaborazione istituzionale, l’Ufficio ha espresso inoltre alcuni rilievi tecnici relativi, in particolare, alle procedure di autenticazione informatica per l’accesso alla predetta funzionalità del sistema TS da parte degli operatori sanitari, alle informazioni memorizzate nei file di log e al relativo periodo di conservazione. Ulteriori rilievi sono stati formulati con riferimento alle procedure di autenticazione informatica per l’accesso al sistema TS da parte dei c.d. “amministratori di sicurezza”, alle informazioni memorizzate nei file di log degli accessi e delle operazioni compiute dagli amministratori di sistema e al relativo periodo di conservazione. Le indicazioni sono state volte anche a rendere omogenee a livello nazionale le predette misure.

Ciò premesso, rilevato che lo schema di decreto in esame tiene conto delle indicazioni fornite dall’Ufficio, non vi sono rilievi da formulare, sotto il profilo della protezione dei dati personali.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto del Ministero dell’economia e delle finanze da adottare di concerto con il Ministero della salute.

Roma, 1° giugno 2020

Fonte: Garante Privacy

Provvedimento sui data breach INPS: comunicazione agli interessati coinvolti – 14 maggio 2020

Nella riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE”, così come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito “Codice”);

Viste le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (di seguito “Linee guida”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

L’Istituto nazionale previdenza sociale (di seguito “INPS” o “Istituto”), con note del 1° aprile e del 6 aprile 2020, ha notificato all’Autorità, ai sensi dell’art. 33 del Regolamento, due distinte violazioni dei dati personali che hanno comportato, rispettivamente:

1. l’accesso ai dati personali di utenti del portale “www.inps.it” da parte di terzi non autorizzati, determinato da una non corretta configurazione delle funzionalità di caching del servizio CDN (Content Delivery Network) utilizzato;

2. l’accesso ai dati personali di utenti che hanno richiesto l’erogazione del bonus per l’acquisto di servizi di baby-sitting (c.d. “Bonus Baby Sitting”), di cui all’art. 25 del d.l. 17 marzo 2020, n. 18, con visualizzazione, modifica, cancellazione o invio all’INPS di domande, contenenti dati personali riferiti a minori, anche con disabilità, da parte di terzi non autorizzati.

Tali violazioni dei dati personali si sono verificate in occasione dell’avvio delle procedure per la richiesta di erogazione di prestazioni a sostegno del reddito, legate alla situazione emergenziale in corso previste dal d.l. 18/2020, nei confronti di una prevista ampia platea di beneficiari che hanno tentato di accedere contemporaneamente ai servizi online erogati tramite il portale dell’INPS.

Contestualmente, l’Autorità ha ricevuto più di un centinaio di segnalazioni e reclami da parte di soggetti che, oltre a manifestare i timori per le conseguenze sui diritti e le libertà fondamentali delle persone fisiche coinvolte, in molti casi hanno rappresentato di aver visualizzato dati personali riferiti a terzi, fornendone spesso prova documentale. In particolare, si evidenzia come, tra i predetti soggetti, siano presenti:

numerosi utenti che stavano tentando di accedere a servizi online presenti sul portale dell’INPS, compresi quelli per compilare e inviare individualmente la propria domanda per l’erogazione delle prestazioni previste dal d.l. n. 18/2020;

soggetti direttamente coinvolti nelle violazioni dei dati personali, in quanto i propri dati personali sono stati oggetto di accesso da parte di terzi;

professionisti delegati dai propri clienti a effettuare operazioni per conto degli stessi;

enti e associazioni, in rappresentanza di categorie professionali e utenti.

Muovendo da tali elementi, l’Ufficio ha avviato un’istruttoria sulle predette violazioni dei dati personali, mediante richieste di informazioni rivolte all’Istituto (note del 1° aprile e del 20 aprile 2020), volte ad acquisire ulteriori elementi in ordine alla natura e alla portata delle violazioni rappresentate dall’INPS e lamentate dagli utenti, nonché alle misure tecniche e organizzative adottate dall’Istituto per porvi rimedio e per attenuarne gli effetti negativi nei confronti degli interessati coinvolti. A tali richieste l’Istituto ha prodotto riscontro con note del 10 aprile e del 30 aprile 2020, fornendo le informazioni e gli elementi di seguito rappresentati.

1. Gli elementi forniti dall’Istituto

1.1. La violazione dei dati personali determinata dal caching delle informazioni personali presenti nelle pagine del portale “www.inps.it”

In relazione alla prima violazione dei dati personali oggetto di notifica, l’Istituto ha rappresentato che, al fine di garantire “adeguati livelli di fruibilità dei servizi […] e contestualmente la protezione da attacchi DDOS” nei giorni in cui sarebbe stato possibile presentare le istanze per l’erogazione di prestazioni previste dal d.l. n. 18/2020, aveva deciso di fare ricorso a un servizio CDN (Content Delivery Network), ritenuto “idoneo per la gestione di questo modello di erogazione di servizio (cosiddetto click day)”.

In particolare, l’Istituto ha rappresentato che “in vista del rilascio di nuovi servizi al cittadino, previsto per il giorno 01/04/2020, INPS richiede il coinvolgimento del supporto Microsoft, al fine di valutare soluzioni tecnologiche che possano aiutare a migliorare le prestazioni del servizio reso attraverso il sito web istituzionale dell’INPS, in previsione di possibili carichi eccezionali. Viene, altresì, coinvolta la società Leonardo la quale fornisce il supporto sistemistico nell’ambito dell’accordo quadro Consip di system management. Si forma un “tavolo tecnico” tra Inps, Microsoft e Leonardo e viene individuata, come unica soluzione possibile per fronteggiare l’emergenza, l’utilizzo di una Content Delivery Network (CDN)”, optando per “l’offerta tecnologica di Microsoft che, nell’ambito dei servizi Cloud Azure, propone un servizio di distribuzione dei contenuti basato su una propria tecnologia [(di seguito “CDN Microsoft”)] ovvero su tecnologia Akamai [(di seguito “CDN Akamai”)], leader del mercato di riferimento”.

L’Istituto ha dichiarato che, inizialmente, nella serata del 31 marzo 2020, aveva provveduto ad attivare il servizio CDN Microsoft ma, emergendo “da subito criticità proprio nel caching [… con] risposte generiche del tipo “The Request cannot be served””, aveva “ritenuto opportuno operare un rollback della situazione ripristinando l’accesso diretto al proprio sito”. L’Istituto ha precisato che “i disservizi osservati [… erano] dunque relativi all’incapacità del servizio di fornire risposte all’utente e dunque di indisponibilità dello stesso”.

Successivamente, nella mattina del 1° aprile 2020, l’Istituto aveva rilevato che “i sistemi erano in forte sofferenza e il servizio era fortemente degradato” e aveva, pertanto, “optato per riattivare il servizio CDN, questa volta su tecnologia Akamai” che è stato “attivato, attraverso la modifica del DNS, alle ore 10,13 del 1° Aprile”. Tuttavia, “si è subito palesato l’anomalo funzionamento del meccanismo di caching che di fatto ha provocato la replica di alcune schede anagrafiche presenti nel portale www.inps.it, l’unico dominio sottoposto a caching da parte della CDN” e “non appena sono emersi i primi segnali di un potenziale data breach, alle ore 10,30 è stato avviato il rollback della soluzione modificando la risoluzione DNS per tornare all’erogazione dei servizi esclusivamente attraverso il portale dell’Istituto senza l’intermediazione della CDN”.

A. Le misure adottate per porre rimedio alla violazione dei dati personali

In seguito, l’Istituto ha deciso di “chiudere completamente il portale internet” e di riattivare il servizio, dopo circa 3 ore, solo a seguito dell’effettuazione di “alcune ottimizzazioni già avviate ma non ancora ultimate al momento dell’apertura dello stesso” e del “contingentamento del traffico proveniente dagli intermediari e dai cittadini stabilendo che questi ultimi potessero accedere solo al di fuori della fascia orario dalle ore 8 alle 16 riservata agli intermediari”. Inoltre, “l’Istituto ha richiesto la rimozione di tutti i contenuti che sono stati indebitamente diffusi da terzi su Twitter”.

L’Istituto ha rappresentato che, nei giorni successivi alla violazione dei dati personali, ha continuato a ricevere “svariate segnalazioni di utenti che hanno rilevato la persistenza di dati anagrafici di soggetti terzi […] all’accesso delle procedure dell’Istituto ma si è accertato che tali segnalazioni non erano ascrivibili alla persistenza del problema ma semplicemente al fatto che il browser dell’utente continuava a ripresentare la pagina memorizzata nella sua cache locale. Infatti, è stato sufficiente far fare un refresh della pagina o svuotare la cache che il problema non si è più ripresentato”.

L’Istituto ha altresì evidenziato che, “al fine di limitare la diffusione dei dati personali che si era innescata sui vari social, […] si è provveduto ad istituire una apposita casella violazionedatiGDPR@inps.it, resa pubblica con apposito avviso in home page del portale, per consentire di inviare segnalazioni ed evidenze in merito al data breach”.

B. Le tipologie di dati personali oggetto di violazione

L’Istituto ha rappresentato che “sulla base delle evidenze riscontrate e delle successive analisi tecniche, la violazione dei dati di tali soggetti è stata limitata alla sola possibilità di visualizzazione di dati personali (anagrafici, residenza e contatti telematici), presenti nelle pagine cache, non essendo consentita alcuna modifica da parte di terzi”. In particolare, le tipologie di dati personali oggetto della violazione sono “codice fiscale, cognome, nome, data di nascita, luogo di nascita, indirizzo di residenza, telefono, cellulare, email e PEC”, presenti nella “pagina “Anagrafica” all’interno della sezione myINPS del portale informativo”.

C. Gli interessati coinvolti nella violazione dei dati personali

L’Istituto ha dichiarato che, sulla base delle impostazioni di caching del servizio CDN Akamai e dell’analisi dei relativi log, “gli interessati non dovrebbero essere oltre 23 persone”, evidenziando che “non è possibile identificare analiticamente dai sistemi i soggetti coinvolti nella violazione poiché la CDN Akamai non ha la persistenza dei contenuti in cache. Si è dunque proceduto ad una loro identificazione sulla base delle segnalazioni raccolte attraverso la specifica casella violazionedatiGDPR@inps.it” e fornendo un elenco di 8 interessati coinvolti nella violazione dei dati personali.

In particolare, l’Istituto ha aggiunto che “dall’analisi degli access log della CDN, è emerso che le richieste della pagina anagrafica di myINPS, che hanno avuto una risposta positiva (HTTP 200), sono state 842. Considerato che tra queste ci sono anche le richieste effettuate dai potenziali interessati al data breach, come stimati […] in massimo 23 unità, ne consegue che il numero massimo di soggetti che avrebbero avuto la possibilità di consultare i dati anagrafici di terzi è non superiore a 819. Tuttavia, considerato che ogni utente, di fronte all’esigenza di accedere ai propri dati, potrebbe aver richiesto un nuovo caricamento della pagina, ne consegue che il numero effettivo di soggetti distinti potrebbe essere stato sensibilmente inferiore”.

D. Le valutazioni dell’Istituto in merito alla comunicazione della violazione dei dati personali agli interessati coinvolti

A questo proposito, l’Istituto ha dichiarato che “tenuto conto della tipologia dei dati visualizzati e nella considerazione che la possibilità di visualizzazione è avvenuta in modo del tutto casuale e limitata nel tempo da parte di soggetti che appaiono privi di qualunque legame e interesse con quelli coinvolti, […] ritiene che la violazione non sia tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

1.2. La violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting

In relazione alla seconda violazione dei dati personali oggetto di notifica, l’Istituto ha rappresentato che, al fine di “consentire la presentazione delle domande esclusivamente per via telematica, nonostante i tempi molto ristretti concessi per la sua predisposizione (il decreto è del 17 marzo 2020 e la presentazione delle domande è stata avviata sempre dal 1° aprile, con messa in produzione il 31 marzo, nel contesto di tutte le criticità sopra descritte), si è dovuto realizzare una nuova procedura informatica poiché i requisiti formulati per questo tipo di prestazione non hanno consentito il riuso di altre procedure” e che l’accesso a tale procedura doveva essere consentito “a tutti i cittadini e ai patronati quali intermediari autorizzati alla trasmissione”, tenendo anche conto del fatto che “molti potenziali beneficiari delle prestazioni avrebbero potuto non essere in possesso di credenziali di accesso (PIN, SPID, CIE, CNS)” al portale “www.inps.it”.

L’Istituto ha rappresentato che ha quindi “consentito, per le sole domande delle indennità 600€ e del Bonus Baby Sitting, la possibilità di presentare le domande con i soli primi 8 caratteri ricevuti via SMS dopo la richiesta del PIN” (c.d. accesso con modalità semplificata o, anche, con “PIN semplificato”) e che “tale previsione ha comportato la necessità di gestire il profilo autorizzativo attraverso controlli applicativi in deroga agli standard di controllo autorizzativo adottati per tutte le altre applicazioni, delegando alle applicazioni il controllo autorizzativo”. Tuttavia, “per effettuare in tempo strettissimi tutte le attività del ciclo di vita del software, le aree applicative hanno dovuto derogare parzialmente anche agli ordinari collaudi di sicurezza applicativa che l’Istituto effettua su tutte le sue applicazioni e che non è stato possibile effettuare alla luce dei tempi imposti e non negoziabili”.

L’Istituto ha rappresentato di essersi avvalso, per la realizzazione della procedura Bonus Baby Sitting, dei servizi di “application development and maintenance” forniti dalla società Sistemi Informativi S.r.l., designata responsabile ai sensi dell’art. 28 del Regolamento, a cui “sono state fornite le indicazioni di carattere amministrativo e tecnico derivanti dall’applicazione del D.L. 18/2020 per la progettazione e lo sviluppo del software, come normalmente avviene in occasione di nuove procedure”.

In particolare, l’Istituto ha dichiarato di aver dato “la possibilità di accesso alla procedura con qualsiasi identità digitale, anche il PIN semplificato, a prescindere dal profilo autorizzativo e sulla base del principio che: ogni soggetto identificato con una identità digitale può svolgere atti relativi alla sua persona. Tuttavia, la procedura ha dovuto prevedere la possibilità di trasmettere le domande anche attraverso i patronati. Dunque la procedura prevede un funzionamento duale: “cittadino in prima persona” che può inserire la domanda solo per proprio conto, “Patronato” che può inserire domande anche per terzi. Nel determinare il comportamento che doveva assumere sulla base delle informazioni del profilo dell’utente identificato dal sistema di accesso, l’implementazione della procedura non ha tenuto conto dell’esistenza di molteplici altre categorie di utenti, diverse dal cittadino (con PIN completo) e dal patronato, assimilandole a tutti gli effetti ai patronati invece che al cittadino”.

A. Le misure adottate per porre rimedio alla violazione dei dati personali

L’Istituto ha rappresentato che “il malfunzionamento si è verificato dal momento dell’apertura della procedura e ha interessato gli utenti cittadino che hanno acceduto con il PIN semplificato e tutte le altre categorie di utenti diverse dal semplice cittadino e dai patronati, indipendentemente dalla tipologia di credenziali [di autenticazione] utilizzate” e che lo stesso si è protratto fino alle ore 11:48 del 2 aprile 2020, momento in cui l’Istituto, dopo essere venuto a conoscenza della violazione, ha provveduto a chiudere “immediatamente il servizio per effettuare gli approfondimenti dovuti e correggere l’anomalia”.

B. Le tipologie di dati personali oggetto di violazione

L’Istituto ha dichiarato che la predetta “non corretta implementazione di [… un] controllo applicativo ha consentito a persone non autorizzate di consultare la lista delle domande presentate dalla stessa categoria di utenti” e che, a partire dall’elenco di tali domande, era possibile visualizzarne il contenuto e, nel caso di domande salvate in bozza (ossia non ancora trasmesse dal richiedente), modificarne il contenuto, cancellarle o inviarle all’Istituto. In particolare, l’INPS ha rappresentato che “ogni utente appartenente alle suddette categorie, ha potuto accedere alle domande trasmesse da altri utenti della stessa categoria. Ad es. chi ha acceduto con PIN semplificato ha potuto accedere alle domande inserite da altri con PIN semplificato, il consulente del lavoro ha potuto accedere alle domande inserite da altri consulenti del lavoro”, evidenziando che:

“la visualizzazione della lista di domande presenta i seguenti dati: n. domanda, data inserimento, codice fiscale del minore, data di presentazione della domanda, stato della domanda”;

“l’azione di cancellazione di una domanda [(salvata in bozza)] non consente di visualizzarne il contenuto”;

le operazioni di visualizzazione di una domanda (trasmessa o salvata in bozza) o di modifica di una domanda (salvata in bozza) consentivano l’accesso alle seguenti tipologie di dati personali:

i) dati personali del richiedente: dichiarazione di essere o meno unico genitore; codice fiscale; cognome; nome; eventuale cognome acquisito; sesso; data di nascita; comune e/o Stato di nascita; cittadinanza; stato civile; indirizzo di residenza; cellulare; email; PEC; situazione lavorativa (appartenenza a una delle seguenti categorie di lavoratori: lavoratori dipendenti del settore privato; iscritti alla gestione separata; lavoratori autonomi; lavoratori dipendenti del settore sanitario pubblico e privato accreditato; personale del comparto sicurezza, difesa e soccorso pubblico);

ii) dati personali del figlio: dichiarazione di essere il genitore/affidatario del figlio; dichiarazione di essere convivente con il figlio; codice fiscale; cognome; nome; sesso; data di nascita; cittadinanza; in caso di minore di affido, documentazione della sentenza di affido; in caso di figlio di età superiore ai 12 anni con disabilità, dichiarazioni sullo stato di disabilità quale portatore di handicap in situazione di gravità accertata ai sensi dell’art. 3, comma 3, della legge n. 104/1992, nonché sulla frequenza scolastica, di ordine e grado, o presso un centro diurno a carattere assistenziale, allegando la relativa documentazione attestante tali circostanze;

iii) dati personali dell’altro genitore: codice fiscale; cognome; nome; eventuale cognome acquisito; sesso; data di nascita; comune e/o Stato di nascita; cittadinanza; in caso di altro genitore convivente con il richiedente, dichiarazioni sulla fruizione di altre prestazioni e sulla situazione lavorativa (“l’altro genitore non ha usufruito di alcuna delle misure di cui agli artt. 23 e 25 del d.l. n. 18/2020”; “l’altro genitore non è beneficiario di strumenti di sostegno al reddito in caso di sospensione o cessazione dell’attività lavorativa”; “l’altro genitore non è disoccupato ed è un lavoratore”).

C. Gli interessati coinvolti nella violazione dei dati personali

Sulla base della documentazione in atti, durante il periodo di malfunzionamento della procedura Bonus Baby Sitting, il numero massimo di domande – mostrate nella lista presente nella sezione “Consultazione domande” – che sono state potenzialmente accessibili da terzi, appartenenti alle predette categorie di utenti, risulta pari a 773, così suddivise:

670 domande compilate da utenti con profilo “Cittadino PIN semplificato”;

71 domande compilate da utenti con profilo “Consulente”;

8 domande compilate da utenti con profilo “Azienda”;

24 domande compilate da utenti con profilo riconducibile a diversi Ordini professionali (ciascuna domanda con visibilità limitata agli utenti con lo stesso profilo).

L’Istituto ha dichiarato di aver rilevato l’esecuzione di diverse tipologie di operazioni su alcune delle predette domande, nei seguenti termini:

68 domande, trasmesse o salvate in bozza, sono state visualizzate da terzi;

17 domande, salvate in bozza, sono state modificate da terzi;

81 domande, salvate in bozza, sono state cancellate da terzi;

62 domande, salvate in bozza, sono state inviate da terzi (non operatori di patronato).

D. Le valutazioni dell’Istituto in merito alla comunicazione della violazione dei dati personali agli interessati coinvolti

Per quanto attiene alle considerazioni svolte dall’INPS in ordine alla sussistenza dei presupposti per la comunicazione della violazione dei dati personali agli interessati coinvolti, l’Istituto ha dichiarato che:

“i soggetti che hanno visualizzato [le 68] domande inserite da terzi sono, per la quali totalità, residenti in altra regione, provincia o comune degli interessati” e, inoltre, “non era fornita la possibilità di ricercare domande attraverso elementi identificativi dei soggetti a meno che si fosse già a conoscenza del codice fiscale del minore e che detto codice fiscale fosse presente nella lista casualmente visualizzata”;

“in merito ai 17 interessati per i quali è stata rilevata una modifica, da parte di terzi, della relativa domanda in stato di bozza, non avendo l’interessato provveduto ancora alla sua trasmissione, si è proceduto, come misura di maggior tutela, alla loro cancellazione logica. L’interessato avrebbe dunque potuto reinserire i dati della domanda senza il rischio di alterazione da parte di terzi”;

gli 81 “soggetti che hanno visto cancellata la propria bozza di domanda, non hanno visto i propri dati visualizzati da terzi e l’unica conseguenza è stata quella di aver dovuto riacquisire i dati precedentemente immessi prima dell’invio”;

le 62 domande inviate all’Istituto da terzi “sono state bloccate e si sta gestendo l’iter amministrativo delle stesse coinvolgendo gli interessati”.

L’Istituto ha, inoltre, rappresentato che “non sono state riscontrate evidenze di una diffusione di dati personali di specifiche domande di Baby Sitting” e che “dalle analisi condotte sulle domande visualizzate o modificate da terzi, è emerso che solo 2 domande contenevano l’indicazione che il minore è portatore di handicap in situazione di gravità accertata ai sensi dell’art. 3 comma 3 L. 104/92 senza l’allegazione di alcuna documentazione aggiuntiva. Nessuna delle domande era riferita a situazione di minori in affido o adottati”.

L’Istituto ha quindi dichiarato che “i suddetti aspetti denotano come, chi ha consultato, avrebbe avuto uno scarso interesse a conoscere i dati visualizzati e dunque uno scarso impatto sulla sfera personale degli interessati. Allo stesso tempo, l’impossibilità di fare ricerche mirate, la casualità e l’evidenza che chi ha acceduto ha una residenza distante dagli interessati, denotano una scarsa probabilità che i dati siano stati visualizzati da soggetti che potevano avere interesse ad incidere sulla sfera personale dei soggetti coinvolti. Sulla base di tali valutazioni di rischio, l’Istituto ritiene che la violazione non sia tale da rappresentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

OSSERVA

2. Il quadro emerso dalle segnalazioni e dai reclami

In aggiunta a quanto rappresentato dall’INPS nelle note inviate all’Autorità e sopra sintetizzate, occorre precisare che alcune segnalazioni e reclami hanno portato alla luce ulteriori e diversi elementi che richiedono specifici approfondimenti al fine di meglio delineare l’ambito e la portata delle violazioni dei dati personali notificate all’Autorità ovvero di rilevare criticità non ancora oggetto di valutazione da parte dell’Istituto, di seguito riassunte, che potrebbero richiedere l’adozione di ulteriori misure, anche in relazione all’individuazione di nuovi interessati coinvolti.

2.1. Elementi relativi alla violazione dei dati personali determinata dal caching delle informazioni personali presenti nelle pagine del portale “www.inps.it”

Sulla base di una prima analisi delle segnalazioni e dei reclami ricevuti dall’Autorità, nonché di ulteriori elementi reperibili in rete, emerge che tale violazione dei dati personali ha coinvolto almeno 42 soggetti, quindi in numero superiore sia agli 8 soggetti già individuati dall’Istituto, che ai 23 soggetti complessivamente indicati da quest’ultimo come numero massimo di interessati che sarebbero stati coinvolti nella violazione determinata dal caching delle informazioni personali presenti nelle pagine del portale “www.inps.it”.

Inoltre, dalla predetta documentazione, sono state rilevate le seguenti ulteriori criticità, che non state oggetto di approfondimento da parte dell’Istituto:

ulteriori dati oggetto di violazione: alcuni utenti hanno rappresentato che, accendendo al portale dell’INPS, nella mattina del 1° aprile 2020, era possibile visualizzare, oltre ai dati anagrafici e di contatto, anche informazioni relative alle richieste inoltrate all’Istituto da altri interessati tramite il servizio “INPS Risponde”, nonché la loro posizione fiscale e altre informazioni disponibili nell’area riservata del portale;

assenza di una procedura di autenticazione informatica: alcuni utenti hanno segnalato che, nella mattina del 1° aprile 2020, collegandosi al portale dell’INPS, hanno avuto accesso ai dati personali di altri interessati, senza aver superato alcuna procedura di autenticazione informatica.

2.2. Elementi relativi alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting

Anche con riferimento alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting, dalle segnalazioni e dai reclami è emersa la necessità di chiarire la circostanza per cui, accedendo alla sezione “Consultazione Domande” della procedura Bonus Baby Sitting, in data 2 aprile 2020, erano visualizzabili anche domande presentate in data 31 marzo 2020, ossia il giorno precedente alla data a decorrere dalla quale, come rappresentato dall’Istituto, sarebbe stato possibile presentare le domande (1° aprile 2020).

2.3. Ulteriori anomalie rilevate

Alcune segnalazioni e reclami hanno, infine, portato alla luce ulteriori anomalie, che non risultano direttamente correlate a quanto rappresentato dall’INPS in relazione alle violazioni dei dati personali oggetto di notifica, di seguito sintetizzate:

a) accessi non autorizzati a dati personali occorsi già nella giornata del 31 marzo 2020:

un’interessata ha rappresentato di essere stata contattata telefonicamente alle ore 18,22 del 31 marzo 2020 da un altro utente che, dopo aver avuto accesso al portale dell’INPS con le proprie credenziali di autenticazione, in quel momento stava visualizzando i dati personali dell’interessata, inclusi il numero di cellulare, i dati dei pagamenti ricevuti dall’INPS in seguito a richieste connesse allo stato di  disoccupazione (incluso l’IBAN), le attestazioni ISEE richieste (contenenti dati personali anche di terzi), il fascicolo previdenziale con i dati relativi all’attività lavorativa (datori di lavoro, contributi versati, durata dei rapporti di lavoro, ecc.), nonché i certificati di malattia;

un utente ha segnalato che collegandosi alle ore 18,36 del 31 marzo 2020 al portale dell’INPS per inserire la propria domanda di congedo parentale ha avuto accesso ai dati personali di un’altra interessata, senza aver superato alcuna procedura di autenticazione informatica;

b) anomalie riscontrate nell’ambito della procedura Indennità COVID-19:

un’interessata ha evidenziato di aver presentato, il 1° aprile 2020, la domanda per l’erogazione dell’indennità COVID-19 nella sua qualità di “lavoratore con rapporto di collaborazione coordinata e continuativa iscritto alla Gestione separata”; successivamente, in data 19 aprile 2020, accedendo al portale dell’INPS, l’interessata constatava che la domanda inoltrata conteneva una qualifica differente da quella da lei inserita; l’interessata, in data 20 aprile 2020, provvedeva a contattare in proposito il call center dell’Istituto che, riscontrata la predetta anomalia, si attivava per inserire una nuova richiesta per conto dell’interessata, che tuttavia non riceveva alcuna comunicazione a mezzo email di presa in carico della nuova richiesta; la sera dello stesso giorno l’interessata veniva contattata telefonicamente da un utente che le riferiva di aver visualizzato i suoi dati personali nella propria “lista esiti” sul portale dell’INPS;

alcuni utenti hanno rappresentato che, accedendo al portale dell’INPS in data 1° aprile 2020, all’atto dell’invio della propria domanda per l’indennità COVID-19 la relativa procedura dell’Istituto li informava che non era possibile procedere con l’invio della domanda in quanto la stessa risultava già presentata.

3. La valutazione dei rischi per i diritti e le libertà degli interessati derivanti dalle violazioni

Nelle more dello svolgimento dell’istruttoria ancora in corso, necessaria all’approfondimento di quanto sopra illustrato, anche al fine di adottare eventuali provvedimenti correttivi e di definire le responsabilità in merito all’accaduto, risulta necessario valutare la conformità delle iniziative fin qui intraprese dall’Istituto a tutela degli interessati in ordine all’assolvimento degli obblighi di comunicazione di cui all’art. 34 del Regolamento, con riserva di ogni altra determinazione, anche sanzionatoria, all’esito della definizione dell’istruttoria medesima.

In proposito, occorre tener presente che il Regolamento (spec. cons. nn. 75 e 76) suggerisce che, di norma, nella valutazione del rischio si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbero essere determinati in base a una valutazione oggettiva.

In particolare, le Linee guida individuano i seguenti fattori da considerare – a fronte di una violazione dei dati personali – nella valutazione del rischio per i diritti e le libertà degli interessati: il tipo di violazione; la natura, il carattere sensibile e il volume dei dati personali; la facilità di identificazione degli interessati; la gravità delle conseguenze per gli interessati; le caratteristiche particolari dell’interessato; le caratteristiche particolari del titolare del trattamento dei dati; nonché il numero di interessati coinvolti.

La comunicazione agli interessati rappresenta, peraltro, una delle misure che il titolare del trattamento può adottare per attenuare i possibili effetti negativi della violazione dei dati personali per gli interessati e ha come obiettivo principale quello di fornire informazioni specifiche sulle misure che gli stessi interessati possono adottare per proteggersi dalle possibili conseguenze negative di una violazione.

L’INPS ha ritenuto che entrambe le violazioni dei dati personali oggetto di notifica non fossero suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche e non ha pertanto provveduto a informare gli interessati coinvolti nelle violazioni.

Il contesto in cui l’Istituto si è trovato a dover intervenire – che potrà essere tenuto in considerazione nel corso dell’istruttoria per valutare l’adeguatezza e la proporzionalità delle misure tecniche e organizzative – non può rilevare ai fini della valutazione del rischio per la comunicazione della violazione agli interessati ai sensi dell’art. 34 del Regolamento. Tale valutazione, infatti, va effettuata a posteriori, sulla base degli scenari di rischio che in concreto possono verificarsi in danno dei diritti e delle libertà degli interessati, tenendo conto, nel caso in esame, dei seguenti fattori:

1) aspetti di carattere generale relativi a entrambe le violazioni notificate:

il ruolo centrale rivestito dall’INPS nel sistema previdenziale e assistenziale nazionale e nel panorama delle grandi banche dati pubbliche, che richiede un elevato grado di accountability al fine di garantire la fiducia nei confronti dell’Istituto da parte degli utenti, soddisfacendo, in particolare, le legittime aspettative di trasparenza e sicurezza del trattamento;

l’impatto che le decisioni adottate dall’INPS in relazione al trattamento di dati personali hanno avuto sulla collettività, considerata anche la condizione di difficoltà in cui versano coloro che chiedono di accedere a misure di sostengo del reddito;

la natura delle violazioni dei dati personali, che hanno comportato l’accesso alle informazioni personali, direttamente identificative degli interessati, da parte di un elevato numero di utenti le cui intenzioni sono sconosciute;

2) con specifico riferimento alla violazione dei dati personali determinata dal caching delle informazioni personali presenti nelle pagine del portale “www.inps.it”:

le categorie di dati personali oggetto di violazione, che comprendono anche recapiti di telefonia mobile;

la gravità e la persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione dei dati personali, che hanno provocato la perdita di controllo da parte degli interessati sui dati personali che li riguardano, invasioni della sfera privata, disagio psicologico, nonché il possibile utilizzo dei dati degli interessati a scopo di phishing o, in ogni caso, per fini non autorizzati o illeciti;

3) con specifico riferimento alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting:

le tipologie di interessati i cui dati personali sono stati oggetti di violazione, appartenenti anche a categorie vulnerabili (minori, soggetti con disabilità);

le categorie di dati personali oggetto di violazione (dati anagrafici, cittadinanza, residenza, dati di contatto, dati relativi alla salute, dati relativi alla situazione lavorativa), anche riferiti a terzi;

le tipologie di operazioni, anche dispositive, che sono state effettuate sui dati personali degli interessati da parte di soggetti non autorizzati;

la gravità e la persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione dei dati personali, che hanno provocato la perdita di controllo da parte degli interessati sui dati personali che li riguardano, la limitazione dei loro diritti, invasioni della sfera privata, disagio psicologico, discriminazione, nonché il possibile utilizzo dei dati degli interessati a scopo di phishing o, in ogni caso, per fini non autorizzati o illeciti.

Pertanto, diversamente da quanto sostenuto dall’Istituto, ancorché con diversa probabilità e gravità, le violazioni dei dati personali in esame sono suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, condizione per cui è richiesta la comunicazione agli interessati ai sensi dell’art. 34, par. 1, del Regolamento. Ciò, anche in considerazione del fatto che non risulta soddisfatta alcuna delle condizioni di cui all’art. 34, par. 3, del Regolamento, per le quali non è richiesta la comunicazione agli interessati.

Peraltro, la comunicazione agli interessati coinvolti, allo stato individuati, non comporta sforzi sproporzionati da parte dell’Istituto, attesa la diretta disponibilità dei contatti telematici degli stessi, cui è possibile, se del caso, fare riferimento anche per la comunicazione nei confronti di coloro (figli e coniugi) ai quali si riferiscono i dati personali presenti nelle domande oggetto di violazione.

La comunicazione pubblica effettuata dall’Istituto mediante la pubblicazione, sul proprio sito istituzionale, di una semplice “comunicazione in merito al data breach” – anche se, in un primo momento, poteva rappresentare una misura sufficiente a informare gli interessati circa le iniziative intraprese nell’immediato e a fornire indicazioni “in ordine alla necessità che chiunque sia venuto a conoscenza di dati personali altrui non li utilizzi ed eviti di comunicarli a terzi o diffonderli”, offrendo un recapito dedicato al quale rivolgersi – non costituisce allo stato uno strumento idoneo all’assolvimento degli obblighi di cui all’art. 34 del Regolamento, in quanto non consente di informare efficacemente gli interessati che l’Istituto ha già individuato essere stati coinvolti in ciascuna violazione dei dati personali, anche al fine di permettere loro di prendere le precauzioni necessarie in considerazione delle diverse caratteristiche delle violazioni che li hanno riguardati (cons. n. 86 del Regolamento).

RITENUTO

Alla luce del complessivo esame delle circostanze portate all’attenzione dell’Autorità e delle considerazioni svolte, ferma restando la necessità di proseguire l’istruttoria in corso, si ravvisano la necessità e l’urgenza di ingiungere all’Istituto, ai sensi dell’art. 58, par. 2, lett. e), del Regolamento, di comunicare le violazioni dei dati personali agli interessati coinvolti, descrivendo la natura delle violazioni e le possibili conseguenze delle stesse, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonché fornendo loro indicazioni specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative delle violazioni.

Tale comunicazione, inviata anche con mezzi elettronici, dovrà essere differenziata in funzione dei rischi e delle specifiche caratteristiche che le violazioni dei dati personali in esame presentano per ciascun interessato coinvolto e dovrà essere effettuata, senza ingiustificato ritardo, anche nei confronti di altri interessati che verranno individuati all’esito di eventuali ulteriori attività di analisi condotte dall’Istituto.

Con specifico riferimento alla violazione dei dati personali determinata dall’errata configurazione del sistema di autorizzazione della procedura Bonus Baby Sitting, si evidenzia che la predetta comunicazione dovrà riguardare gli interessati i cui dati personali erano presenti non solo nelle domande che sono risultate oggetto di visualizzazione (68 domande), modifica (17 domande), cancellazione (81 domande) o invio all’INPS (62 domande), ma anche nell’elenco delle 773 domande mostrato nella sezione “Consultazione domande” della procedura Bonus Baby Sitting. In particolare, tale comunicazione dovrà essere inviata al genitore richiedente, fornendo anche elementi relativi agli altri interessati eventualmente coinvolti (figli e altri genitori); la predetta comunicazione dovrà essere inviata anche all’altro genitore laddove l’INPS disponga dei relativi contatti telematici.

Si ritiene, pertanto, considerate le circostanze, necessario disporre – essendo la notifica di cui all’art. 166, comma 5, del Codice, incompatibile con la natura e finalità del presente provvedimento – che la predetta comunicazione sia effettuata senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, con riserva di ogni altra determinazione, anche sanzionatoria, all’esito della definizione dell’istruttoria avviata sul caso.

Al fine di agevolare l’assolvimento di tale obbligo anche nei confronti di interessati coinvolti nelle violazioni dei dati personali ma non ancora individuati dall’INPS, l’Ufficio provvederà, contestualmente alla notifica del presente provvedimento, a mettere a disposizione dell’Istituto gli elementi utili allo stato agli atti dell’Autorità.

Si ricorda che, ai sensi dell’art. 83, par. 6, del Regolamento, “l’inosservanza di un ordine da parte dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”.

Si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi dell’art. 58, par. 2, lett. e) del Regolamento, ingiunge all’INPS di comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, le violazioni dei dati personali in esame a tutti gli interessati coinvolti, nei termini di cui in premessa;

2) richiede all’INPS di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice, entro il termine di 20 giorni dalla data della ricezione del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

3) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 14 maggio 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

Fonte: Garante Privacy

FAQ – Trattamento dati nel contesto delle sperimentazioni cliniche e delle ricerche mediche nell’ambito dell’emergenza sanitaria da covid-19

1. Qual è la base giuridica per il trattamento dei dati personali anche relativi alla salute nell’ambito delle sperimentazioni cliniche dei medicinali per l’emergenza epidemiologica da COVID-19?

I promotori e i centri di sperimentazione possono trattare dati personali, anche relativi alla salute dei pazienti affetti da Covid-19, per lo svolgimento di sperimentazioni cliniche dei medicinali (quali ad esempio gli studi clinici sperimentali sui medicinali di fase I, II, III e IV, gli studi osservazionali sui farmaci e i programmi di uso terapeutico compassionevole), strettamente necessari per contrastare e studiare la pandemia in corso, sulla base del consenso degli interessati, ovvero di un altro presupposto giuridico, ai sensi dell’art. 9, par. 2 del Regolamento, in conformità al diritto dell’Unione o nazionale per motivi di interesse pubblico rilevante, per motivi di interesse pubblico nel settore della sanità pubblica e per fini di ricerca scientifica (art. 9, par. 2, lett. a), g), i) e j) del Regolamento).

 

2.  Quali adempimenti devono svolgere i promotori e i centri di sperimentazione laddove non sia possibile informare gli interessati?

Quando, a causa di particolari e comprovate ragioni, informare gli interessati risulta impossibile o implica uno sforzo sproporzionato oppure rischia di pregiudicare gravemente il conseguimento delle finalità della ricerca e non è quindi possibile acquisire il consenso degli interessati al trattamento dei dati personali, i titolari del trattamento sono tenuti, laddove possibile, a raccogliere tale consenso, previa idonea informativa, presso chi esercita legalmente la potestà di questi ultimi, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato (in analogia con quanto previsto dal punto 4.11.2 delle prescrizioni relative al trattamento dei dati genetici, allegato 4 al provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, doc. web n. 9124510).
Qualora, per specifiche e comprovate ragioni, non sia possibile acquisire il consenso informato al trattamento dei dati personali, neanche presso terzi, ovvero ciò rischi di pregiudicare gravemente il buon esito della ricerca (si pensi al trattamento di dati riferiti a pazienti defunti o ricoverati in reparti di terapia intensiva), i titolari che intendano svolgere trattamenti di dati personali che riguardano esclusivamente studi sperimentali e gli usi compassionevoli dei medicinali per uso umano, per la cura e la prevenzione del virus Covid-19, non sono obbligati, in forza della normativa relativa alla presente fase emergenziale, alla preventiva sottoposizione del progetto di ricerca, nonché della relativa valutazione di impatto, alla consultazione preventiva del Garante di cui all’art. 110 del Codice in materia di protezione dei dati personali.

 

3. Gli Istituti di ricovero e cura a carattere scientifico (IRCSS) devono acquisire il consenso degli interessati per il trattamento dei dati personali anche relativi alla salute nell’ambito delle ricerche mediche relative al Covid-19 finanziate dal Ministero della salute?

Il Ministero della salute, sulla base della normativa emanata in fase emergenziale, il 1° aprile 2020, ha adottato un bando per invitare gli Istituti di ricovero e cura a carattere scientifico (IRCCS) a presentare progetti di ricerca medica, finanziati attraverso i fondi per la ricerca corrente degli IRCCS, finalizzati a migliorare la comprensione dell’epidemia Covid-19, contribuire a una gestione clinica più efficiente dei pazienti infetti e migliorare le possibilità e l’efficacia dei trattamenti terapeutici a disposizione delle strutture del Servizio Sanitario Nazionale. I trattamenti di dati personali anche relativi alla salute svolti dagli IRCCS beneficiari dei predetti fondi, nell’ambito delle ricerche finalizzate al contrasto della pandemia, possono essere svolti senza il consenso degli interessati, in quanto ineriscono alle funzioni di rilevante interesse pubblico attribuite, tra gli altri, anche ai soggetti del Servizio sanitario nazionale. I predetti IRCSS che trattano dati personali nell’ambito delle ricerche mediche finanziate dal Ministero non devono, pertanto, effettuare gli adempimenti previsti dall’art. 110 del Codice.

Fonte: Garante Privacy