[doc. web n. 9871846]

Ordinanza ingiunzione nei confronti di Regione Campania - 1 dicembre 2022

Registro dei provvedimenti
n. 42/2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n.9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore l’avv. Guido Scorza;             

PREMESSO

1. La violazione di dati personali notificata, il reclamo, le segnalazioni e l’attività istruttoria svolta

La società SO.RE.SA. S.p.a. (di seguito anche solo Società o SO.RE.SA.), ha notificato a questa Autorità, ai sensi dell’art. 33 del Regolamento, una violazione dei dati personali riguardante l’accesso non autorizzato ai dati di contatto (numero di telefono e email) di “cittadini della Regione Campania che già hanno aderito alla campagna di vaccinazione” (atto di notifica del XX).

Nella predetta notifica la Società si è qualificata come titolare del trattamento dei dati e ha indicato, tra i soggetti coinvolti nello stesso, la società Enterprise Services Italia S.r.l., in qualità di responsabile del trattamento.

La Società ha rappresentato, anche nell’ambito di successive integrazioni ai sensi dell’art. 33, par. 4 del Regolamento, in particolare che “dalle verifiche tecniche effettuate dal Responsabile del trattamento, gli accessi non autorizzati a dati del sistema informativo per la fase di adesione alla campagna vaccinale Covid19 in Regione Campania sono avvenuti per il tramite di specifici strumenti informatici che richiedono una competenza specifica ed uno specifico intento di violazione, accedendo direttamente a funzioni interne dell’applicazione (API). Un normale accesso tramite browser all’interfaccia predisposta non avrebbe permesso l’accesso non autorizzato” e che “la possibilità di accesso non autorizzato ai dati è stata inibita a partire dal 15 febbraio” (nota del XX).

La Società, al momento della notifica, ha dichiarato che la violazione ha coinvolto cinque “cittadini della Regione Campania che già hanno aderito alla campagna di vaccinazione” e successivamente ha precisato che, dalle verifiche tecniche effettuate, “gli accessi non autorizzati sono avvenuti tra il XX e il XX e hanno riguardato un totale di 12 utenti relativamente al numero di telefono e l’indirizzo e-mail inseriti in fase di registrazione. Per un singolo utente dei 12 è stato rilevato un possibile accesso alla scheda anamnestica (sempre relativamente ai dati inseriti dall’utente in fase di registrazione)”. In particolare, la scheda anamnestica riportava le informazioni previste dal Ministero della Salute (https://www.salute.gov.it/imgs/C_17_pagineAree_5452_3_file.pdf  ) (nota del XX e nota dell’XX).

SO.RE.SA. ha, inoltre, precisato che “non vi sono criteri certi che consentano di identificare le anagrafiche per le quali vi sia stato un tentativo di accesso errato che abbia comportato un accesso illegittimo alle informazioni relative allo stato di adesione alla campagna vaccinale per mezzo del messaggio di errore” e che “non sono emersi elementi idonei a ritenere che sia stata effettuata una sovrascrittura e/o cancellazione dei dati personali oggetto di violazione e che, pertanto, la natura della violazione è circoscrivibile alla sola perdita di confidenzialità” (nota dell’XX).

Con riferimento alle misure di sicurezza adottate rispetto al trattamento dei dati in esame, la Società ha rappresentato che “considerata l'assoluta necessità e urgenza di dare attuazione al Piano strategico con l'immediatezza richiesta dal contesto emergenziale in atto, si reputa che le misure adottate, nell'ottica di operare un bilanciamento tra il diritto alla privatezza e alla salute pubblica, ed in virtù del numero degli interessati, della natura, numero e grado di sensibilità dei dati personali violati, siano state idonee a garantire la necessità e l'urgenza di consentire alla categoria degli over 80 l'iscrizione e la successiva adesione alla campagna vaccinale nel più breve tempo possibile, tenuto conto delle difficoltà operative legate alla gestione dell'autenticazione tramite tessera Sanitaria della categoria sopracitata. A conferma della natura di temporaneità della scelta adottata, si conferma che è stata immediatamente ripristinata la modalità di accesso a maggior controllo proprio perché il sistema realizzalo era già stato implementato in tal senso” (nota dell’XX).

Successivamente, la Società ha altresì rappresentato “che le incongruenze tra il codice fiscale e la tessera sanitaria valida nell'anagrafica regionale degli assistiti e i dati inseriti dall'utente in fase di accesso sono registrate - per scelta progettuale, come misura di controllo cautelativo in seguito alla richiesta di modifica della modalità di autenticazione dell’utente- all'interno della base dati, al fine anche di permettere e/o agevolare analisi di sicurezza successive. Ciò ha consentito di analizzare e delimitare l’insieme dei dati potenzialmente coinvolti nella violazione riscontrata. Sono stati identificati i numeri di tessera sanitaria non formalmente corretti, presenti all'interno dell'insieme di dati individuato e, quindi, riconducibili ad accessi non autorizzati. In tal senso, si precisa che l'applicazione è dotata di una funzionalità di controllo, atta a impedire l'inserimento all'interno del campo dedicato alla tessera sanitaria di informazioni non formalmente corrette” (nota del XX).

Con riferimento alle misure adottate per porre rimedio alla violazione dei dati personali e a quelle adottate per attenuare i possibili effetti negativi della stessa nei confronti degli interessati, la Società ha rappresentato che:

- “nell'ambito degli approfondimenti condotti per accertare l'entità della violazione, ha provveduto - in primo luogo - a delimitare l'insieme dei dati potenzialmente coinvolti nella violazione, identificando le incongruenze per il codice fiscale tra la tessera sanitaria valida nell’anagrafica regionale degli assistiti e quella inserita dall’utente in fase di accesso. Tali incongruenze sono, infatti, registrate - per scelta progettuale – all’interno della base dati, al fine anche di permettere e/o agevolare analisi di sicurezza successive”;

- “ha identificato i numeri di tessera sanitaria non formalmente corretti, presenti all'interno dell'insieme di dati individuato e, quindi, riconducibili ad accessi non autorizzati. ln tal senso, si precisa che l'applicazione è dotata di una funzionalità di controllo, atta a impedire l'inserimento all'interno del campo dedicato alla tessera sanitaria di informazioni non formalmente corrette”;

- “ha identificato le 12 anagrafiche coinvolte nella violazione. Definito tale insieme di dati, la Società ha rilevato che solo 3 delle suddette 12 anagrafiche presentavano all'interno della scheda anamnestica informazioni, la cui compilazione, tra l'altro, è facoltativa. Con riferimento a tali 3 anagrafiche, la Società rilevava, solo in un caso, l'avvenuta compilazione della scheda anamnestica in un momento precedente alla data dell'ultimo accesso non autorizzato. Di conseguenza è ragionevole ritenere che la violazione possa aver coinvolto potenzialmente solo tale scheda anamnestica” (nota dell’XX).

Per quanto attiene alle misure adottate per prevenire simili violazioni in futuro, la Società nella predetta nota dell’XX, ha dichiarato di aver:

a) “ripristinato il livello di controllo originariamente implementato e a suo tempo modificato su richiesta [… della regione Campania] a fronte di problematiche organizzative;

b) modificato il messaggio di errore generato dall'applicativo rendendolo idoneo a non produrre alcuna informazione sull'interessato;

c) modificato le API in modo tale che esse non restituiscano informazioni direttamente o indirettamente riconducibili all'interessato;

d) pianificato di avviare un'attività di verifica della sicurezza del sistema tramite penetration test, che sarà effettuato sia sull'interfaccia web, che sugli endpoint dell'applicazione”;
e, nella successiva nota del XX, che:

e) “a seguito di quanto emerso dalle verifiche [...], si conferma di aver provveduto a modificare il messaggio di errore generato dall'applicativo, rendendolo idoneo a non produrre alcuna informazione sull’interessato. Invocando l’Api di endpoint https://api-sanita.cdp-sanita.soresa.it/cv19ade/v1/adesione/create%E2%80%9D  il JSON restituito non fornisce più indicazioni utili sull’interessato”;

f) “la Enterprise Service Italia S.r.l. ha provveduto a svolgere specifici test di sicurezza (penetration test e vulnerability assessment) sulla piattaforma oggetto di data breach ed in base agli esiti degli stessi è stato elaborato un remediation plan. Si specifica inoltre che i test di cui sopra sono stati effettuati in ambito di preproduzione, speculare all’ambito di produzione, e su tutti gli endpoint relativi al servizio, oltre a quelli oggetto di data breach”.

Con riferimento alla comunicazione agli interessati, la Società, al momento della notifica, ha dichiarato poi che erano “in corso le dovute valutazioni” in merito. Successivamente, con la nota del XX la Società ha fornito copia delle comunicazioni inviate agli interessati coinvolti in data XX, nelle quali la stessa si è qualificata come titolare del trattamento.

In concomitanza con l’istruttoria della predetta notifica di violazione, a seguito della presentazione di un reclamo e di talune segnalazioni, questo Ufficio ha avviato specifiche attività istruttorie relative ai trattamenti di dati personali, anche inerenti allo stato di salute degli interessati, effettuati da parte della Regione Campania nell’ambito dei servizi online relativi all’esecuzione di test Sars Cov 2 e alla somministrazione dei vaccini anti Covid-19.

In particolare, nell’esame dei modelli utilizzati per rendere agli interessati le informazioni di cui agli artt. 13 e 14 del Regolamento e di ulteriore documentazione, sono state rilevate indicazioni contrastanti in merito al titolare dei trattamenti attualmente in esame (artt. 4, 13, e 24 del Regolamento). Più nello specifico, è stato rilevato che, sebbene i predetti modelli riguardassero i medesimi trattamenti, gli stessi indicavano in modo diverso la titolarità del trattamento, facendo riferimento, in taluni casi, alla Regione e in altri alla Società SO.RE.SA.

Ciò stante, sulla base di quanto indicato dal Regolamento e dalla normativa di settore adottata con riferimento alle azioni di prevenzione e contenimento dell’infezione da Sars Cov 2, l’Ufficio, nel rilevare aspetti di criticità relativamente alla corretta identificazione dei titolari dei predetti trattamenti e alle necessarie designazioni a responsabili del trattamento dei soggetti di cui si avvalgono i titolari, ha promosso un incontro con la Regione Campania e la società SO.RE.SA, che si è svolto in remoto il XX (nota del XX, prot. n. XX).

Nell’ambito del suddetto incontro è stato rappresentato quanto già indicato in atti e in particolare che la definizione dei ruoli in materia di protezione dei dati personali, stabilita nel Decreto Commissariale n. 26 del 22.9.2019, ha individuato SO.RE.SA. quale “Data Controller” ovvero Titolare del trattamento dei dati personali in ambito sanitario, a norma dell’art. 4, par. 1, n. 7 del Regolamento UE 679/2016 GDPR. In tale occasione, la Regione Campania ha rappresentato l’intenzione di voler adottare una nuova delibera circa la definizione dei ruoli del trattamento dei dati personali effettuato dalla stessa.

Con nota del XX il responsabile per la protezione dei dati personali della Regione ha rappresentato che “la Regione Campania provvederà, nella prima seduta utile di Giunta, a ridefinire i ruoli di Titolare del Trattamento e Responsabile del Trattamento con So.Re.Sa. S.p.A., superando il decreto del Commissario ad Acta n. 26 del 22.02.2019”.

Successivamente, con nota del XX, la Regione ha trasmesso la delibera n. 480 del 4 novembre 2021 della Giunta regionale con la quale sono stati definiti nuovamente i ruoli di titolare e di responsabile con riferimento ai trattamenti di dati personali oggetto del presente provvedimento.

2. Le violazioni contestate

In relazione a quanto emerso dalla documentazione in atti, l’Ufficio, ha notificato alla Regione Campania, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981) (nota del XX, prot. n. XX).

In particolare, l’Ufficio ha rilevato che la violazione dei dati personali sopra descritta è stata portata a conoscenza dell’Autorità e degli interessati da parte della società SO.RE.SA. quale autonomo titolare del trattamento nonostante la violazione avesse riguardato trattamenti non rientranti nel perimetro di titolarità della Società, quanto piuttosto trattamenti afferenti a iniziative di sanità pubblica connesse all’espletamento della campagna vaccinale anti Covid-19 che ricadono nell’ambito di titolarità della Regione Campania.

È stato constatato, inoltre, che l’applicazione web per l’adesione alla campagna vaccinale anti Covid-19 ha consentito, seppur per un periodo di tempo limitato (una settimana), la consultazione di talune informazioni personali di assistiti del sistema sanitario regionale semplicemente inserendone il codice fiscale e una stringa di 20 cifre anche non corrispondente al relativo numero di tessera sanitaria.

In particolare, è stato rilevato che, fino alla data del XX, inserendo il codice fiscale di un assistito della Regione che aveva già aderito alla campagna vaccinale e, come numero di tessera sanitaria, una stringa casuale di 20 cifre, la predetta applicazione web mostrava un messaggio (“Attenzione - Hai già aderito al piano vaccinale”) dal quale era possibile desumere informazioni circa l’avvenuta adesione alla campagna vaccinale anti Covid 19 del soggetto intestatario del codice fiscale.

Inoltre, anche l’API con endpoint “https://api-sanita.cdp-sanita.soresa.it/adesioneben/v1/adesione/create”, invocata dal browser dell’utente, restituiva, in formato JSON, alcune informazioni concernenti l’adesione alla campagna vaccinale dell’assistito (cfr. elemento denominato “message”, contenente i campi “CF”, “idRichiestaVaccino” e “stato”).

E’ stato poi rilevato che alla data del XX, inserendo il codice fiscale di un assistito della Regione che aveva già aderito alla campagna vaccinale e una stringa di 20 cifre formalmente corretta ma non necessariamente corrispondente al numero di tessera sanitaria dell’assistito, nonostante la citata applicazione web mostrasse un messaggio dal contenuto generico (“Attenzione – Informazioni non attualmente disponibili”), l’API con endpoint “https://api-sanita.cdp-sanita.soresa.it/cv19ade/v1/adesione/create”, invocata dal browser dell’utente, ancora restituiva, in formato JSON, le informazioni sopra indicate.

Alla luce di tali elementi, l’Ufficio, con nota del XX, prot. n. XX, ha notificato alla Regione Campania, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). In particolare, l’Ufficio, ha evidenziato che le modalità di accesso ai servizi allora offerti dalla piattaforma di prenotazione dei vaccini anti Covid-19 non risultavano conformi all’art. 5, par. 1, lett. f), e all’art. 32 del Regolamento in quanto inadeguate a garantire su base permanente la riservatezza di informazioni, anche inerenti allo stato di salute degli interessati.

L’Ufficio ha inoltre rilevato la violazione da parte della Regione Campania degli obblighi di “protezione dei dati fin dalla progettazione” e di “protezione dei dati per impostazione predefinita” di cui al citato art. 25 del Regolamento nella misura in cui è risultato accertato che al momento della definizione delle caratteristiche dell’applicazione web per l’adesione alla campagna vaccinale anti Covid 19 e successivamente durante l’uso della stessa, essa non ha provveduto all’implementazione di misure tecniche volte ad attuare in modo efficace i principi inerenti al trattamento dei dati personali, con particolare riferimento a quello di integrità e riservatezza (art. 5, par. 1 lett. f) del Regolamento).

Infine, è stata rilevata la non corretta attribuzione da parte della Regione Campania della titolarità dei trattamenti effettuati attraverso il suddetto portale e la conseguente erronea attribuzione dei compiti e delle responsabilità dei diversi soggetti coinvolti nel trattamento anche in relazione agli obblighi in materia di violazione dei dati personali e di sicurezza del trattamento in violazione, , del principio di “liceità, correttezza e trasparenza” del trattamento di cui all’art. 5, par. 1, lett. a) del Regolamento tenuto anche conto che sono state predisposte informative recanti informazioni contrastati in ordine a tali aspetti del trattamento.

Ciò stante, è stata contestata la violazione dei principi applicabili al trattamento al trattamento dei dati personali di cui all’art. 5, par. 1, lett. a) e f), del Regolamento e dei successivi artt.  25, 32, 33 e 34. La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 4, lett. a) e par. 5, lett. a) del Regolamento

Nell’ambito del procedimento sanzionatorio avviato con la richiamata nota del XX, la Regione Campania ha richiesto di essere sentita in audizione (svoltasi in data XX). In tale sede, la parte -riservandosi di produrre nel termine di 15 gg una specifica relazione- ha sottolineato che “tutte le azioni connesse all’integrazione dell’anagrafe regionale degli assistiti condividevano l’obbiettivo di garantire che le aziende sanitarie e ospedaliere regionali potessero operare su una sola anagrafe che desse maggiore certezza sui servizi erogati”.

Con successiva nota del XX (prot. n. XX), oltre a quanto già emerso in sede istruttoria la Regione ha evidenziato in particolare che:

- “nel contesto emergenziale in cui si è trovata la Regione Campania, la raccolta e l’utilizzo dei dati, e in particolare quelli relativi alla salute, hanno acquisito un ruolo fondamentale nell’azione di contrasto della pandemia. La tutela dei dati personali, nel tempo della pandemia di Covid-19, contempla limitazioni necessarie a garantire la salute pubblica, attraverso criteri di proporzionalità, precauzione e temporaneità. Il decreto-legge 9 marzo 2020, n. 14 recante Disposizioni urgenti per il potenziamento del Servizio sanitario nazionale in relazione all’emergenza COVID-19, pubblicato in G.U. n. 62, il 9 marzo 2020, ed in vigore dal 10 marzo 2020, consente una disciplina per tutela dei dati personali in base all’art. 9, par. 2 lett. i) del GDPR”

- “con riferimento alle misure rimediative implementate/pianificate è stato:

- ripristinato il livello di controllo originariamente implementato e a suo tempo modificato su richiesta del titolare a fronte di problematiche organizzative;

- modificato il messaggio di errore generato dall’applicativo rendendolo idoneo a non produrre alcuna informazione sull’interessato;

- modificato le API in modo tale che esse non restituiscano informazioni direttamente o indirettamente riconducibili all’interessato;

- effettuata attività di verifica della sicurezza del sistema tramite penetration test”.

- “è stata assicurata dall’inizio del procedimento la massima collaborazione all’Autorità e sono stati forniti tutti gli elementi utili per porre rimedio alla violazione ed attenuarne i possibili effetti negativi”

- “alle ore XX del XX si è venuti a conoscenza della violazione, alle ore 21:30 dello stesso giorno è stata inviata segnalazione alla Polizia Postale, il giorno XX è stata effettuata comunicazione ai sensi dell’art. 33 del Regolamento”;

- la Giunta Regionale, come anticipato in fase istruttoria all’Ufficio del Garante, “con DGR 480 del 2021, notificata all’Autorità, ha provveduto a stabilire la Titolarità della Regione Campania ed a nominare So.Re.Sa. qual responsabile del trattamento”;

- “contestualmente all’approvazione dell’atto giuntale si è provveduto ad adeguare le informativa, per il reso si applica la normativa vigente”;

- (...) “considerata l’assoluta necessità e urgenza di dare attuazione al Piano strategico con l’immediatezza richiesta dal contesto emergenziale in atto, si reputa che le misure adottate, nell’ottica di operare un bilanciamento tra il diritto alla privatezza e alla salute pubblica, ed in virtù del numero degli interessati, della natura e grado di sensibilità dei dati personali violati, siano state idonee a garantire la necessità e l’urgenza di consentire alla categoria degli over 80 l’iscrizione e la successiva adesione alla campagna vaccinale nel più breve tempo possibile, tenuto conto delle difficoltò operative legate alla gestione dell’autenticazione tramite tessera Sanitaria della categoria sopra indicata. A conferma della natura di temporaneità della scelta adottata, si conferma che è stata immediatamente ripristinata la modalità di accesso a maggior controllo, proprio perché il sistema realizzati era già stato implementato in tal senso”. In ogni caso si è provveduto tempestivamente ad attivare le iniziative implementate/pianificate:

- ripristinato il livello di controllo originariamente implementati e a suo tempo modificato (...) a fronte di problematiche organizzative;

- modificato il messaggio di errore generato dall’applicativo rendendolo idoneo a non produrre alcuna informazione all’interessato;
- modificato le API in modo tale che esse non restituiscano informazioni direttamente o indirettamente riconducibili all’interessati;

- pianificato di avviare un’attività di verifica della sicurezza del sistema penetration test, che sarà effettuato sia sull’interfaccia web, che sugli end point dell’applicazione”.

Con riferimento al principio di trasparenza la Regione ha evidenziato che “tale aspetto va attenuato dal fatto che nel 2019 le Regione Campania era commissionata dal Governo centrale per il Piano di rientro dai servizi sanitari.

Proprio in virtù della Delibera del Consiglio dei Ministri del 10 luglio 2017, Acta vii [...] è stata necessaria l’adozione del decreto del Commissario ad Acta n. 26 del 22 febbraio 2019 approvato dai Ministeri affiancanti.

Tale provvedimento è nato da una specifica richiesta da parte di Sogei quale percorso amministrativo che ha portato all’istituzione delle anagrafi regionali con una chiara indicazione della titolarità del soggetto giuridico che effettua il trattamento. Condizione unica per poter conferire al Sistema Tessera Sanitaria le necessarie informazioni degli assistiti campani.

Di conseguenza le informative prodotte non potevano essere con conformi ai dettami del citato decreto del Commissario ad Acta. Poi tempestivamente riadattate a quanto previsto dalla nuova DGR 480/2021 (...)”.

3. La normativa applicabile

Il trattamento di dati personali deve avvenire nel rispetto della normativa applicabile in materia di protezione dei dati personali e, in particolare, delle disposizioni del Regolamento e del Codice.

In particolare, si evidenzia che, ai sensi del Regolamento, si considerano “dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, par. 1, n. 15 del Regolamento). Il Considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria [...]; “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”.

Si evidenzia, inoltre, che ai sensi del Regolamento, i dati personali devono essere “trattati in maniera da garantite un’adeguata sicurezza [...] compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”; principio di integrità e riservatezza (art. 5, par. 1, lett. f), del Regolamento).

Sulla base di tale principio, l’art. 32 del Regolamento prevede che, “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […]” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2).

Inoltre, si osserva che, in base al principio della “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del Regolamento), il titolare del trattamento deve adottare misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati (art. 5 del Regolamento) e deve integrare nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati. Tale obbligo si estende anche ai trattamenti svolti per mezzo di un responsabile del trattamento. Infatti, le operazioni di trattamento effettuate da un responsabile dovrebbero essere regolarmente esaminate e valutate dal titolare per garantire che continuino a rispettare i principi e permettano al titolare di adempiere gli obblighi previsti dal Regolamento (cfr. “Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate il 20 ottobre 2020 dal Comitato europeo per la protezione dei dati, spec. punti 7 e 39).

Il titolare del trattamento deve, anche in conformità al principio della “protezione dei dati per impostazione predefinita” (art. 25, par. 2, del Regolamento), effettuare scelte tali da garantire che venga effettuato per impostazione predefinita solo il trattamento strettamente necessario per conseguire una specifica e lecita finalità. Ciò comporta che, per impostazione predefinita, il titolare del trattamento deve mettere in atto misure che garantiscono che “non siano resi accessibili dati personali a numero indefinito di persone fisiche, senza l’intervento della persona fisica” (cfr. “Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita”, cit., spec. punti 55, 56 e 57).

L’art. 33 del Regolamento stabilisce che “in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo” (par. 1).

L’art. 34 del Regolamento stabilisce che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo” (par. 1) e che “la comunicazione all'interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d)” (par. 2).

Inoltre, il Regolamento prevede che i dati personali siano “trattati in modo […] trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»)” (art. 5, par. 1, lett. a)) e che “il titolare del trattamento adotta misure appropriate per fornire all'interessato […] le comunicazioni di cui […] all'articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro” (art. 12, par. 1).

4. Conclusioni

La citata violazione dei dati personali è stata portata a conoscenza dell’Autorità e degli interessati da parte della società SO.RE.SA. quale autonomo titolare del trattamento. Alla luce di quanto documentato in atti e di quanto indicato dalla Regione nella citata delibera n. 480 del 4 novembre 2021, si conferma che la predetta violazione non è riconducibile alle attività di trattamento che rientrano nel perimetro di titolarità della suddetta Società, in quanto ha riguardato trattamenti afferenti a iniziative di sanità pubblica connesse all’espletamento della campagna vaccinale anti Covid-19 che ricadono nell’ambito di titolarità della Regione Campania. Alla luce di quanto sopra esposto, si ravvisano gli estremi di una violazione degli obblighi di cui agli artt. 33 e 34 del Regolamento da parte della Regione Campania.

La non corretta attribuzione della titolarità dei trattamenti effettuati attraverso il suddetto portale e la conseguente erronea attribuzione dei compiti e delle responsabilità dei diversi soggetti coinvolti nel trattamento anche in relazione agli obblighi in materia di violazione dei dati personali ha comportato, come rilevato dall’Ufficio nella citata nota del XX, anche la violazione da parte della Regione Campania del principio di “liceità, correttezza e trasparenza” del trattamento di cui all’art. 5, par. 1, lett. a) del Regolamento specie con riferimento alle informazioni fornite agli interessati che sono state contraddittorie in ordine a tali aspetti del trattamento.

Alla luce della documentazione in atti, si conferma inoltre che le modalità di accesso ai servizi offerti dalla piattaforma di prenotazione dei vaccini anti Covid-19 (https://adesionevaccinazioni.soresa.it/adesione/cittadino) della Regione Campania non risultano conformi alle predette disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32 del Regolamento, risultando inadeguate a garantire su base permanente la riservatezza di informazioni, anche inerenti allo stato di salute degli interessati.

Le predette modalità di accesso hanno comportato, altresì, la violazione da parte della Regione Campania degli obblighi di “protezione dei dati fin dalla progettazione” e di “protezione dei dati per impostazione predefinita” di cui al citato art. 25 del Regolamento nella misura in cui risulta dimostrato che al momento della definizione delle caratteristiche dell’applicazione web per l’adesione alla campagna vaccinale anti Covid 19 e successivamente durante l’uso della stessa, la Regione non ha provveduto all’implementazione di misure tecniche volte ad attuare in modo efficace i principi inerenti al trattamento dei dati personali, con particolare riferimento a quello di integrità e riservatezza (art. 5, par. 1 lett. f) del Regolamento).

Su tali basi, tenuto conto delle dichiarazioni raccolte nel corso dell'istruttoria – e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice "Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante"-, gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall'Ufficio con l'atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall'art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità dei trattamenti di dati personali effettuati dalla Regione Campania in violazione dei principi di liceità, correttezza e trasparenza, integrità e riservatezza e correlati obblighi di sicurezza, protezione dei dati fin dalla progettazione e per impostazione predefinita e in violazione degli obblighi di cui agli artt. 33 e 34 del Regolamento (artt. 5, par. 1, lett. a) e f), 25, 32, 33 e 34 del Regolamento).

La violazione delle predette disposizioni rende, altresì, applicabile la sanzione amministrativa prevista dall’art. 83, par. 4 e 5 del Regolamento, ai sensi degli artt. 58, par. 2, lett. i) e 83, par. 3 del Regolamento medesimo.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice)

La violazione degli artt. 5, par. 1, lett. a) e f), 25, 32, 33 e 34 del Regolamento, causata dalla condotta della Regione Campania, è soggetta all’applicazione della sanzione amministrativa pecuniaria, ai sensi dell’art. 83, par. 4, lett. a) e 5, lett. a) del Regolamento.

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati all’art. 83, par. 1 del Regolamento, alla luce degli elementi previsti all’art. 83, par. 2 del Regolamento. In relazione alla violazione di dati personali notificata dal titolare del trattamento, ai sensi dell’art. 33 del Regolamento, e alle risultanze dell’istruttoria svolta si osserva che:

- la violazione ha riguardato un numero ridotto di interessati e che con riferimento ad un solo interessato essa ha riguardato anche l’accesso alla scheda anamnestica contenente informazioni sanitarie di dettaglio;

- la Società ha implementato misure tecniche idonee a prevenire il ripetersi di eventi analoghi, adeguate allo stato dell’arte e alle precedenti indicazioni dell’Autorità (provv. del 13 maggio 2021 doc. web 9674151);

- la circostanza che la definizione dei ruoli in materia di protezione dei dati personali fosse stata stabilita nel Decreto Commissariale n. 26 del 22.9.2019 che aveva individuato SO.RE.SA. quale “Data Controller” non costituisce una condizione esimente dall’obbligo per il titolare del trattamento (nel caso di specie Regione Campania) di verificare i trattamenti che ineriscono alle proprie competenze e funzioni istituzionale;

- le vicende oggetto di notificazione e di segnalazioni hanno avuto luogo in un momento di eccezionale gravità, determinato dall’emergenza pandemica da Covid- 19 che ha portato altresì alla dichiarazione dello stato di emergenza con delibera del Consiglio dei Ministri del 31 gennaio 2020;

- la Regione ha prontamente modificato la normativa regionale relativa ai ruoli di protezione dei dati personali della Regione medesima e di SO.RE.SA e le informative sul trattamento dei dati personali;

- la Regione si è dimostrata collaborativa durante tutta la fase istruttoria e procedimentale;

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4 lett. a) e 5, lett. a) del Regolamento, nella misura di € 10.000 (diecimila) per la violazione artt. 5, par. 1, lett. a) e f), 25, 32, 33 e 34 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1 e 3, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva infine che ricorrono i presupposti di cui all'art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Regione Campania, per la violazione artt. 5, par. 1, lett. a) e f), 25, 32, 33 e 34 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice dalla Regione Campania, con Sede legale in via S. Lucia, n. 81, cap. 80132, c.f.  800.119.906.39, di pagare la somma di € € 10.000 (diecimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Regione, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di € 10.000 (diecimila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, il 1° dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei