Provvedimento del 7 marzo 2024 [10008177]

Ascolta

Stampa Stampa

Trasforma contenuto in PDF

[doc. web n. 10008177]

Provvedimento del 7 marzo 2024

Registro dei provvedimenti
n. 134 del 7 marzo 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, Regolamento generale sulla protezione dei dati (di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO il regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.garanteprivacy.it, doc. web n. 9107633 (di seguito “reg. del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del reg. del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (doc. web n. 1098801);

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. L’attività istruttoria

Il XX il Direttore generale della Direzione generale della Digitalizzazione, del sistema informativo sanitario e della statistica del Ministero della salute (di seguito, Ministero) informava l’Ufficio del Garante, tramite e-mail, circa la presunta violazione del Nuovo Sistema informativo sanitario (di seguito “NSIS”).

In pari data, l’Ufficio evidenziava che “i fatti descritti integrano una violazione dei dati personali da inserire nel registro delle violazioni del Ministero – anche se ha riguardato esclusivamente le “credenziali di accesso utente ai sistemi NSIS””, che era “molto probabile che [ricorressero] i presupposti per la notifica della stessa al Garante e per la comunicazione agli interessati coinvolti. Tali presupposti ovviamente devono però essere valutati dal Ministero che dovrebbe avere tutti gli elementi per effettuare queste valutazioni”, che “in casi come questo bisogna considerare almeno il numero di interessati coinvolti e le caratteristiche delle credenziali di autenticazione” e, infine, che “il principale rischio derivante dal furto di credenziali di autenticazione è infatti l’utilizzo delle stesse per l’accesso ad altri servizi online, anche erogati da soggetti diversi dal titolare che ha subìto la violazione”.

Successivamente, nel mese di XX, l’Ufficio apprendeva da alcune notizie stampa di un attacco informatico al sistema utilizzato dal Ministero per l’autenticazione e l’autorizzazione degli utenti del NSIS che si sarebbe verificato nel mese di XX. In particolare, secondo quanto riportato dalla stampa, soggetti terzi avrebbero avuto accesso ad alcuni dati personali di interessati contenuti all’interno dei file di log conservati all’interno dei sistemi informatici del Ministero.

A seguito di tali notizie stampa e alla luce della comunicazione informale del Ministero del XX, l’Ufficio chiedeva informazioni al Ministero con le note del XX (prot. n. XX) e del XX (prot. n. XX) al fine di acquisire elementi sulla portata della violazione dei dati personali, sulle valutazioni svolte dal Ministero in ordine ai rischi per i diritti e le libertà per gli interessati che ne sarebbero potute derivare, nonché sulle misure tecniche e organizzative adottate al fine di impedire il verificarsi di accessi non autorizzati al NSIS a seguito dell’acquisizione illecita di alcune credenziali di autenticazione.

A tali richieste, il Ministero rispondeva, rispettivamente, con le note del XX (prot. n. XX) e del XX (prot. n. XX), dichiarando che:

- “nell’arco temporale compreso tra il XX ed il XX […] subiva un attacco informatico finalizzato all'esfiltrazione di credenziali per l'accesso ai sistemi riferiti alla piattaforma del Nuovo Sistema Informativo Sanitario (NSIS)” di cui apprendeva notizia “mediante una comunicazione telematica (e-mail) da parte di un utente […] che segnalava di aver individuato informazioni afferenti l’Amministrazione in un annuncio presente sul darkweb”;

- a seguito di detta comunicazione, e delle successive connesse analisi, “è stato possibile comprendere come l’attaccante sia stato in grado di acquisire credenziali degli utenti che effettuavano l’accesso alla piattaforma NSIS, raggiungibile al seguente indirizzo https://nsis.sanita.it, nel periodo compreso tra il XX ed il XX” e “circoscrivere l’esfiltrazione delle credenziali nelle fasce orarie del giorno 7 settembre c.a. dalle 9:00 alle 11:00 e del giorno XXe c.a. dalle 10:00 alle 11:00”;

- sono state compromesse un totale di 1.578 credenziali di autenticazione;

- aveva “proceduto all’individuazione di tutti gli utenti che hanno eseguito l’accesso [… nel] periodo” previa “verifica che gli indirizzi email degli utenti coinvolti fossero riferibili agli utenti stessi” e di aver forzato il “reset delle password, preannunciando agli stessi utenti tale intervento per ragioni di sicurezza”. Tale procedura, effettuata per fasi, con priorità “alle utenze collegate a nsis.sanita.it durante le fasce orarie di potenziale esfiltrazione dati” aveva, quindi, portato alla creazione di “una nuova password randomica […] con obbligo di cambio al primo accesso”;

- aveva “provveduto a bloccare il servizio di registrazione in uso (self provisioning) che permetteva, a un soggetto interessato all’utilizzo di funzionalità NSIS, la creazione di proprie credenziali in autonomia, anche se con limitato accesso alle sole funzionalità di gestione delle proprie informazioni personali e alla richiesta di profili applicativi soggetti a successiva puntuale approvazione da parte degli Amministratori delle applicazioni” e aveva “predisposto un “Mitigation, Eradication and Improvement Plan” […] al fine di contenere l’incidente ed evitare impatti in futuro con la stessa tipologia di minaccia”;

- aveva forzato il “reset delle password, preannunciando agli stessi utenti tale intervento per ragioni di sicurezza” e aveva avvisato gli utenti “via e-mail di problematiche di sicurezza in corso che richiedevano il reset della password”;

- con riferimento alla notifica di violazione al Garante, aveva “valutato che non si siano concretizzati rischi per i diritti e le libertà per gli interessati derivanti dall’incidente occorso” e non aveva, pertanto, comunicato agli interessati coinvolti la violazione (cfr. nota del XX). Per quanto attiene alla documentazione sulla violazione dei dati personali di cui all’art. 33, par. 5, del Regolamento, sono stati forniti i documenti Executive and Technical Report JBoss Web Application Compromise, redatto da Leonardo Company S.p.A., e Relazione sulle attività effettuate per il reset password delle utenze NSIS a seguito dell’incident di sicurezza redatto da Engineering S.p.A.;

- in merito all’esfiltrazione delle credenziali, era stata possibile “a seguito di manomissione del codice della pagina dove gli utenti inseriscono le credenziali per l’accesso alla piattaforma NSIS in modo da reindirizzare, in chiaro, le stesse credenziali anche verso una URL esterna al perimetro del Ministero”, e che tale operazione era stata attuata “mediante compromissione dell’application server JBoss vulnerabile”, “favorita dall'esposizione di una pagina web che consentiva l'accesso a funzionalità di configurazione avanzate dell'applicazione web ospitata dal sistema” e “riconducibile a tutorial ed exploit noti e facilmente reperibili online”. L’application server JBoss, infatti, presentava “alcune misconfiguration che avrebbero potuto consentire all’attaccante di ottenere privilegi amministrativi sulla macchina senza l’inserimento di alcuna password” ed “eseguire comandi con privilegi di root” (cfr. Executive and Technical Report JBoss Web Application Compromise).

Con riferimento a tale ultimo aspetto, con il provvedimento n. 88 del 10 marzo 2022 (doc. web n. 9780717), il Garante aveva ritenuto che la predetta violazione dei dati personali fosse suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, condizione per cui è richiesta la comunicazione agli interessati ai sensi dell’art. 34, par. 1, del Regolamento.

Nel predetto provvedimento era stato ritenuto che l’avviso “via e-mail di problematiche di sicurezza in corso che richiedevano il reset della password” da parte del Ministero – sebbene, in un primo momento, poteva rappresentare una misura sufficiente a informare gli interessati circa le iniziative intraprese nell’immediato, offrendo anche un recapito dedicato al quale rivolgersi – non costituiva uno strumento idoneo all’assolvimento degli obblighi di cui all’art. 34 del Regolamento, in quanto non consentiva di rendere gli interessati efficacemente consapevoli dei rischi derivanti dalla violazione anche al fine di permettere loro di prendere le precauzioni necessarie quali, ad esempio, non utilizzare più la password compromessa, o comunque una simile, per l’accesso alla piattaforma NSIS o ad altri servizi online.

Ciò, in particolare, in considerazione dei seguenti elementi:

- i trattamenti svolti nell’ambito del NSIS, richiedono un elevato grado di accountability, al fine di garantire la fiducia nei confronti degli interessati, soddisfacendo, in particolare, le legittime aspettative di trasparenza e sicurezza del trattamento;

- la gravità e la persistenza delle possibili conseguenze per le persone fisiche derivanti dalla compromissione delle credenziali di autenticazione, considerata l’abitudine degli utenti di utilizzare password sempre simili tra loro cambiando solo alcuni caratteri (ad esempio, un numero o una lettera) e, comunque, di riutilizzare la medesima password, anche a distanza di tempo, per lo stesso o per altri servizi online;

- la possibilità che le credenziali di autenticazione in questione fossero sfruttate per accedere alla piattaforma NSIS e consultare, o acquisire, dati personali riferiti sia agli utenti a cui sono attribuite (ad esempio, dati anagrafici del profilo personale) che ad altre categorie di interessati (a esempio, in caso di applicazioni NSIS che comportano un trattamento di dati personali di assistiti del Servizio sanitario nazionale), nonché per ulteriori eventuali attività illecite.

Ciò stante, con il predetto provvedimento, il Garante ha ingiunto al Ministero di comunicare nell’immediato la violazione dei dati personali in esame a tutti gli interessati coinvolti, descrivendo la natura della violazione e le possibili conseguenze della stessa, fornendo loro i dati di contatto del Responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonché indicazioni specifiche sulle misure che possono adottare per proteggersi da eventuali conseguenze negative della violazione quali quelle di non utilizzare più la password compromessa, o comunque una simile, per l’accesso alla piattaforma NSIS o ad altri servizi online.

A seguito del provvedimento dell’Autorità, il Ministero aveva informato gli interessati coinvolti nella violazione dei dati personali, inviando un messaggio di posta elettronica agli interessati coinvolti avente a oggetto l’”aggiornamento password dell'utenza NSIS del Ministero della salute – Ulteriori informazioni e indicazioni” con cui aveva informato che “l’operazione di aggiornamento password dell’utenza NSIS – effettuata e comunicata via email lo scorso mese di settembre con oggetto “Aggiornamento password dell’utenza NSIS del Ministero della salute […] si era resa necessaria a seguito di illecita attività che ha comportato la compromissione delle […] credenziali di autenticazione alla piattaforma NSIS del Ministero della salute” e aveva evidenziato il rischio che “le credenziali compromesse potessero essere illecitamente sfruttate” sottolineando “l’importanza di non utilizzare la password precedente l’aggiornamento, o altra simile, per l’accesso alla piattaforma NSIS o ad altri servizi on line”.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori, ai sensi dell’art. 166, comma 5, del Codice

In relazione alle verifiche compiute, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio, con nota del XX (prot. n. XX), ha notificato al Ministero della salute l’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori di cui all’art. 58, par. 2, del Regolamento, avendo accertato, nella vicenda in esame, la sussistenza di violazioni della disciplina rilevante in materia di protezione dei dati personali.

Con la medesima nota, sono state notificate al predetto Ministero le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), invitandolo a far pervenire scritti difensivi o documenti ed eventualmente a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Nello specifico, e come di seguito meglio descritto, è stato accertato che il trattamento di dati personali con riferimento alla vicenda in questione è stato effettuato:

a) in maniera non conforme ai principi di “integrità e riservatezza”, di sicurezza del trattamento e della “protezione dei dati per impostazione predefinita”, in violazione degli artt. 5, par. 1, lett. f), 32 e 25, par. 1, del Regolamento;

b) in violazione degli obblighi di notifica di cui all’art. 33 del Regolamento e di quelli di documentazione di cui all’art. 33, par. 5 del Regolamento;

c) in violazione degli obblighi di comunicazione nei confronti degli interessati di cui all’art. 34 del Regolamento.

2.1. La notifica della violazione dei dati personali al Garante

Preso atto di quanto dichiarato in atti, è stato accertato che l’accesso e l’esfiltrazione di dati personali – tra cui le credenziali di autenticazione degli utenti – configura una violazione di dati personali (cfr. art. 4, punto 12, del Regolamento) e, pertanto, si ravvisano gli estremi di una violazione degli obblighi di cui all’art. 33 del Regolamento da parte del Ministero, non ritenendo che la citata comunicazione informale del XX sia idonea a configurare una notifica della violazione dei dati personali.

Sono stati accertati, inoltre, gli estremi di una violazione degli obblighi di cui all’art. 33, par. 5, del Regolamento, poiché la documentazione fornita nel corso dell’istruttoria risultava priva di informazioni essenziali, quali gli effetti e le possibili conseguenze derivanti dalla violazione, tenuto conto che la documentazione fornita non contiene gli esiti della valutazione del rischio, per i diritti e le libertà degli interessati, derivante dalla violazione quale elemento essenziale per determinare la necessità di effettuare la notifica all’autorità di controllo e la comunicazione agli interessati.

2.2 La comunicazione della violazione dei dati personali agli interessati

Alla luce di quanto sopra esposto, è stata accertata una violazione dell’art. 34 del Regolamento da parte del Ministero, tenuto conto che il Ministero ha effettuato la comunicazione circa la violazione dei dati personali occorsa agli interessati coinvolti, solo a seguito del citato provvedimento del Garante n. 88 del 10 marzo 2022.

2.3 La sicurezza del trattamento: la mancata adozione di misure adeguate a rilevare le violazioni dei dati personali, la configurazione non adeguata e la vulnerabilità dei sistemi di trattamento

Dalla documentazione in atti è emerso che il Ministero aveva appreso la notizia della violazione in data XX “mediante una comunicazione telematica (e-mail) da parte di un utente […] che segnalava di aver individuato informazioni afferenti l'Amministrazione nell’arco temporale compreso tra il XX ed il XX”.

Alla luce degli elementi ricavati nel corso dell’istruttoria, si rileva che la mancata adozione di misure adeguate a rilevare e gestire tempestivamente le violazioni dei dati personali non risulta conforme alle disposizioni di cui agli artt. 5, par. 1, lett. f), e 32, par. 1, del Regolamento che, nel caso in esame, richiede al titolare del trattamento di mettere in atto misure per “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (lett. b)). Ciò anche con particolare riferimento alla procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2.4 La protezione dei dati fin dalla progettazione

Alla luce di quanto indicato dall’art. 25 del Regolamento e dalle Linee guida 4/2019 sull’articolo 25: protezione dei dati fin dalla progettazione e per impostazione predefinita (adottate dal Comitato europeo per la protezione dei dati (di seguito, Comitato) il XX il XX; cfr. in particolare i punti nn. 84 e 85) è stata accertata una violazione del principio della protezione dei dati fin dalla progettazione da parte del Ministero.

3. Gli scritti difensivi

Con nota del XX (prot. n XX), il Ministero della salute ha fatto pervenire i propri scritti difensivi, rappresentando, in generale, che:

- in risposta all’e-mail del XX, l’Ufficio del Garante “evidenziava che la violazione dei dati personali doveva essere inserita nel registro delle violazioni e rimetteva al Ministero della salute le opportune valutazioni circa la necessità di notificare la violazione all’Autorità Garante per la protezione dei dati personali, riassumendo in via generale gli elementi da tenere in considerazione per tale valutazione “bisogna considerare almeno il numero di interessati coinvolti e le caratteristiche delle credenziali di autenticazione (la username è facilmente riconducibile a un determinato interessato? la password era scelta dall’utente o generata in automatico dal sistema?). Il principale rischio derivante dal furto di credenziali di autenticazione è infatti l’utilizzo delle stesse per l’accesso ad altri servizi online, anche erogati da soggetti diversi dal titolare che ha subìto la violazione)” (p. 2);

- con la comunicazione del XX, “rappresentava di non aver effettuato la notifica della violazione in quanto, effettuate le opportune valutazioni, aveva ritenuto concretamente improbabile che la violazione avesse rappresentato un rischio per i diritti e le libertà degli utenti interessati, fornendo, a supporto di quanto sostenuto, della documentazione tecnica allegata su: le regole di generazione delle password in NSIS; il documento relativo all’incidente “Executive and Technical Report JBoss Web Application Compromise”, redatto da Leonardo Company S.p.A.; il documento “Relazione sulle attività effettuate per il reset password delle utenze NSIS a seguito dell’incident di sicurezza” redatto da Engineering S.p.A.” (p. 2);

- con la successiva comunicazione del XX, “rappresentava di aver preliminarmente verificato che gli indirizzi email degli utenti coinvolti fossero riferibili agli stessi, poi li aveva avvisati via e-mail di problematiche di sicurezza in corso che richiedevano il reset della password. Nella medesima e-mail si indicavano i riferimenti del Service Desk per eventuali informazioni e chiarimenti e nel contempo il Ministero della salute aveva iniziato il processo di reset delle password, con impostazione di nuove password randomiche generate automaticamente dal sistema e con obbligo di cambio al primo accesso, oltre al blocco del servizio di registrazione in uso (self provisioning) che permetteva, ad un soggetto interessato all’utilizzo di funzionalità NSIS, la creazione di proprie credenziali in autonomia, anche se con limitato accesso alle sole funzionalità di gestione delle proprie informazioni personali, senza altre abilitazioni per l’accesso ad altre funzionalità gestite dal Ministero della salute” (p. 2)

- a seguito del provvedimento del Garante n. 88 del 10 marzo 2022, “forniva pronto riscontro con pec del XX, inviando il testo della comunicazione effettuata agli interessati in data XX” (p. 3).

Con riferimento, inoltre, agli specifici rilievi mossi dall’Ufficio, relativi al rispetto della disciplina in materia di protezione dei dati personali, il Ministero ha osservato quanto segue.

a) Sulla violazione dei principi di integrità e riservatezza, di sicurezza del trattamento e della protezione dei dati per impostazione predefinita (artt. 5, par. 1, lett. f), 32 e 25, par. 1, del Regolamento):

- “il portale di autenticazione degli utenti NSIS gestisce gli accessi attraverso un sistema di Identity Management strutturato per la gestione sicura delle password e delle sessioni di lavoro degli utenti che non prevede la memorizzazione di password in chiaro, né l’eventuale memorizzazione in file di log, in aderenza alle buone pratiche di sicurezza e protezione dei dati degli utenti” (p. 3);

- “questo Ministero, anche in occasione della stipulazione del vigente accordo con INAIL per la gestione dell’infrastruttura utilizzata per NSIS, ha previsto stringenti misure di sicurezza descritte nella nomina di detto Istituto a responsabile del trattamento dei dati, […] al precipuo fine di evitare eventuali violazioni dei dati personali trattati” (p. 3);

- “l’atto di esfiltrazione delle credenziali di accesso al NSIS è stato prontamente circoscritto nelle fasce orarie del giorno XX, dalle 9:00 alle 11:00, e del giorno XX, dalle 10:00 alle 11:00 e subito dopo sono iniziate le attività sull’analisi dell’incidente ed esecuzione delle azioni di rimedio volte al contenimento e alla recovery dei sistemi impattati. Il Ministero della salute, infatti, ha subito messo in atto misure volte a rilevare e gestire la violazione, ne ha verificato le cause, gli interessati coinvolti e l’eventuale rischio sui diritti e le libertà di quest’ultimi, intervenendo immediatamente per adeguare le proprie misure di sicurezza, affinché l’evento non potesse ripresentarsi” (pp. 3 e 4);

- “gli interventi di cui sopra, tra cui quelli del complesso aggiornamento del sistema di autenticazione e autorizzazione al NSIS, oggetto dell’attacco, iniziato prima dell’atto di esfiltrazione in discussione, e conclusosi definitivamente in data XX, hanno senza dubbio aiutato a migliorare le caratteristiche di sicurezza del sistema” (p. 4).

b) Sulla violazione degli obblighi di notifica di cui all’art. 33 del Regolamento e di quelli di documentazione di cui all’art. 33, par. 5 del Regolamento:

- “il Ministero della salute, venuto a conoscenza dell’accaduto, svolte le opportune indagini e adottate le misure necessarie a porvi rimedio, con e-mail del XX comunicava l’accaduto al competente ufficio di codesta Autorità, indicando, seppur informalmente, tutti gli elementi previsti per la notifica di data breach, di cui all’articolo 33, paragrafo 3 del Regolamento (UE) 2016/679, ovvero: la natura della supposta violazione e i motivi a fondamento della stessa “presenza su un server interno 'Jboss' di codice malevolo finalizzato a intercettare e comunicare all'esterno credenziali di accesso utente ai sistemi NSIS, risultante attivo per un totale di 3 ore nei giorni 7 e 8 settembre”; le sue probabili conseguenze “Al momento, non vi sono provate evidenze di dati esfiltrati, proseguono tuttavia le attività di verifica sui sistemi”; le misure, allo stato attuate, per porre rimedio alla violazione “Il suddetto codice è stato prontamente rimosso e si è provveduto a resettare le credenziali potenzialmente compromesse. Sono state altresì intraprese e sono in corso una serie di azioni finalizzate a valutare eventuali ulteriori vulnerabilità e potenziare le difese” (p. 4);

- “ricevuto il riscontro sopra riportato da parte del suddetto ufficio, dopo un’ulteriore attenta valutazione, in conformità all’articolo 33 del Regolamento (UE) 2016/679 e alle linee guida sulla notifica delle violazioni dei dati personali, il Ministero riteneva di non dover procedere alla formale notifica di violazione dei dati personali, poiché non risultava probabile il concretizzarsi di rischi per i diritti e le libertà degli interessati, considerati i seguenti elementi: • assenza di dati personali nelle credenziali potenzialmente esfiltrate, sia nella componente ‘user name’ (costituita dalle lettere ‘mi’ e da un progressivo numerico assegnato dal Sistema), sia nella componente ‘password’, vincolata a regole di composizione previste dal Sistema, che non consentono l’inserimento nella stessa di dati anagrafici; • prassi ormai consolidate da parte degli erogatori di servizi digitali di azioni di ‘security awareness’ verso i propri utenti con suggerimenti e consigli di ‘igiene cibernetica’ anche sulla necessità di diversificare le proprie password. Per le citate ragioni, a conferma delle valutazioni di rischio compiute, considerato anche che sono state rimosse immediatamente le vulnerabilità che avevano causato l’intrusione e tempestivamente resettate le credenziali di accesso oggetto dell’esfiltrazione, impedendone l’eventuale utilizzo da parte di soggetti non autorizzati, alla data della presente e a quasi un anno dall’incidente occorso, non ci sono state evidenze di alcun genere, in merito a vendita, esfiltrazione o utilizzo illecito di dati potenzialmente provenienti dai sistemi NSIS e riconducibili all’uso illegittimo delle citate credenziali, Pertanto, la violazione non risulta abbia comportato concreti rischi per i diritti e le libertà delle persone fisiche” (pp. 4 e 5);

- in base ai criteri indicati dalle Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679 vigenti all’epoca dei fatti (adottate dal Gruppo di lavoro Articolo 29 il 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato – di seguito, “Linee guida sulla notifica” – poi aggiornate con le Guidelines 9/2022 on personal data breach notification under GDPR (adottate dal Comitato il 28 marzo 2023), è stato ritenuto che: “la violazione de qua non ha determinato perdita o distruzione di dati personali particolari o di elevata importanza”; “la violazione ha riguardato un numero contenuto di dati non rientranti tra quelli particolari, ma relativi soltanto a username (predisposto di default e non contenente dati personali anagrafici) e password (assoggetta a regole tecniche che non consentono l’utilizzo di dati personali anagrafici)”; di conseguenza, “i titolari degli account violati non possono essere direttamente individuati”; “l’evento non risulta abbia determinato conseguenze dannose per le persone fisiche interessate”; “i soggetti interessati dalla violazione non erano direttamente identificabili e non rientrano in particolari categorie”; “nonostante il Ministero della salute tratti per lo più dati particolari, quelli oggetto di violazione non rientrano in questa categoria, pertanto questo aspetto non può essere ritenuto pertinente nella valutazione del rischio nel caso di specie”; “in considerazione dell’elevato numero di utenze presenti in NSIS rispetto al numero di utenti coinvolti, l’impatto non è stato considerato rilevante” (p. 5);

- volendo “prendere quale riferimento il Case n. 6, relativo alle esfiltrazioni di password da un sito web, caso del tutto similare a quello in discussione, […] si evidenzia che in questi casi “la notifica non era obbligatoria, ma in molti casi può essere considerata una buona pratica. Il titolare del trattamento dovrebbe correggere la vulnerabilità e adottare nuove misure di sicurezza da evitare simili violazioni dei dati in futuro come, ad esempio, controlli di sicurezza sistematici del sito web. La violazione dovrebbe essere documentata ai sensi dell'articolo 33, paragrafo 5, ma nessuna notifica o comunicazione è necessaria”. Come sopra riportato e come si dirà anche successivamente, questo Ministero ha attuato le azioni richieste nelle linee guida; pertanto, considerato che il richiamato articolo 33 lascia al titolare del trattamento dei dati personali un margine di discrezionalità nella valutazione circa la necessità di inviare la notifica di violazione all’autorità di controllo e, secondo le valutazioni condotte sopra descritte, lo scrivente non ha ritenuto necessario procedere alla notifica, vista l’improbabilità di rischi per i diritti e le libertà delle persone fisiche, considerata, peraltro, la comunicazione informale con la quale il competente ufficio di codesta Autorità è stato informato dell’accaduto, si ritiene che la condotta di questo Ministero non abbia, nella sostanza, violato la normativa vigente e, in particolare l’articolo 33 del Regolamento (UE) 2016/679” (p. 6);

- “in merito, inoltre, alla contestata violazione degli obblighi di cui all’articolo 33, paragrafo 5 del Regolamento (UE) 2016/679, […] Raccolta tutta la documentazione necessaria e da conservare nel registro delle violazioni, questo Ministero ha aperto in data XX un apposito registro nel proprio protocollo informatico DOCSPA, relativo all’attacco al NSIS, […] ove non solo sono contenuti tutti documenti relativi alla violazione, […] ma sono dettagliatamente indicate” le informazioni concernenti descrizione, data/periodo dell’incidente, natura dell’incidente, tipo di incidente, descrizione dell’incidente, causa dell’incidente, stima gravità dell’incidente, sistemi e infrastrutture coinvolte, misure di sicurezza adottare/da adottare, categoria di interessati, numero di interessati; “Tutte le altre informazioni, quali ad esempio gli effetti e le conseguenze della violazione per gli interessati, nonché la valutazione del rischio derivante dalla violazione, sono tutte contenute nei riscontri forniti rispettivamente nelle date XX, XX e XX” (pp. 6 e 7).

c) Sulla violazione degli obblighi di comunicazione nei confronti degli interessati di cui all’art. 34 del Regolamento:

- “il Ministero della salute, venuto a conoscenza dell’attacco al NSIS, ha prontamente resettato le password compromesse ad ha inviato agli utenti interessati una e-mail contenente un messaggio di avviso […] riportante in modo semplice e chiaro la necessità di aggiornare la password per l’accesso alla piattaforma NSIS per motivi di sicurezza, oltre al numero verde del service desk tecnico da contattare per informazioni e ulteriori chiarimenti” (p. 7);

- la “comunicazione non è considerata obbligatoria, in quanto “questo caso non presenta rischi per i diritti e le libertà degli interessati”. Peraltro nel caso de quo questo Ministero ha prontamente messo in atto azioni volte a rimediare alla violazione, disponendo il reset delle password e comunicando agli utenti interessati dalla violazione la necessità di modificare la password precedentemente violata, conseguendo l’obiettivo, proprio della comunicazione, di mitigare i rischi derivabili dalla violazione” (pp. 7 e 8);

- “oltre alle valutazioni sopra richiamate circa l’assenza di “un rischio elevato per i diritti e le libertà delle persone fisiche” nel caso di specie, si evidenzia che la comunicazione agli interessati non era necessaria in quanto, secondo quanto previsto al paragrafo 3, lett. b) “il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati”” (p. 8);

- “per tutti i motivi sopra esposti, la prima e-mail inviata agli interessati, contenente l’avviso relativo al cambio di password, può ritenersi sufficiente per le finalità di minimizzazione del rischio perseguite dalla normativa in materia di comunicazione di una violazione dei dati personali all’interessato, di cui all’articolo 34 del Regolamento (UE) 2016/679” (p. 9).

4. La normativa in materia di protezione dei dati personali

Con particolare riferimento alla questione in esame, si evidenzia che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza […] compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (principio di integrità e riservatezza) (art. 5, par. 1, lett. f), del Regolamento).

L’art. 33 del Regolamento stabilisce che “in caso di violazione dei dati personali, il titolare del trattamento notifica all’autorità di controllo […] senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche” (par. 1).

Al riguardo, i cons. nn. 75 e 76 Regolamento stabiliscono che, di norma, nella valutazione del rischio si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbero essere determinati in base a una valutazione oggettiva.

Il citato art. 33 del Regolamento prevede, inoltre, che “il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio” (par. 5).

Riguardo la documentazione della violazione, le Linee guida sulla notifica vigenti all’epoca dei fatti – poi aggiornate con le Guidelines 9/2022 on personal data breach notification under GDPR del 28 marzo 2023 – stabiliscono che “indipendentemente dal fatto che una violazione debba o meno essere notificata all’autorità di controllo, il titolare del trattamento deve conservare la documentazione di tutte le violazioni”, che “tale obbligo è collegato al principio di responsabilizzazione”, di cui all’art. 5, par. 2, e che “lo scopo della tenuta di registri delle violazioni non notificabili, oltre a quelle notificabili, è collegato anche agli obblighi del titolare del trattamento ai sensi dell’articolo 24, e l’autorità di controllo può richiedere di consultare tali registri. Di conseguenza il titolare del trattamento è incoraggiato a creare un registro interno delle violazioni, indipendentemente dal fatto che sia tenuto a effettuare la notifica o meno”.

Inoltre, le medesime Linee guida sulla notifica specificano che “sebbene spetti al titolare del trattamento determinare quale metodo e struttura utilizzare per documentare una violazione, determinate informazioni chiave dovrebbero essere sempre incluse”, che il titolare del trattamento è tenuto a “registrare i dettagli relativi alla violazione, comprese le cause, i fatti e i dati personali interessati. Dovrebbe altresì indicare gli effetti e le conseguenze della violazione e i provvedimenti adottati per porvi rimedio” e raccomandano “di documentare anche il ragionamento alla base delle decisioni prese in risposta a una violazione. In particolare, se una violazione non viene notificata, è opportuno documentare una giustificazione di tale decisione. La giustificazione dovrebbe includere i motivi per cui il titolare del trattamento ritiene improbabile che la violazione possa presentare un rischio per i diritti e le libertà delle persone fisiche. In alternativa, se ritiene che una delle condizioni di cui all’articolo 34, paragrafo 3, sia soddisfatta, il titolare del trattamento dovrebbe essere in grado di fornire prove adeguate della circostanza che ricorre nel caso di specie. Se il titolare del trattamento notifica una violazione all’autorità di controllo, ma la notifica avviene in ritardo, il titolare del trattamento deve essere in grado di fornire i motivi del ritardo; la documentazione relativa a tale circostanza potrebbe contribuire a dimostrare che il ritardo nella segnalazione è giustificato e non eccessivo” (sez. V.A).

Le Guidelines 01/2021 on Examples regarding Data Breach Notification (adottate dal Comitato il 14 dicembre 2021 – di seguito Linee guida sui casi di violazione dei dati personali), richiamando le Linee guida sulla notifica, specificano che “la documentazione interna di una violazione è un obbligo indipendente dai rischi connessi alla violazione stessa e deve essere predisposta in ogni singolo caso” (par. 15).

L’art. 34 del Regolamento stabilisce che “quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo” (par. 1) e che “la comunicazione all'interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d)” (par. 2). Inoltre, i considerando nn. 75 e 76 Regolamento stabiliscono che, di norma, nella valutazione del rischio si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbero essere determinati in base a una valutazione oggettiva.

Il citato art. 34 del Regolamento prevede, inoltre, che “non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni: a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1; c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia” (par. 3).

Al riguardo, le Linee guida sulla notifica individuano i fattori da considerare – a fronte di una violazione dei dati personali – nella valutazione del rischio per i diritti e le libertà degli interessati: il tipo di violazione; la natura, il carattere sensibile e il volume dei dati personali; la facilità di identificazione degli interessati; la gravità delle conseguenze per gli interessati; le caratteristiche particolari dell’interessato; le caratteristiche particolari del titolare del trattamento dei dati; nonché il numero di interessati coinvolti ed evidenziano, inoltre, che “il regolamento afferma che la comunicazione di una violazione agli interessati dovrebbe avvenire “senza ingiustificato ritardo”, il che significa il prima possibile”, in considerazione del fatto che l'obiettivo principale della comunicazione agli interessati consiste nel fornire loro informazioni specifiche sulle misure che gli stessi possono prendere per proteggersi.

Le stesse Linee guida prevedono, infatti, che il titolare del trattamento, tra le misure da adottare per far fronte alla violazione e attenuarne i possibili effetti negativi per gli interessati, “dovrebbe anche fornire consulenza specifica alle persone fisiche sul modo in cui proteggersi dalle possibili conseguenze negative della violazione”.

Le Linee guida sui casi di violazione dei dati personali rilevano come la comunicazione agli interessati sia una buona pratica e un fattore di mitigazione in presenza di un’esfiltrazione di credenziali di autenticazione e, quindi, consigliano di comunicare le violazioni dei dati personali che coinvolgono le credenziali in ogni caso, anche se le password sono protette con algoritmi crittografici (cfr. parr. 59 e 62). In caso di esfiltrazione di password in chiaro, poi, sottolineano che la notifica all’Autorità di controllo e la comunicazione agli interessati non possono essere considerate come facoltative (cfr. par. 68).

La comunicazione agli interessati rappresenta, peraltro, una delle misure che il titolare del trattamento può adottare per attenuare i possibili effetti negativi della violazione dei dati personali per gli interessati e ha come obiettivo principale quello di fornire informazioni specifiche sulle misure che gli stessi interessati possono adottare per proteggersi dalle possibili conseguenze negative di una violazione (cfr. cons. 86 del Regolamento).

L’art. 32 del Regolamento, concernente la sicurezza del trattamento, stabilisce che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2).

Le richiamate Linee guida sulla notifica chiariscono, inoltre, che “la capacità di individuare, trattare e segnalare tempestivamente una violazione deve essere considerata un aspetto essenziale” delle misure tecniche e organizzative che il titolare e il responsabile del trattamento devono mettere in atto, ai sensi dell’art. 32 del Regolamento, per garantire un livello adeguato di sicurezza dei dati personali.

In base al principio della protezione dei dati fin dalla progettazione (art. 25, par. 1, del Regolamento), il titolare del trattamento è tenuto poi ad attuare i principi di protezione dei dati (art. 5 del Regolamento) adottando misure tecniche e organizzative adeguate e integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati. L’obbligo di mantenere, verificare e aggiornare, ove necessario, il trattamento si applica anche ai sistemi preesistenti. Ciò implica che i sistemi progettati prima dell’entrata in vigore del Regolamento devono essere sottoposti a verifiche e manutenzione per garantire l’applicazione di misure e garanzie che mettano in atto i principi e i diritti degli interessati in modo efficace.

Con riferimento al citato principio di integrità e riservatezza (art. 5, par. 1, lett. f), del Regolamento), il titolare deve valutare costantemente se stia utilizzando, in qualunque momento, i mezzi appropriati di trattamento e se le misure adottate contrastino effettivamente le vulnerabilità esistenti (cfr. Linee guida 4/2019 sull’articolo 25 – di seguito, “Linee guida sull’art. 25” – spec. punti 84 e 85).

In particolare, il titolare deve:

- valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti e le libertà degli interessati, e contrastare efficacemente quelli identificati;

- effettuare revisioni periodiche delle misure di sicurezza poste a presidio e tutela dei dati personali;

- tenere conto non appena possibile dei requisiti di sicurezza nella progettazione e nello sviluppo del sistema, integrando e svolgendo costantemente test pertinenti;

- proteggere i dati personali da modifiche e accessi non autorizzati e accidentali, sia durante il loro trasferimento che durante la loro conservazione;

- disporre di adeguate procedure per gestire le violazioni dei dati personali, comprese procedure per la loro documentazione e la comunicazione agli interessati coinvolti.

5. Esito dell’attività istruttoria

In termini generali, le argomentazioni addotte negli scritti difensivi, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del reg. del Garante n. 1/2019.

Con riferimento agli specifici rilievi mossi nell’atto di avvio del procedimento volto all’adozione di provvedimenti correttivi e sanzionatori, in relazione a quanto argomentato dal Ministero si osserva quanto segue.

- il Ministero della salute è responsabile della gestione dei trattamenti di dati personali effettuati nell’ambito del NSIS, che costituisce lo “strumento di riferimento per le misure di qualità, efficienza e appropriatezza del Servizio Sanitario Nazionale (SSN), attraverso la disponibilità di informazioni che per completezza, consistenza e tempestività, supportano le Regioni e il Ministero nell'esercizio delle proprie funzioni e, in particolare, il Ministero nella sua funzione di garante dell'applicazione uniforme dei Livelli Essenziali di Assistenza (LEA) sul territorio nazionale” (cfr. quanto riportato nel sito istituzionale di codesto Ministero, https://www.salute.gov.it/portale/temi/p2_6.jsp?lingua=italiano&id=2978&area=sistemaInformativo&menu=presentazione). Ciò richiede, pertanto, in attuazione del principio di responsabilizzazione (artt. 5, par. 2, e 24 del Regolamento), elevati standard di capacità nell’individuazione delle misure necessarie per assicurare un’adeguata sicurezza del trattamento, anche considerate le legittime aspettative degli interessati affinché i dati personali che li riguardano, e che – nel caso di specie – rivestono un particolare carattere di delicatezza in quanto attengono allo stato di salute, siano conservati al riparo da incidenti di sicurezza;

- è stato comunque accertato, nel corso dell’istruttoria, che i sistemi di trattamento erano stati configurati in maniera non adeguata, posto che l’esfiltrazione delle credenziali è stata possibile “a seguito di manomissione del codice della pagina dove gli utenti inseriscono le credenziali per l’accesso alla piattaforma NSIS in modo da reindirizzare, in chiaro, le stesse credenziali anche verso una URL esterna al perimetro del Ministero” e che tale operazione è stata attuata “mediante compromissione dell’application server JBoss vulnerabile”, “favorita dall'esposizione di una pagina web che consentiva l'accesso a funzionalità di configurazione avanzate dell'applicazione web ospitata dal sistema” e “riconducibile a tutorial ed exploit noti e facilmente reperibili online”. L’application server JBoss, infatti, presentava “alcune misconfiguration che avrebbero potuto consentire all’attaccante di ottenere privilegi amministrativi sulla macchina senza l’inserimento di alcuna password” ed “eseguire comandi con privilegi di root”;

- quanto alla mancata adozione di misure adeguate a rilevare le violazioni dei dati personali, tale circostanza viene confermata dal fatto che, nel caso di specie, il Ministero ha avuto conoscenza della violazione solamente a seguito della segnalazione avvenuta i primi giorni di XX, senza che in alcun modo i sistemi fossero in grado di rilevare autonomamente l’incidente di sicurezza occorso;

- le carenze emerse rilevano anche in termini di non conformità al principio della protezione dei dati fin dalla progettazione di cui all’art. 25, par. 1, del Regolamento, che richiede la predisposizione di misure adeguate e garanzie necessarie che permettano un’attuazione efficace, fin dalla progettazione, dei principi della protezione dei dati e, di conseguenza, dei diritti e delle libertà degli interessati, con particolare riferimento al principio di integrità e riservatezza. A questo riguardo, si osserva che l’obbligo di mantenere, verificare e aggiornare, ove necessario, il trattamento si applica anche ai sistemi preesistenti, per cui il NSIS, ancorché progettato prima dell’entrata in vigore del Regolamento, avrebbe dovuto essere oggetto di rivalutazione, da parte del titolare, sul piano dell’analisi dei rischi, dell’efficacia delle misure, nonché della gestione delle violazioni dei dati personali (cfr. “Linee guida sull’art. 25”, spec. punti 84 e 85).

b) Sulla violazione degli obblighi di notifica di cui all’art. 33 del Regolamento e di quelli di documentazione di cui all’art. 33, par. 5 del Regolamento:

• con specifico riferimento alla violazione degli obblighi di notifica di cui all’art. 33 del Regolamento:

- nel caso di specie non è possibile affermare che fosse improbabile che la violazione dei dati personali occorsa presentasse un rischio per i diritti e le libertà delle persone fisiche, tale da non rendere obbligatoria la notifica al Garante ai sensi dell’art. 33, par. 1, del Regolamento. Infatti occorre considerare la gravità e la persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla compromissione delle credenziali di autenticazione, considerata l’abitudine degli utenti di utilizzare password sempre simili tra loro cambiando solo alcuni caratteri (ad esempio, un numero o una lettera) e, comunque, di riutilizzare la medesima password, anche a distanza di tempo, per lo stesso o per altri servizi online;

- peraltro, si consideri a questo fine anche la possibilità che le credenziali di autenticazione in questione, benché prive di dati personali (sia nella username che nella password), siano sfruttate per accedere alla piattaforma NSIS e consultare, o acquisire, dati personali riferiti sia agli utenti a cui sono attribuite (ad esempio, dati anagrafici del profilo personale) che ad altre categorie di interessati (ad esempio, in caso di applicazioni NSIS che comportano un trattamento di dati personali di assistiti del Servizio sanitario nazionale), nonché per ulteriori eventuali attività illecite;

- pertanto, si ritiene che, nel caso di specie, la violazione dei dati personali in esame presentasse un rischio elevato per i diritti e le libertà delle persone fisiche, come già rilevato nel citato provvedimento del Garante n. 88 del 10 marzo 2022, per cui ricorrevano i presupposti per la notifica della medesima all’Autorità ai sensi dell’art. 33, par. 1, del Regolamento;

- infine, si evidenzia che, con il provvedimento n. 209 del 27 maggio 2021 (doc. web n. 9667201), il Garante ha stabilito specifiche modalità che i titolari del trattamento sono tenuti a rispettare al fine di ottemperare all’obbligo di notifica all’Autorità, per cui non si possono considerare equipollenti “comunicazioni informali”;

• con specifico riferimento alla violazione degli obblighi di documentazione di cui all’art. 33, par. 5 del Regolamento:

- anzitutto, si evidenzia che il Ministero, in base a quanto rappresentato in atti, ha documentato l’incidente solo il XX, ossia un paio di mesi dopo averlo rilevato;

- inoltre, la documentazione fornita al riguardo risultava comunque priva, anche sul piano del rispetto del principio di accountability, di informazioni essenziali, quali gli effetti e le possibili conseguenze derivanti dalla violazione, gli esiti della valutazione del rischio, per i diritti e le libertà degli interessati, derivante dalla violazione quale elemento essenziale per determinare la necessità di effettuare la notifica all’autorità di controllo e la comunicazione agli interessati. Peraltro, ciò senza che sia stato tenuto conto di quanto indicato, al riguardo, nelle “Linee guida sulla notifica”, ove si raccomanda di documentare anche il ragionamento alla base delle decisioni prese e i motivi a giustificazione della decisione di non notificare la violazione;

- peraltro, si ritiene che mettere a disposizione dell’Autorità, nel corso di una specifica istruttoria, gli elementi relativi alla violazione dei dati personali non soddisfi comunque il rispetto dell’obbligo di documentazione previsto dall’art. 33, par. 5, del Regolamento, in quanto si tratta di adempimenti comunque diversi tra loro e finalizzati a scopi altrettanto diversi (in un caso, lo svolgimento dell’attività di vigilanza da parte dell’Autorità, nell’altro caso l’obbligo del titolare di assicurare il rispetto del Regolamento in termini di accountability.

c) Sulla violazione degli obblighi di comunicazione nei confronti degli interessati di cui all’art. 34 del Regolamento:

- le ragioni che imponevano al Ministero l’effettuazione della notifica al Garante, già espresso al precedente punto b), sono cionondimeno valide anche con riferimento all’obbligo che il medesimo Ministero comunicasse adeguatamente la violazione agli interessati ai sensi dell’art. 34 del Regolamento, considerato che la vicenda era sicuramente suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche;

- l’inadeguatezza della prima comunicazione inviata dal Ministero è confermata dal fatto che, a fronte di ciò, il Garante ha ritenuto necessario ingiungere al Ministero, con il provvedimento n. 88 del 10 marzo 2022 (non oggetto di specifica impugnativa), di provvedere all’assolvimento dell’obbligo di cui all’art. 34, par. 1, del Regolamento. Infatti, il Garante ha ritenuto che l’avviso via e-mail di problematiche di sicurezza in corso che richiedevano il reset della password da parte del Ministero – sebbene, in un primo momento, poteva rappresentare una misura sufficiente a informare gli interessati circa le iniziative intraprese nell’immediato, offrendo anche un recapito dedicato al quale rivolgersi – non costituiva uno strumento idoneo all’assolvimento degli obblighi di cui all’art. 34 del Regolamento, in quanto non consentiva di rendere gli interessati efficacemente consapevoli dei rischi derivanti dalla violazione, anche al fine di permettere loro di prendere le precauzioni necessarie quali, ad esempio, non utilizzare più la password compromessa, o comunque una simile, per l’accesso alla piattaforma NSIS o ad altri servizi online;

- non è neanche invocabile l’esonero dall’obbligo di cui al par. 3, lett. b), del menzionato art. 34 del Regolamento, in quanto le misure indicate nella prima comunicazione inviata agli interessati non possono ritenersi adeguate a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati, come ad esempio nel caso di modifica della password inconsapevole e probabilmente molto simile a quella esfiltrata. Rischio che rimane elevato in ragione del fatto che non si ha evidenza, da parte del titolare, di politiche di gestione delle password che prevedono la conservazione della cronologia delle password medesime (c.d. password history) ovvero di regole che impediscano la non riutilizzabilità di password.

6. Conclusioni

Alla luce del complesso delle valutazioni sopra richiamate, le dichiarazioni rese dal titolare del trattamento negli scritti difensivi, seppure meritevoli di considerazione ai fini della valutazione della condotta, non consentono di superare i principali rilievi notificati dall’Ufficio con l’atto di avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del reg del Garante n. 1/2019.

In tale quadro, confermando i rilievi notificati dall’Ufficio con la nota del XX (prot. n. XX), si rileva che, nella vicenda in esame, il Ministero ha posto in essere la violazione di:

a) principi di “integrità e riservatezza”, di sicurezza del trattamento e della “protezione dei dati per impostazione predefinita”, di cui agli artt. 5, par. 1, lett. f), 32 e 25, par. 1, del Regolamento;

b) obblighi di notifica di cui all’art. 33 del Regolamento e di documentazione di cui all’art. 33, par. 5 del Regolamento, nonché obblighi di comunicazione nei confronti degli interessati di cui all’art. 34 del Regolamento.

In tale quadro, considerato che sono state adottate misure volte a superare le criticità sopra descritte non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del reg. del Garante n. 1/2019).

Nel caso di specie, il Ministero della salute ha posto in essere due condotte distinte, le quali devono, pertanto, essere considerate separatamente ai fini della quantificazione delle sanzioni amministrative da applicarsi.

Le predette sanzioni amministrative pecuniarie inflitte, in funzione delle circostanze di ogni singolo caso, vanno determinate nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

7.1. Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate nel par. 6, lett. a), del presente provvedimento (artt. 5, par. 1, lett. f), 25, par. 1, e 32 del Regolamento) è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

Con specifico riguardo alla natura e alla gravità delle violazioni, nonché al grado di responsabilità del titolare (art. 83, par. 2, lett. a) e d), del Regolamento), occorre considerare che il Ministero non era stato in grado di rilevare autonomamente la violazione dei dati personali occorsa grazie ai propri sistemi, ma ne era stato notiziato grazie alla segnalazione di un utente.

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità delle violazioni commesse dal titolare del trattamento sia medio (Guidelines 04/2022 on the calculation of administrative fines under the GDPR, adottate dal Comitato il 23 maggio 2023, punto 60).

In senso favorevole al titolare occorre comunque considerare, ai sensi dell’art. 83, par. 2, lett. c), e) e f), del Regolamento, che il Ministero – in relazione al quale non sono state rilevate eventuali precedenti violazioni pertinenti – ha comunque posto in essere misure per attenuare il danno subito dagli interessati e ha collaborato con l’Autorità, nel corso dell’istruttoria, al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; peraltro, si aggiunga che, sulla base di quanto evidenziato dal Ministero, “non ci sono state evidenze di alcun genere, in merito a vendita, esfiltrazione o utilizzo illecito di dati potenzialmente provenienti dai sistemi NSIS e riconducibili all’uso illegittimo delle citate credenziali” (valutazione ai sensi dell’art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 50.000 (cinquantamila) per la violazione degli artt. artt. 5, par. 1, lett. f), 25, par. 1, e 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

7.2. Sempre tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate nel par. 6, lett. b), del presente provvedimento (artt. 33 e 34 del Regolamento) è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 4, del Regolamento.

Con specifico riguardo alla natura e alla gravità delle violazioni, nonché al grado di responsabilità del titolare (art. 83, par. 2, lett. a), del Regolamento), occorre considerare che il Ministero non ha gestito in maniera adeguata, anche considerati il suo ruolo e la rilevanza del NSIS nell’ambito del Servizio sanitario nazionale, la violazione dei dati personali occorsa.

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità delle violazioni commesse dal titolare del trattamento sia alto (cfr. le menzionate Guidelines 04/2022 on the calculation of administrative fines under the GDPR).

A ciò si aggiunga, ai sensi dell’art. 83, par. 2, lett. h) e i), del Regolamento, che il Ministero, neanche a seguito delle interlocuzioni intrattenute con l’Autorità non ha ritenuto di notificare alla medesima la violazione dei dati personali ai sensi dell’art. 33 del Regolamento, e che anche la comunicazione agli interessati, ai sensi dell’art. 34 del medesimo Regolamento, è stata posta in essere solamente a seguito dell’adozione di specifico provvedimento correttivo da parte del Garante.

In senso favorevole al titolare occorre comunque considerare, ai sensi dell’art. 83, par. 2, lett. e) e f), del Regolamento, che il Ministero – in relazione al quale non sono state rilevate eventuali precedenti violazioni pertinenti – ha collaborato con l’Autorità, nel corso dell’istruttoria, al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; peraltro, si aggiunga che, sulla base di quanto evidenziato dal Ministero, “non ci sono state evidenze di alcun genere, in merito a vendita, esfiltrazione o utilizzo illecito di dati potenzialmente provenienti dai sistemi NSIS e riconducibili all’uso illegittimo delle citate credenziali” (valutazione ai sensi dell’art. 83, par. 2, lett. k), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 50.000 (cinquantamila) per la violazione degli artt. artt. 33 e 34 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

7.3. Sulla base di quanto valutato nei precedenti parr. 7.1 e 7.2 del presente provvedimento, si ritiene di dover determinare l’ammontare totale della sanzione pecuniaria comminata al Ministero della salute nella misura di euro 100.000 (centomila) in relazione al complesso delle violazioni precedentemente descritte.

Tenuto conto che le violazioni poste in essere sono di significativa gravità, anche in considerazione dei rischi per i diritti e le libertà degli interessati (compresi potenzialmente gli assistiti del Servizio sanitario nazionale), si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del reg. del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del reg. del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità della condotta tenuta dal Ministero, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. f), 25, par. 1, 32, 33 e 34 del Regolamento;

ORDINA

al Ministero della salute, in persona del legale rappresentante pro-tempore, con sede legale in viale Giorgio Ribotta 5, 00144 Roma (RM), C.F. 80242250589, di pagare la somma di euro 100.000 (centomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Ministero, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 100.000 (centomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del reg. del Garante n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 7 marzo 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10008177

Data
07/03/24

Argomenti

Misure di sicurezza Pubblica Amministrazione Archivi elettronici Dati sanitari Password Cybersecurity Accountability Data breach

Tipologie

Ordinanza ingiunzione o revoca

Header seguici su

Selettore lingua

Garante per la protezione dei dati personali

GGpdp5SearchToggleBar

I miei diritti

Imprese ed enti

Menù di navigazione

Provvedimento del 7 marzo 2024 [10008177]

g-docweb-display Portlet