VEDI ANCHE Newsletter del 31 gennaio 2025

[doc. web n. 10095810]

Provvedimento del 27 novembre 2024

Registro dei provvedimenti
n. 763 del 27 novembre

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il Cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito “Regolamento”);

VISTO il d.lgs. del 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito “Codice”) come novellato dal d.lgs. del 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del Garante n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’attività istruttoria.

Il 24 gennaio 2023 la Regione Molise (di seguito Regione) ha trasmesso al Garante, ai sensi dell’art. 33 del Regolamento, una notifica di violazione dei dati personali, riguardante il Portale regionale del FSE (https://fse.regione.molise.it) che, a causa di una “vulnerabilità del sistema”, aveva consentito a un soggetto terzo “attraverso una manipolazione intenzionale della URL di effettuare una ricerca dei dati di altri cittadini presenti in Anagrafe Regionale del Molise”.

In particolare, nella predetta notifica, la Regione ha dichiarato che “sul Portale FSE della Regione Molise l’utente con ruolo “Assistito” è stato in grado, sfruttando una vulnerabilità del sistema attraverso una manipolazione intenzionale della URL, di effettuare una ricerca dei dati di altri cittadini presenti in Anagrafe Regionale del Molise. Nello specifico, manipolando la URL da https://fse.regione.molise.it/fseui/dashboard in https://fse.regione.molise.it/fseui/list l’utente è stato in grado di utilizzare la funzionalità di ricerca cittadino e successivamente selezionandolo accedere alla funzionalità di consultazione dei dati anagrafici e di consultazione del FSE del cittadino stesso” (v. notifica del 24 gennaio, sez. F, punto 7). Secondo quanto dichiarato in atti il numero di assistiti coinvolti è stato pari a 7.

In merito a quanto rappresentato dalla Regione, l’Ufficio ha effettuato due richieste di informazioni (note del 21 febbraio e del 17 aprile 2023) -a cui è stato fornito riscontro con le note del 3 marzo e del 5 maggio 2023- al fine di acquisire maggiori dettagli circa la violazione e gli interventi effettuati per rimuovere la vulnerabilità evidenziata, nonché elementi informativi sui ruoli dei diversi soggetti che sono intervenuti nei trattamenti oggetto di violazione, sulle misure tecniche e organizzative relative alle procedure di identificazione, autenticazione informatica (Identity Management) e di autorizzazione degli assistiti ai fini della consultazione dei propri documenti presenti nel FSE, sui soggetti responsabili della progettazione di tali procedure e sulle valutazioni effettuate in ordine ai rischi per i diritti e le libertà per gli interessati derivanti dalla violazione, anche al fine di verificare la sussistenza dei presupposti per la comunicazione della stessa agli interessati coinvolti.

In riscontro alle predette richieste di informazioni la Regione ha chiarito che “in data 17 gennaio 2023 il Sig. […] segnalava a questo Ente, mediante posta elettronica certificata […] un problema di sicurezza informatica riscontrato mentre visionava il suo fascicolo sanitario elettronico” e che “l’accesso è stato possibile alterando manualmente e forzatamente la URL (non visibile e accessibile agli utenti con il ruolo di Assistito); il segnalante, con il ruolo di assistito, ha forzato il sistema modificando la URL con il conseguente utilizzo della funzionalità di ricerca e consultazione dei dati. La funzionalità di ricerca era preclusa nella normale navigazione a sistema. Resta ignota la modalità con cui l’assistito si sia procurata l’esatta URL “https://fse.regione.molise.it/fseui/list” per poter fare la forzatura nel sistema” (v. nota del 3 marzo 2023, pag. 1 e allegato 1 e pag. 2 dell’allegato 2 alla medesima).

Per quanto riguarda le categorie dei dati che il soggetto terzo ha potuto consultare mediante il richiamo dell’URL https://fse.regione.molise.it/fseui/list, la Regione ha dichiarato che “sono riferite a: dati anagrafici (Nome, Cognome, Data di Nascita, Città di Nascita); dati di residenza e domicilio; dati relativi alla assistenza sanitaria (ASL appartenenza, Distretto di appartenenza, Medico di Base, Esenzioni); documenti e referti sanitari (ad es. referti di Laboratorio, referti specialistici, ecc.)” e che la “ricerca deve essere fatta in maniera puntuale con l’inserimento del Codice Fiscale completo e valido o tramite l’inserimento di Nome, Cognome e data di nascita (i tre dati sono obbligatori per finalizzare la ricerca)” (v. nota del 5 maggio 2023, pag. 3).

Con riferimento alle misure in essere al momento della violazione, la Regione ha richiamato il documento allegato alla notifica redatto dalla società Engineering Ingegneria Informatica S.P.A., designata responsabile del trattamento, con cui la medesima società ha comunicato la violazione dei dati alla Regione. Tra le misure tecniche ed organizzative adottate con riferimento ai trattamenti dei dati oggetto di violazione descritte nel predetto documento, sono indicate le attività di vulnerability assessment e penetration test svolti con cadenza periodica da un team preposto indipendente (v. notifica del 24 gennaio 2023).

Al riguardo, la Regione ha inoltre dichiarato che “le misure tecniche di autenticazione sono tutte rimandate al proxy regionale (gestito dalla Molise Dati) di accesso SPID e CIE. La Web APP accede al proxy tramite un URL compreso di token di autenticazione. Il sistema riceve in risposta un body con i dati anagrafici che, a seconda del tipo di autenticazione, variano. Il middleware effettua i controlli in Anagrafe per controllare se effettivamente l'utenza è un assistito della regione Molise. In caso contrario viene rimandato alla pagina di autenticazione del sistema. In caso positivo al momento dell'accesso e alla selezione del ruolo viene generato il token dall'User Manager (modulo software per la gestione degli utenti) al fine di essere autorizzato all'utilizzo dei servizi API per la ricerca in anagrafe e alla documentale. […] sono stati configurati i seguenti ruoli: 1. Medico/Dirigente Sanitario; 2. MMG/PLS; 3. Farmacista; 4. Operatore Amministrativo; 5. Assistito; 6. Tutore, Informal giver, Genitore. Per ognuno di questi ruoli sono state determinate le tipologie di interazioni che possono essere svolte” (v. nota del 3 marzo 2023, pagg. 2 e 3 dell’allegato 2 alla medesima).

In particolare, la Regione ha precisato che “a valle dell’analisi dei requisiti tecnici e funzionali del FSE alla quale hanno partecipato Regione Molise, Molise Dati, Tim S.p.A. ed Engineering S.p.A. (All. 6 denominato “FSE Regione Molise-Ruoli e permessi.pdf”), il sistema è stato progettato e realizzato dal punto di vista informatico da Engineering S.p.A, che, pertanto, rappresenta il soggetto responsabile della progettazione delle procedure di identificazione e autenticazione informatica (Identity Management) nonché di autorizzazione informatica degli assistiti ai fini della consultazione dei documenti presenti nel FSE e delle misure a garanzia della riservatezza dei medesimi documenti” (v. nota del 5 maggio 2023, pag. 2).

Con riferimento alle misure adottate a seguito della violazione, la Regione ha rappresentato che “è stata condotta un’analisi della possibile causa da cui è derivata la segnalazione, quindi, è stata fatta un’analisi dei log di tutti i moduli applicativi a tutti i livelli e successivamente è stata condotta un’analisi del codice per circoscrivere il bug e risolverlo definitivamente. La prima misura adottata è stata quella di inibire la possibilità di accedere alla pagina https://fse.regione.molise.it/fseui/list tramite chiamata diretta da browser. La seconda misura adottata è stata quella di implementare attraverso controlli inseriti nel codice sorgente un controllo che consenta di verificare che la pagina web https://fse.regione.molise.it/fseui/list non sia in alcun modo visibile ed utilizzabile da utenti autenticati con il ruolo “Assistito”” (v. notifica del 24 gennaio 2023, sez. H, punto 1).

Per quanto attiene alle misure adottate per prevenire simili violazioni in futuro, è stato poi dichiarato di aver “richiesto a Molise Dati di dar luogo ad una analisi finalizzata a valutare eventuali presenze di simili errori nel software sviluppato dalla società Engineering SpA” (v. notifica del 24 gennaio 2023, sez. H, punto 2).

In merito alla comunicazione della violazione agli interessati, la Regione ha rappresentato che la gravità del potenziale impatto per gli interessati era “media” in quanto “la falla di sicurezza è stata segnalata dal medesimo soggetto che ha riscontrato la possibilità di accesso a dati non autorizzati. Non si ravvede nel medesimo la volontà di operare in maniera pregiudiziale nei confronti degli interessati”, che la violazione “non è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche” e che “si è ritenuto di non dover procedere alla comunicazione agli interessati, non ravvisando un rischio elevato per i diritti e le libertà degli stessi. In particolare, tenuto conto che la falla di sicurezza veniva segnalata dallo stesso soggetto che aveva effettuato l’accesso non autorizzato, non si deduceva, da parte dello stesso, la volontà di operare in maniera pregiudizievole nei confronti degli interessati” (v. notifica del 24 gennaio 2023, sez. G, punto 3, e sez. L, punto 1 e nota del 3 marzo 2023 pag. 2 in riscontro alla richiesta di informazioni del 21 febbraio 2023).

Infine la Regione ha dichiarato che “in data 11 maggio 2021 […] sottoscriveva, ex art. 26 del Regolamento UE 2016/679 (GDPR), con l’Azienda Sanitaria Regionale per il Molise -ASReM un accordo di contitolarità nel trattamento dei dati sanitari” e che “tale accordo di contitolarità, all’art. 2.3, prevedeva che ciascun contitolare potesse ricorrere a fornitori/subfornitori esterni per la fornitura di qualsiasi servizio relativo alla gestione delle attività di cui al predetto accordo” (v. nota del 3 marzo 2023, pag. 2 e nota del 5 maggio 2023, allegato 2).

Sulla base di quanto sopra rappresentato, con nota del 28 settembre 2023 (prot. 133809), l’Ufficio ha effettuato una notifica di violazione di cui all’art. 166, comma 5, del Codice alla Regione Molise in quanto è stato rilevato che il trattamento di dati personali in esame è stato effettuato in maniera non conforme al principio di “integrità e riservatezza” (art. 5, par. 1, lett. f), del Regolamento), non adottando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (art. 32 del Regolamento) e adeguate, fin dalla progettazione dei trattamenti effettuati nell’ambito del FSE, ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati, in violazione dell’art. 25 del Regolamento.

Con nota del 27 ottobre 2023, la Regione ha fatto pervenire le proprie memorie difensive nell’ambito delle quali ha rappresentato, in particolare:

di aver demandato “l’attività di implementazione tecnica del FSE a Molise Dati S.p.A., organismo in house providing della Regione Molise” che con “atto allegato alla deliberazione di Giunta regionale n. 143 del 20 maggio 2021” veniva designata “quale responsabile del trattamento relativamente allo “svolgimento di tutte le attività dettagliate nei documenti approvati con DGR n. 571 del 30 dicembre 2019 e n. 59 del 7/2/2020 riguardanti il rapporto convenzionale tra la Regione Molise e la Molise Dati nel campo dell’informatica sanitaria””. Tale nomina, in atti, prevede:

“l’obbligo di implementare i principi di privacy by design e privacy by default;

ii l’obbligo di mettere in atto misure di sicurezza adeguate alla protezione dei dati personali oggetto di trattamento, inclusa la “…definizione di appropriate soluzioni tecniche ed organizzative rivolte alla regolamentazione degli accessi logici…profili autorizzativi definiti in funzione del principio del “Need to Know”” e della “…esecuzione di attività rivolte a individuare le vulnerabilità nelle applicazioni e nelle infrastrutture tecniche funzionali all'erogazione del servizio ed attivazione di opportuni piani di mitigazione”;

iii la facoltà di ricorrere ad eventuali sub-responsabili del trattamento, nel rispetto di determinati requisiti formali e sostanziali”;

che “nell’esecuzione dell’incarico ricevuto, e rilevata la necessità di rivolgersi ad un partner tecnologico specializzato, Molise Dati S.p.A. aderiva al Contratto Quadro SPC Cloud Lotto 1 di Consip S.p.A., stipulando, in data 28 ottobre 2020, il contratto esecutivo n. 2000379980709001COE con un R.T.I. composto da TIM S.p.A., Enterprise Services Italia S.r.l., Poste Italiane S.p.A., Postecom S.p.A. e Postel S.p.A.”;

che “il contratto stipulato con il predetto R.T.I. aveva ad oggetto la fornitura di servizi cloud IaaS, PaaS e servizi di cloud enabling per la migrazione dell’originaria web app del FSE da un ambiente di tipo “on-premises” al cloud SPC, con contestualmente replatforming della web app per adattarla al nuovo ambiente sfruttando i servizi di cloud enabling, e prevedeva espressamente che l’esecuzione delle prestazioni indicate nell’apposito capitolato sarebbe stata affidata a Engineering Ingegneria Informatica S.p.A..”;

che “TIM S.p.A. individuava in Engineering Ingegneria Informatica S.p.A. l’ulteriore responsabile delle operazioni di trattamento svolte per finalità di implementazione del FSE, previa stipulazione, con l’operatore, di un accordo quadro per la fornitura dei servizi di cloud enabling in subappalto”;

che “l’accordo stipulato dalle parti prevedeva espressamente la designazione di Engineering Ingegneria Informatica S.p.A. quale (ulteriore) responsabile del trattamento “in relazione al Contratto Quadro sottoscritto in data 20/07/2016 tra Telecom e CONSIP…e /o ai Contratti Esecutivi sottoscritti tra Telecom e le varie Amministrazioni Beneficiarie”, con l’impegno del subappaltatore di “…osservare le condizioni/istruzioni riportate qui di seguito e nella citata lettera” (cfr. art. 21 del doc. E)”;

che “Engineering Ingegneria Informatica S.p.A. rappresentava, quindi, il soggetto responsabile della progettazione e della realizzazione, dal punto di vista tecnico, del sistema informatico impiegato per la gestione del fascicolo sanitario elettronico, inclusa la progettazione delle procedure di identificazione e autenticazione informatica (Identity Management) nonché di autorizzazione informatica degli assistiti ai fini della consultazione dei documenti presenti nel FSE e delle misure a garanzia della riservatezza dei medesimi documenti”;

che “contestualmente alla stipulazione del contratto di servizio, Molise Dati S.p.A. e TIM S.p.A. sottoscrivevano l’atto di “nomina a responsabile del trattamento” ad esso allegato, nel quale, per quel che qui rileva, veniva delimitato l’ambito del trattamento e stabilito l’obbligo del fornitore di (…) “adottare tutte le misure tecniche ed organizzative che soddisfino i requisiti del Regolamento UE al fine di assicurare un adeguato livello di sicurezza dei trattamenti”;

che “rispetto alle operazioni di trattamento dei dati personali oggetto della violazione, quindi:(i) la Regione Molise assumeva il ruolo di (con)titolare del trattamento; (ii) Molise Dati S.p.A. assumeva il ruolo di responsabile del trattamento; (iii) TIM S.p.A. assumeva il ruolo di sub-responsabile del trattamento, designato da Molise Dati S.p.A. in virtù dell’apposita facoltà attribuita con l’atto di designazione; (iv) Engineering Ingegneria Informatica S.p.A. assumeva il ruolo di ulteriore subresponsabile del trattamento, designato da TIM S.p.A. in virtù dell’apposita clausola contenuta nell’atto di nomina a responsabile del trattamento stipulato con Molise Dati S.p.A..”;

che “Molise Dati S.p.A. avviava immediatamente un’indagine volta a verificare l’effettiva sussistenza del problema di sicurezza informatica segnalata dal cittadino, chiedendo al subresponsabile Engineering Ingegneria Informatica S.p.A. di svolgere ogni più opportuno accertamento. All’esito delle verifiche effettuate, in data 21 gennaio 2023 Engineering Ingegneria Informatica S.p.A. trasmetteva a Molise Dati S.p.A. un documento, denominato “report”, nel quale veniva dato atto dell’effettiva presenza del bug rilevato dal segnalante. In particolare, secondo quanto esposto dal sub-responsabile, “sul Portale FSE della Regione Molise l’utente con ruolo “Assistito” è stato in grado, sfruttando una vulnerabilità del sistema attraverso una manipolazione intenzionale della URL, di effettuare una ricerca dei dati di altri cittadini presenti in Anagrafe Regionale del Molise. Nello specifico, manipolando la URL da https://fse.regione.molise.it/fseui/dashboard in https://fse.regione.molise.it/fseui/list l’utente è stato grado di utilizzare la funzionalità di ricerca cittadino e successivamente selezionandolo accedere alla funzionalità di consultazione dei dati anagrafici e di consultazione del FSE del cittadino stesso”;

che “Engineering Ingegneria Informatica S.p.A. dava contestualmente atto di aver svolto un’indagine sulle cause della violazione e, una volta individuato il bug, di aver provveduto alla relativa risoluzione, effettuando gli interventi necessari ad evitare la possibile reiterazione dell’incidente di sicurezza”;

che “La vulnerabilità sottostante – la quale risultava sfruttabile soltanto da parte di quei soggetti autenticatisi (e quindi identificabili e rintracciabili) che, a conoscenza dell’URL di destinazione, avessero intenzionalmente effettuato tale manipolazione – è stata provocata da un errore di codifica del software riconducibile all’operato del subresponsabile del trattamento Engineering Ingegneria Informatica S.p.A.”;

che “con nota del 23 gennaio 2023, Molise Dati S.p.A. segnalava alla Regione Molise la violazione dei dati personali, dando atto di aver immediatamente provveduto a svolgere “un’analisi tecnica in collaborazione con Engineering S.p.A., nella sua qualità di Cloud Enabler di TIM S.p.A. nel progetto FSE”, di aver rilevato l’effettiva sussistenza di “…un bug di sicurezza, che consentiva ad un utente con ruolo “Assistito” di poter effettuare una ricerca dei dati di altri cittadini presenti sul FSE e di poter consultare tali dati” e di aver provveduto a correggere tale problema di sicurezza informatica”;

che “ad integrazione della precedente nota, in data 24 gennaio 2023 Molise Dati S.p.A. trasmetteva alla Regione Molise il documento denominato “report” predisposto da Engineering Ingegneria Informatica S.p.A. ed il giorno successivo il Direttore Generale per la Salute della Regione Molise dava atto al Presidente, all’ASREM e a Molise Dati S.p.A. di aver provveduto alla notificazione”;

che “l’incidente di sicurezza che ha provocato la perdita di riservatezza dei dati è stato reso possibile esclusivamente da un errore di programmazione commesso dal sub-fornitore Engineering Ingegneria Informatica S.p.A. nella fase di esecuzione delle operazioni demandategli, e che, nonostante il dichiarato svolgimento di attività di costante verifica (penetration tests e vulnerability assessments), non è stato in grado di rilevare la specifica vulnerabilità informatica oggetto della successiva segnalazione”.

In relazione a quanto emerso dalle memorie della Regione, l’Ufficio ha avviato un procedimento sanzionatorio anche nei confronti delle società Molise dati S.p.A. e Engineering ingegneria informatica S.p.A. (note del 5 febbraio 2024).

In particolare, il coinvolgimento della società Engineering Ingegneria Informatica S.p.A. è stato effettuato in considerazione di quanto rappresentato dalla predetta Regione in merito alla circostanza che “Engineering Ingegneria Informatica S.p.A. rappresentava, quindi, il soggetto responsabile della progettazione e della realizzazione, dal punto di vista tecnico, del sistema informatico impiegato per la gestione del fascicolo sanitario elettronico, inclusa la progettazione delle procedure di identificazione e autenticazione informatica (Identity Management) nonché di autorizzazione informatica degli assistiti ai fini della consultazione dei documenti presenti nel FSE e delle misure a garanzia della riservatezza dei medesimi documenti”; su richiesta di Molise Dati S.p.A. “Engineering Ingegneria Informatica S.p.A. ha dato atto di “aver svolto un’indagine sulle cause della violazione e, una volta individuato il bug, di aver provveduto alla relativa risoluzione, effettuando gli interventi necessari ad evitare la possibile reiterazione dell’incidente di sicurezza” e che secondo quanto dichiarato in atti “la vulnerabilità sottostante – la quale risultava sfruttabile soltanto da parte di quei soggetti autenticatisi (e quindi identificabili e rintracciabili) che, a conoscenza dell’URL di destinazione, avessero intenzionalmente effettuato tale manipolazione – è stata provocata da un errore di codifica del software riconducibile all’operato del subresponsabile del trattamento Engineering Ingegneria Informatica S.p.A”.

Alla luce di tali elementi è stato rilevato che il trattamento di dati personali in questione è stato effettuato dalla Engineering Ingegneria Informatica S.p.A dati omettendo di mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, in violazione dell’art. 32 del Regolamento.

Previo accesso ai documenti amministrativi detenuti dall’Ufficio, con nota del 13 giugno 2024, la società Engineering Ingegneria Informatica S.p.A dati ha presentato le proprie memorie difensive (previa proroga dei termini concessa con nota del 14 maggio 2024) e ha chiesto di essere udita in audizione che si è svolta da remoto il 4 luglio 2024. Nelle memorie difensive e nel corso della predetta audizione è stato rappresentato, in particolare, che:

“nel 2018 TIM conferisce ad Engineering un subappalto solo su una parte delle attività delegate a TIM dalla stazione appaltante (Cloud enabling), tra le quali non vi è l’aspetto della verifica della sicurezza sul SW inteso come vulnerability assessment e penetration test. La Società avrebbe potuto fare i controlli relativi alla vulnerabilità del sistema in esercizio se ciò le fosse stato richiesto nel contratto di subappalto e le fossero state conferite le necessarie autorizzazioni. Si evidenzia che, successivamente all’evento sul quale è intervenuto il Garante, TIM ha contrattualizzato altri servizi ed evidenziato nei documenti contrattuali che non sono comprese in capo alla Società le predette attività di sicurezza (vulnerability assessment e penetration test)” (cfr. verbale audizione e memorie in atti, pg. 10 e 11);

è necessario richiamare “ le responsabilità sia della Regione che di TIM che hanno deciso cosa delegare ad altri soggetti avendo una visione globale del trattamento”;

“la verifica sulla vulnerabilità del sistema -in modalità esercizio- avrebbe reso necessario per la Società acquisire una precisa autorizzazione al riguardo da parte del titolare”;

“l’incidente informatico è avvenuto da parte di un soggetto già autenticato che doveva conoscere l’url specifica della dashboard a disposizione dei medici di medicina generale che permetteva la ricerca tramite nome e cognome e data di nascita di un altro utente”;

“ai fini dell’individuazione delle misure esigibili derivanti dall’art. 32 del Regolamento uno dei principali criteri da tenere in considerazione è il contesto del trattamento che è diverso in relazione al ruolo ricoperto nella catena contrattuale. Il soggetto a capo della catena ha la visione d’insieme e conosce la suddivisione delle attività che ha deciso di delegare. Questo aspetto inevitabilmente non è nella sfera di conoscenza dell’ultimo soggetto a valle della catena contrattuale, nel caso di specie della Società. Ciò impone una diversa e maggiore responsabilizzazione del titolare che nel caso concreto ha deciso la suddivisione dei compiti”.

2. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato nella documentazione in atti e nelle memorie difensive, si osserva che:

ai sensi del Regolamento si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento). Il considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”; “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”;

il Regolamento prevede che i dati personali siano essere “trattati in maniera da garantire un’adeguata sicurezza (…) compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento). In proposito, l’art. 32 del Regolamento, concernente la sicurezza del trattamento, stabilisce che “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (par. 1) e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2);

tenendo altresì conto della finalità del FSE e della natura dei dati personali trattati, appartenenti anche a categorie particolari, i trattamenti effettuati nel contesto in esame richiedono l’adozione dei più elevati standard di sicurezza, al fine di non compromettere la riservatezza, l’integrità e la disponibilità dei dati personali di milioni di interessati. Su tale base, gli obblighi di sicurezza imposti dal Regolamento richiedono l’adozione di rigorose misure tecniche e organizzative, includendo, oltre a quelle espressamente individuate dall’art. 32, par. 1, lett. da a) a d), anche tutte quelle necessarie ad attenuare i rischi che i trattamenti presentano;

dall’esame delle informazioni e della documentazione fornita dalla Regione, emerge che il Portale FSE della Regione Molise, reso disponibile all’indirizzo https://fse.regione.molise.it, a causa di una “vulnerabilità” ha consentito a un utente autenticato con il ruolo di ”assistito” “attraverso una manipolazione intenzionale della URL, di effettuare una ricerca dei dati di altri cittadini presenti in Anagrafe Regionale del Molise”, in assenza di una verifica dei permessi di autorizzazione attribuiti all’utente per l’accesso a tali dati;

secondo quanto indicato dalla predetta Regione “Engineering Ingegneria Informatica S.p.A. rappresentava, quindi, il soggetto responsabile della progettazione e della realizzazione, dal punto di vista tecnico, del sistema informatico impiegato per la gestione del fascicolo sanitario elettronico, inclusa la progettazione delle procedure di identificazione e autenticazione informatica (Identity Management) nonché di autorizzazione informatica degli assistiti ai fini della consultazione dei documenti presenti nel FSE e delle misure a garanzia della riservatezza dei medesimi documenti”;

secondo quanto indicato dalla Regione Molise, su richiesta di Molise Dati S.p.A., “Engineering Ingegneria Informatica S.p.A. ha dato atto di “aver svolto un’indagine sulle cause della violazione e, una volta individuato il bug, di aver provveduto alla relativa risoluzione, effettuando gli interventi necessari ad evitare la possibile reiterazione dell’incidente di sicurezza” e che secondo quanto dichiarato in atti “la vulnerabilità sottostante – la quale risultava sfruttabile soltanto da parte di quei soggetti autenticatisi (e quindi identificabili e rintracciabili) che, a conoscenza dell’URL di destinazione, avessero intenzionalmente effettuato tale manipolazione – è stata provocata da un errore di codifica del software riconducibile all’operato del subresponsabile del trattamento Engineering Ingegneria Informatica S.p.A.”;

il trattamento di dati personali in questione è stato effettuato dalla società Engineering Ingegneria Informatica S.p.A. omettendo di mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, come previsto anche dall’atto di nomina a responsabile, in violazione dell’art. 32 del Regolamento. La società, nel realizzare e progettare, dal punto di vista tecnico, i sistemi informatici utilizzati nell'ambito del Fascicolo Sanitario Elettronico della Regione Molise, inclusi i sistemi di autenticazione informatica e autorizzazione, avrebbe dovuto -nell’ambito dei doveri di ordinaria diligenza- adottare misure adeguate, e verificarne l’efficacia con l’esecuzione di opportuni casi di test, in modo da limitare l’accesso da parte degli utenti alle sole informazioni che li riguardavano (o che eventualmente erano autorizzati a trattare) e quindi impedire che soggetti terzi potessero, dopo aver superato la procedura di autenticazione informatica, utilizzare funzionalità a cui non erano autorizzati semplicemente modificando alcuni parametri presenti nell'URL.

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Per tali ragioni, si rileva l’illiceità del trattamento di dati personali effettuato dalla società Engineering Ingegneria Informatica S.p.A. nei termini di cui in motivazione, in violazione dell’art. 32 del Regolamento.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione dell’art. 32 del Regolamento comporta l’applicazione della sanzione amministrativa prevista dall’art. 83, par. 4 del Regolamento.

Il Garante, ai sensi dell’art. 58, par. 2, lett. i) del Regolamento e dell’art. 166 del Codice, ha il potere di infliggere una sanzione amministrativa pecuniaria prevista dall’art. 83 del Regolamento, mediante l’adozione di una ordinanza ingiunzione (art. 18. L. 24 novembre 1981 n. 689), in relazione al trattamento dei dati personali posto in essere dalla società Engineering Ingegneria Informatica S.p.A., di cui è stata accertata l’illiceità, nei termini sopra esposti.
Alla luce di quanto sopra illustrato, si ritiene che il livello di gravità della violazione commessa dalla società Engineering Ingegneria Informatica S.p.A. sia basso (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23 maggio 2023, punto 60).

Con riferimento agli elementi elencati dall’art. 83, par. 2 del Regolamento ai fini dell’applicazione della sanzione amministrativa pecuniaria e della relativa quantificazione, tenuto conto che la sanzione deve essere “in ogni singolo caso effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), si rappresenta che, nell’ipotesi in esame, sono state tenute in considerazione le circostanze sotto riportate:

l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione effettuata dalla Regione Molise;

il trattamento in esame riguarda dati idonei a rilevare informazioni sulla salute (dati anagrafici e di residenza, dati relativi all’assistenza sanitaria ricevuta (ASL di appartenenza, distretto di appartenenza, nominativo del medico di base, eventuale titolarità di esenzioni), dati sanitari desumibili dai documenti e dai referti sanitari eventualmente presenti nello specifico fascicolo sanitario elettronico (ad es. referti di laboratorio, referti specialistici, ecc.) di 7 soggetti che sono stati esposti a possibili accessi illeciti per circa 45 giorni (dal 14 novembre al 30 dicembre 2022);

il tipo di vulnerabilità rilevato non era né di facile rilevazione né di semplice sfruttamento, richiedendo una manipolazione intenzionale della URL e la previa conoscenza della URL di destinazione “https://fse.regione.molise.it/fseui/list“, tuttavia, la società Engineering Ingegneria Informatica S.p.A. avrebbe dovuto -nell’ambito dei doveri di ordinaria diligenza- adottare misure adeguate, e verificarne l’efficacia con l’esecuzione di opportuni casi di test, in modo da limitare l’accesso da parte degli utenti alle sole informazioni che li riguardavano (o che eventualmente erano autorizzati a trattare) e quindi impedire che soggetti terzi potessero, dopo aver superato la procedura di autenticazione informatica, utilizzare funzionalità a cui non erano autorizzati semplicemente modificando alcuni parametri presenti nell'URL;

la società Engineering Ingegneria Informatica S.p.A. ha dimostrato un elevato grado di cooperazione adoperandosi al fine di introdurre nell’immediato misure idonee a superare le vulnerabilità sopra evidenziate;

la società Engineering Ingegneria Informatica S.p.A. non è stata destinataria di altri provvedimenti sanzionatori e correttivi in merito alla fattispecie in esame.

Alla luce degli elementi sopra indicati e delle valutazioni effettuate, si ritiene, nel caso di specie, di applicare nei confronti della società Engineering Ingegneria Informatica S.p.A. la sanzione amministrativa del pagamento di una somma pari ad euro 10.000,00 (diecimila/00).

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi degli artt. 57, par. l, lett. a) e 83 del Regolamento, dichiara l'illiceità del trattamento dei dati personali effettuato dalla società Engineering ingegneria informatica S.p.A. con sede in Piazzale dell’Agricoltura 24, 00144 Roma (Partita IVA: 05724831002 - Codice Fiscale: 00967720285), per la violazione dei principi di integrità e riservatezza (art. 32 del Regolamento), nei termini di cui in motivazione;

ORDINA

b) ai sensi dell'art. 58, par. 2, lett. i) del Regolamento, alla predetta Società di pagare la somma di euro 10.000,00 (diecimila/00) a titolo di sanzione amministrativa pecuniaria per aver violato l’art. 32 del Regolamento, come sopra descritto;

INGIUNGE

c) alla società Engineering ingegneria informatica S.p.A. di pagare la predetta somma di euro 10.000,00 (diecimila/00), secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge n. 689/1981. Si rappresenta che ai sensi dell’art. 166, comma 8 del Codice, resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento -sempre secondo le modalità indicate in allegato- di un importo pari alla metà della sanzione irrogata entro il termine di cui all'art. 10, comma 3, del d. lgs. n. 150 del 1° settembre 2011 previsto per la proposizione del ricorso come sotto indicato.

DISPONE

d) ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

e) ai sensi dell’art. 154 bis, comma 3 del Codice dispone la pubblicazione del presente provvedimento sul sito del Garante;

f)  ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 novembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei