Provvedimento del 26 febbraio 2026 [10234928]
Provvedimento del 26 febbraio 2026 [10234928]
Condividi[doc. web n. 10234928]
Provvedimento del 26 febbraio 2026
Registro dei provvedimenti
n. 119 del 26 febbraio 2026
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente e il dott. Luigi Montuori, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. Introduzione.
Nel periodo tra il XX e il XX l’Autorità ha ricevuto le notifiche di violazione dei dati personali – alcune delle quali successivamente integrate con notifiche pervenute tra il XX e il XX –da parte di 11 aziende sanitarie e ospedaliere della Regione Emilia Romagna (di seguito, le “Aziende”), ai sensi dell’art. 33 del Regolamento. In particolare, dalle predette notifiche è emerso che l’applicativo utilizzato per la gestione delle richieste del personale delle predette Aziende (WHR-Time, di seguito anche “Applicativo”), inserito nel c.d. “Portale del dipendente” (di seguito, “Portale”), a causa di un’anomalia occorsa in data XX, ha determinato la visibilità, da parte del personale di ciascuna Azienda, delle richieste al tempo attive riguardanti le presenze e le assenze di propri colleghi (dipendenti/consulenti), comprensive delle relative causali di assenza (di seguito, la “Violazione”). Tale Violazione è stata originata da un intervento di manutenzione del predetto applicativo da parte di Dedalus Italia S.p.A., fornitore del servizio (di seguito, “Società”).
In considerazione dell’elevato numero di interessati e di titolari coinvolti, nonché della natura dei dati personali oggetto di violazione, l’Ufficio ha avviato una complessa attività istruttoria mediante richieste di informazioni ai sensi dell’art. 157 del Codice nei confronti della Società e, successivamente, degli 11 titolari del trattamento per acquisire, in particolare, tutti gli elementi e i chiarimenti necessari - nonché evidenze documentali - ai fini di una compiuta ricostruzione della Violazione occorsa nello specifico contesto di riferimento (es. ruoli dei diversi soggetti coinvolti nei trattamenti, funzioni/servizi disponibili sul Portale, nonché, più in generale, in merito alle circostanze da cui è originata la Violazione e agli interventi effettuati per rimuovere la problematica). In particolare, come confermato anche dai titolari del trattamento, al momento della Violazione il rapporto con la Società era regolato ai sensi dell’art. 28 del Regolamento (cfr. note delle Aziende trasmesse all’Autorità tra il XX e il XX).
2. L’attività istruttoria.
2.1. La Violazione occorsa.
Dalla documentazione in atti è emerso che “l’incidente è stato causato da un aggiornamento software che ha introdotto un’anomalia nel sistema […] l’aggiornamento software è stato installato alle ore 4:54 del giorno XX […] le prime segnalazioni di evidenza dell’anomalia sono state prese in carico da parte di Dedalus alle ore 7:32 del giorno XX, momento in cui un operatore Dedalus facendo attività di verifica su segnalazioni da parte di un utente […di una] ASL […] riscontrava un’anomalia verificata su funzioni di servizio operatore che sono abilitate agli operatori Dedalus per la normale attività di assistenza. […] successivamente sono arrivate altre segnalazioni da parte di diversi utenti delle Aziende. […] l’anomalia è stata immediatamente riportata al settore sviluppo di Dedalus che ha provveduto ad analizzarla identificando l’effettiva natura del problema. […] una volta identificato il problema è stata realizzata una fix che è stata installata sul sistema alle ore 9:33 del giorno stesso (XX). […] con l’installazione della fix il problema si è risolto definitivamente ore 9:54 del giorno XX” (cfr. “Relazione tecnica su incident avvenuto in data XX sull’impianto software denominato GRU per la gestione del personale delle aziende sanitarie della Regione Emilia Romagna”, di seguito “Report incidente”, p. 1).
L’incidente, ha causato la “possibilità di visualizzare, da parte dei dipendenti che si collegavano al portale su una funzione specifica, le richieste di varia natura inoltrate dal dipendente verso l’azienda. Normalmente questa funzione visualizza unicamente le richieste riferite all’utente che è collegato in quel momento, oppure in caso di gestione da parte di un responsabile, le richieste dei collaboratori per i quali ha la responsabilità della valutazione e dell'approvazione. A causa dell’anomalia, ogni dipendente poteva vedere le richieste attive di tutti gli altri dipendenti della stessa azienda […] delle seguenti tipologie: • Richieste di Assenza • Richiesta di Timbratura • Richiesta Giornaliera” ed è dipeso dal fatto che “Sul form Documenti su WorkFlow […] è stato introdotto un errore nella parte di front end, […] L’errore, consistito nell’eliminazione di una condizione filtrante di ricerca, è stato introdotto realizzando una modifica che prevedeva l’evoluzione di un filtro su un campo già presente (posizione di responsabilità). […] Tale filtro era sulla posizione del responsabile nei confronti del collaboratore, ovvero con questa modifica si consentiva al responsabile di filtrare, tra tutti i collaboratori ad esso afferenti, solo quelli di una determinata posizione selezionata mediante una tendina di scelta […] La tendina di scelta, era già presente nell’applicativo, ed è stata modificata nella sua composizione rendendo disponibili alcune opzioni di scelta al responsabile che prima non erano disponibili, al fine di rendere maggiormente efficace la ricerca delle posizioni dei propri collaboratori. La fase di Test della modifica, effettuata […] utilizzando dati di prova, si è concentrata sulla form di Gestione del Responsabile, la quale richiamava Documenti su WorkFlow, senza evidenziare alcuna anomalia” (cfr. Report incidente, pp. 1-3).
La Società, nel corso dell’istruttoria, ha provveduto a fornire ulteriori chiarimenti in merito agli aspetti essenziali della vicenda occorsa, rilevanti sotto il profilo della protezione dei dati personali (cfr. note del XX, XX, XX e XX).
Nel prendere atto di quanto emerso nel corso della complessiva istruttoria, in merito alle misure in essere al momento della Violazione e a quelle adottate a seguito della stessa, si rileva che la Società ha posto in essere degli specifici interventi per porre rimedio e attenuare gli effetti negativi della violazione nei confronti degli interessati (risulta infatti che la Società ha preso in carico “le prime segnalazioni di evidenza dell’anomalia […] alle ore 7:32 del giorno XX” e che “una volta identificato il problema è stata realizzata una fix che è stata installata sul sistema alle ore 9:33 del giorno stesso (XX) […] Con l’installazione della fix il problema si è risolto definitivamente ore 9:54 del giorno XX”).
La Violazione ha riguardato dati personali relativi alle specifiche richieste di permesso o assenza dal servizio, riferiti a personale in servizio presso le predette Aziende e loro familiari, compresi minori, per l’assistenza dei quali erano state richieste specifiche causali di assenze o benefici di legge (ad es. legge 5 febbraio 1992, n. 104; cfr. Report incidente, pp. 3-4).
Con nota del XX (prot. dell’Autorità n. XX del XX) la Società ha fornito “[…il] “numero degli utenti, distinti per titolare, che hanno acceduto alle funzioni che potenzialmente avrebbero consentito la visualizzazione delle richieste attive riguardanti le presenze/assenze di tutti gli altri dipendenti della stessa azienda” chiarendo, con successiva nota del XX (prot. dell’Autorità n. XX del XX), che non è stato possibile risalire al numero esatto di utenti che hanno effettivamente visualizzato i predetti dati, in quanto “l’applicativo WHR-TIME non prevede un sistema di tracciamento indicante esplicitamente quali e quanti utenti abbiano effettivamente visualizzato le richieste di altre persone”.
3. La contestazione effettuata dall’Autorità
Ciò posto, in relazione alla condotta della Società, l’Ufficio, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, con nota del XX (prot. n. XX), ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento per aver effettuato il trattamento in questione, in qualità di responsabile del trattamento, in violazione degli obblighi in materia di sicurezza del trattamento di cui all’art. 32 del Regolamento.
Con la medesima nota, la Società è stata invitata a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).
Con nota del XX (prot. dell’Autorità n. XX del XX), cui si rinvia integralmente, la Società ha presentato una memoria difensiva, dichiarando, in particolare, che:
- “[…] nel contesto dei fatti che hanno condotto al Data Breach la Società ha agito conformemente alle norme applicabili e agli standard rilevanti […] e quindi nel rispetto dell’art. 32 del Regolamento. Infatti, la causa del Data Breach è identificabile in un’anomalia del software applicativo WHR Time […] riconducibile all’azione di un operatore umano e generatasi nel contesto di un’attività di aggiornamento del Software stesso. Tale attività di aggiornamento era stata oggetto di successivo test di laboratorio in ambiente sicuro prima della messa in produzione, senza che i controlli effettuati in tale sede avessero rilevato l’anomalia medesima”;
- “quindi, sebbene in ultima analisi il Data Breach debba ritenersi riconducibile all’operato di un addetto della Società, nella […nota 166 dell’Autorità] non risulta che la Società stessa abbia governato le diverse fasi di gestione del cambiamento del Software (sviluppo, test e rilascio in produzione) in maniera difforme dalle best practice applicabili al caso di specie. Tali best practice, peraltro […] sono state adottate dalla Società anche nella successiva fase di rilevazione, presa in carico e risoluzione dell’anomalia e supporto ai titolari del trattamento nella gestione del Data Breach”;
- “ne consegue che, non riscontrandosi in capo alla Società un’ipotesi di mancata adesione o violazione di norme tecniche, standard o best practice il cui rispetto sarebbe stato richiesto secondo i parametri di diligenza professionale applicabili al caso di specie, non può ascriversi alla Società stessa alcuna responsabilità colposa, né - tantomeno - dolosa.. […]” Del resto, non esiste alcun sillogismo avente come premessa il verificarsi del Data Breach e quale automatica conclusione la violazione dell’art. 32 del Regolamento […]”;
- “[…] la condotta mantenuta dalla Società stessa sia nel contesto della gestione del Data Breach che nel corso del procedimento successivamente avviato […in quanto] una volta rilevato il Data Breach la Società ha attivato immediatamente ed efficacemente la propria procedura interna in materia di gestione degli incidenti di sicurezza, risolvendo dapprima – e tempestivamente - l’anomalia tecnica del Software e successivamente fornendo il massimo supporto ai titolari del trattamento coinvolti nella gestione degli adempimenti di cui all’art. 33 del Regolamento, conformemente a quanto richiesto dall’art. 28, par. 3, lett. f) del Regolamento medesimo. […In ogni caso] tra la generazione dell’anomalia e la sua definitiva risoluzione sono intercorse complessivamente circa sei ore, mentre tra la sua rilevazione e l’applicazione dell’intervento correttivo solamente tre ore circa. Ciò, peraltro, in un giorno prefestivo”;
- Relativamente poi allo svolgimento del procedimento in oggetto, la Società ha sempre puntualmente e tempestivamente riscontrato tutte le richieste informative […dell’] Autorità, […e in senso analogo] nei confronti dei titolari del trattamento […];
- “[…], il RPD […] ha realizzato una campagna di audit dedicati ai processi aziendali di erogazione del servizio e supporto ai clienti (cioè quelli connessi al Data Breach) […per] verificare il livello di conformità di tali processi rispetto ai requisiti in materia di protezione dei dati personali e d’identificare e raccomandare eventuali azioni di miglioramento e/o rafforzamento dei presidi in essere”;
- “[…] circa la natura, l’oggetto e la finalità del trattamento impattato dal Data Breach, esso attiene a dati personali inerenti alle presenze e assenze del personale degli enti sanitari adoperanti il Software, […] trattasi quindi d’informazioni rispetto alle quali gli interessati comunque nutrivano aspettative di riservatezza limitate […In aggiunta] anche nei casi in cui la perdita di confidenzialità potrebbe avere impattato su specifici giustificativi di assenza (inclusi quelli inerenti ai permessi di cui alla legge 5 febbraio 1992, n. 104), le informazioni potenzialmente visualizzabili da terzi avevano natura del tutto generica, non essendo per esempio in alcun modo conoscibile l’eventuale patologia del soggetto bisognoso di assistenza […]”;
- infine la Società ha indicato, in particolare, l’attuazione “di un’ulteriore campagna di audit di follow up a cura del RPD e dedicata alle attività di gestione del cambiamento degli applicativi manutenuti per conto terzi”, la “realizzazione di ulteriori sessioni di formazione e sensibilizzazione specificamente dedicate agli addetti preposti alla gestione del Software […]” e la “valutazione dell’opportunità di aderire al “Codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale” […]”.
4. Esito dell’attività istruttoria.
In via preliminare, si osserva che l’istruttoria è stata caratterizzata da una particolare complessità, stante il numero dei soggetti coinvolti, la frammentarietà degli elementi disponibili – circostanze che hanno reso necessari approfondimenti indispensabili ai fini del completamento del quadro istruttorio in vista della definizione del procedimento in questione – nonché dalle numerose istanze di accesso agli atti ai sensi della legge 7 agosto 1990, n. 241, avanzate non solo dalla Società ma anche da tutti i titolari del trattamento (art. 24 della Costituzione), pervenute in tempi diversi (nell’arco temporale compreso tra XX e XX) e definite da ultimo nel mese di XX.
Nell’ambito delle audizioni di tutte le Aziende coinvolte (svoltesi tra il XX e il XX), sono stati forniti specifici elementi, che hanno ulteriormente chiarito, tra gli altri profili, anche l’effettivo riparto di responsabilità tra i soggetti a vario titolo coinvolti nella Violazione.
4.1. La normativa applicabile.
La disciplina di protezione dei dati personali prevede che, sebbene sul titolare del trattamento, che determina le finalità e le modalità del trattamento dei dati, ricada una “responsabilità generale” per i trattamenti posti in essere (v. art. 5, par. 2, c.d. principio di “accountability”, e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8), e 28 del Regolamento), il Regolamento, in ogni caso, ha previsto specifici obblighi e ha disciplinato le altre forme di cooperazione cui è tenuto il responsabile del trattamento e l’ambito delle relative responsabilità (v. artt. 30, 32, 33, par. 2, 82 e 83 del Regolamento).
Il responsabile del trattamento, infatti, è legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a), del Regolamento) e il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile anche sotto il profilo della sicurezza dei dati e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare e del responsabile.
Pur essendo tenuto, il responsabile del trattamento, a trattare i dati conformemente alle istruzioni impartite dal titolare, la normativa in materia di protezione dei dati personali prevede alcuni obblighi direttamente anche a carico del responsabile del trattamento, con specifico riferimento allo stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (cfr. art. 32, parr. 1 e 2, e considerando 83 del Regolamento).
4.2. L’inidoneità delle misure di sicurezza adottate.
Ciò posto, dal quadro conoscitivo risultante dalla complessa e articolata attività istruttoria effettuata, è stato accertato che le richieste attive di presenze/assenze inserite dal personale delle 11 aziende sanitarie e ospedaliere della Regione Emilia Romagna sono risultate visibili nell’applicativo WHR Time da altro personale della medesima Azienda, per alcune ore nella prima mattinata del XX, a causa di un intervento manutentivo della Società, responsabile del trattamento, da cui è derivata la Violazione notificata all’Autorità.
Al riguardo, si precisa che le richieste relative alla fruizione di specifiche causali di assenza ai sensi della normativa vigente da parte del personale delle Aziende contenevano anche categorie particolari di dati quali, in particolare, la richiesta di permessi ai sensi della legge 5 febbraio 1992, n. 104, riferibili sia al dipendente sia ai suoi familiari (inclusi minori o altri soggetti vulnerabili). Di conseguenza, i trattamenti effettuati nel contesto in esame richiedevano l’adozione di elevati standard di sicurezza al fine di non compromettere la riservatezza dei dati personali degli interessati. Ciò, tenendo altresì conto delle finalità dei trattamenti e della natura dei dati personali trattati appartenenti, come detto, anche a categorie particolari.
A tal proposito, non rileva quanto osservato dalla Società rispetto al fatto che “anche nei casi in cui la perdita di confidenzialità potrebbe avere impattato su specifici giustificativi di assenza (inclusi quelli inerenti ai permessi di cui alla legge 5 febbraio 1992, n. 104), le informazioni potenzialmente visualizzabili da terzi avevano natura del tutto generica, non essendo per esempio in alcun modo conoscibile l’eventuale patologia del soggetto bisognoso di assistenza […]” (cfr. nota del XX). Infatti, nel ricordare che, ai sensi dell’art. 4 par.1, n. 15 del Regolamento sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”, si precisa che, come da tempo chiarito dal Garante, anche il riferimento alla legge 104/1992, che notoriamente disciplina benefici e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari, consente di ricavare informazioni sullo stato di salute di una persona (vedi al riguardo, con specifico riferimento al contesto lavorativo, provv. n. 606 del 26 settembre 2024, doc. web 10068155, n. 270 del 9 maggio 2024, doc. web n. 10025870, n. 168 del 27 aprile 2023, doc. web 9896845, n. 3 dell'11 gennaio 2023, doc. web 9857610, n. 290 del 1° settembre 2022, doc. web 9811361, n. 150 del 28 aprile 2022, doc. web n. 9777200, e provv. 28 maggio 2020, n. 92, doc. web n. 9434609; più in generale cfr. “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” del 15 maggio 2014” doc. web n. 3134436).
Più in generale, e al di là del caso di specie, le medesime considerazioni possono essere effettuate in relazione anche ad altre causali di assenza dal servizio, previste dalla legge o dalla contrattazione collettiva, comunque connesse allo stato di salute del dipendente o di suoi familiari. Ciò in conformità al consolidato orientamento della Corte di Giustizia dell’Unione europea, secondo il quale “occorre dare all'espressione «dati relativi alla salute» […] un'interpretazione ampia tale da comprendere informazioni riguardanti tutti gli aspetti, tanto fisici quanto psichici, della salute di una persona”, avendo la Corte ricondotto a tale nozione anche l’informazione relativa una persona che si era “ferita ad un piede e [si trovava] in congedo parziale per malattia” (sent. C-101/01, Lindqvist, 6 novembre 2003, parr. 13 e 50). Un’interpretazione ampia delle nozioni di “categorie particolari di dati personali” e di “dati sensibili” è, infatti, “suffragata dall’obiettivo della direttiva 95/46 e del [Regolamento] […], consistente nel garantire un elevato grado di tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare della loro vita privata, con riguardo al trattamento dei dati personali che li riguardano” (sent. C-184/20, Vyriausioji tarnybins etikos komisija, del 1° agosto 2022, par. 125), considerato che i trattamenti di tali particolari categorie di dati “possono costituire un’ingerenza particolarmente grave nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati personali, garantiti agli articoli 7 e 8 della Carta dei diritti fondamentali” (sent. C-667/21, Krankenversicherung Nordrhein, del 21 dicembre 2023, par. 41; cfr. cons. 51 del Regolamento, ai sensi del quale “meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali”). Anche nell’ordinamento nazionale, la giurisprudenza di legittimità ha affermato che “non può essere messo in dubbio che un'assenza dal lavoro "per malattia" costituisca un dato personale "relativo alla salute" del soggetto cui l'informazione si riferisce (Cass. civ., sez. I, 8 agosto 2013, n. 18980; v. anche Cass. civ., sez. I, ord. 11 ottobre 2023, n. 28417, ove si afferma che “il semplice riferimento ad un'assenza dal lavoro "per malattia" costituisc[e] un dato personale "relativo alla salute" del soggetto cui l'informazione si riferisce”).
Né appare rilevante quanto affermato dalla Società in merito al fatto che i dati personali trattati nell’Applicativo fossero “informazioni rispetto alle quali gli interessati comunque nutrivano aspettative di riservatezza limitate […in quanto la] presenza o assenza sul posto di lavoro in una determinata giornata o un certo orario […] è direttamente, facilmente e ordinariamente conoscibile da qualsiasi altro collega dell’ente […]” (cfr. nota del XX). Al riguardo, si osserva che, sebbene il contesto lavorativo sia, per propria natura, caratterizzato da una dimensione organizzativa e relazionale che può comportare occasioni di diretta e vicendevole conoscibilità, tra i lavoratori, di informazioni relative anche al rapporto di lavoro o a specifiche vicende personali di taluni colleghi, il Garante ha ricordato in numerose occasioni che i dati personali dei dipendenti non possono essere messi a disposizione di soggetti diversi da coloro che sono parte del rapporto di lavoro (cfr. definizioni di “dato personale” e “interessato”, contenuta nell’art. 4, par.1, n. 1) del Regolamento) o di coloro che non siano legittimati, in ragione delle specifiche mansioni svolte, a trattare i medesimi dati, in qualità di personale autorizzato (art. 29 del Regolamento e 2-quaterdecies del Codice), potendo ciò comportare una “comunicazione” di dati personali a terzi non legittimati (cfr. artt. 4, par. 1, n. 10), 6 e 9, del Regolamento, nonché artt. 2-ter e 2-sexies del Codice).
In tale quadro, anche la Società, agendo per conto e nell’interesse delle Aziende titolari, era tenuta a garantire l’adozione di rigorose misure tecniche e organizzative, includendo, oltre a quelle espressamente individuate dall’art. 32, par. 1, lett. da a) a d), tutte quelle necessarie ad attenuare i rischi connessi allo specifico contesto di trattamento e, in particolare, a prevenire l’accesso a tali informazioni a terzi non autorizzati, ancorché operanti all’interno della realtà organizzativa del titolare di riferimento.
In generale, sebbene nella cornice normativa del Regolamento e del Codice sussista in capo al titolare del trattamento la responsabilità dell’attuazione delle misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato in conformità al Regolamento (artt. 5, par. 2 e 24 del Regolamento; cfr., “Linee Guida 7/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, in particolare, punto 41), il citato art. 32 del Regolamento prevede, altresì, taluni obblighi direttamente a carico anche dello stesso responsabile. Spetta dunque anche a quest’ultimo, in ragione dell’esperienza e delle competenze nello specifico settore in cui opera, adottare adeguate misure tecniche ed organizzative.
Nel caso di specie risulta che, a seguito un intervento di manutenzione e aggiornamento del predetto applicativo posto in essere dalla Società - a causa di “un’anomalia nel sistema […]” consistente “nell’eliminazione di una condizione filtrante di ricerca, […] realizzando una modifica che prevedeva l’evoluzione di un filtro su un campo già presente (posizione di responsabilità)” - le informazioni personali di ciascun lavoratore, afferenti alle presenze e assenze e alle relative causali, sono state rese consultabili da parte dei propri colleghi. L’anomalia introdotta mediante il predetto aggiornamento - “installato alle ore 4:54 del giorno XX” – è consistita “nell’eliminazione di una condizione filtrante di ricerca, […] realizzando una modifica che prevedeva l’evoluzione di un filtro su un campo già presente (posizione di responsabilità)”.
Stando a quanto dichiarato dalla Società, quanto occorso avrebbe costituito un evento imprevisto, imputabile al fatto che “la fase di Test della modifica, effettuata presso il […] laboratorio [della Società] utilizzando dati di prova, si è concentrata sulla form di Gestione del Responsabile, la quale richiamava Documenti su WorkFlow, senza evidenziare alcuna anomalia” ed è dipeso dall’”azione di un operatore umano […] generatasi nel contesto di un’attività di aggiornamento del Software”. In ogni caso, si prende atto che la Società, è comunque prontamente intervenuta a seguito di alcune segnalazioni ricevute dal personale delle Aziende, sanando l’anomalia segnalata mediante realizzazione di “una fix […] installata sul sistema alle ore 9:33 del […] (XX)”.
Tali circostanze, seppur meritevoli di considerazione, non sono, tuttavia, sufficienti ad escludere la responsabilità della Società, posto che la stessa, anche in considerazione delle peculiarità dei trattamenti effettuati, concernenti dati personali – anche appartenenti a categorie particolari – contenuti nelle richieste di presenze e assenze, a vario titolo, del personale delle Aziende, avrebbe dovuto effettuare una costante verifica dell’adeguatezza delle misure tecniche e organizzative relative alle operazioni di trattamento dei dati (inclusa adeguata formazione del personale) per evitare (o individuare tempestivamente) errori/anomalie, non solo in sede di test ma anche a seguito del rilascio delle modifiche evolutive nell’applicativo in questione. La Società, in ragione della sua esperienza tecnica nel settore, avrebbe pertanto dovuto mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio inclusa una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento. Tale circostanza non si è, invece, verificata nel caso concreto, posto che la relativa anomalia, seppur derivante dall’eliminazione di una condizione filtrante di ricerca, è stata rilevata solo a seguito di segnalazioni da parte dei dipendenti delle Aziende e non da autonomi controlli da parte della Società. Le funzionalità in concreto utilizzate e le misure tecniche adottate da parte del responsabile del trattamento non sono risultate comunque idonee a prevenire la Violazione e, dunque, non conformi alle disposizioni dell’art. 32 del Regolamento, che stabilisce la necessità di “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (par. 1, lett. b)) e che nel “valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2).
Per tali ragioni, nell’ambito delle accertate circostanze di intervento e manutenzione da parte della Società sul predetto applicativo, deve concludersi che le misure tecniche e organizzative implementate non fossero adeguate in relazione agli specifici rischi del trattamento, in violazione degli obblighi in materia di sicurezza del trattamento di cui all’art. 32 del Regolamento.
5. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni acquisite nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019 non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità in merito alla condotta della Società, per aver adottato misure tecniche e organizzative non adeguate in relazione agli specifici rischi del trattamento, in violazione dell’art. 32 del Regolamento.
La violazione della predetta disposizione rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 4, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.
In tale quadro, considerando che la condotta ha esaurito i suoi effetti – atteso che la Società ha adottato misure volte a superare le vulnerabilità sopra descritte - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Tenuto conto che la violazione citata nel precedente paragrafo 4.2. del presente provvedimento ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che nel caso di specie la violazione accertata – art. 32 del Regolamento – è soggetta alla sanzione amministrativa prevista dall’83, par. 4, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. Considerato che, come ricavato dall’ultimo bilancio d’esercizio disponibile (XX) in accordo con i precedenti provvedimenti adottati dall’Autorità, il fatturato totale annuo della Società nel XX è pari a euro 159.517.111, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Tenuto conto che:
la violazione ha comportato la visibilità nell’Applicativo dei dati personali relativi alle causali di presenze e assenze del personale di ciascuna Azienda da parte dei propri colleghi (art. 83, par. 2, lett. a) del Regolamento);
la violazione ha riguardato anche dati personali appartenenti alle categorie particolari di cui all’art. 9 del Regolamento, concernenti le richieste di permessi ai sensi della legge n. 104/1992 (cfr. art. 83, par. 2, lett. g), del Regolamento);
la violazione si è comunque protratta per un periodo di tempo limitato, nell’arco della prima mattinata di un giorno prefestivo, a ridosso del periodo natalizio, circostanze che avrebbero in ogni caso limitato l’effettiva consultazione dei dati (art. 83, par. 2, lett. a) del Regolamento);
la violazione ha carattere colposo (art. 83, par. 2, lett. b), del Regolamento), essendosi trattato di un caso isolato, dovuto a un evento imprevisto, riconducibile a un mero errore umano;
si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal responsabile del trattamento non sia da considerarsi alto (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).
Ciò premesso, si ritiene che, ai fini della quantificazione della sanzione, debba essere presa in considerazione, in favore della Società, che la stessa ha adottato misure per attenuare gli effetti della violazione per gli interessati, avendo provveduto a installare “una fix […] sul sistema alle ore 9:33 del […] (XX)”, con conseguente pronta risoluzione dell’incident occorso; risultano precedenti violazioni pertinenti commesse, essendo stata la Società già destinataria di provvedimenti sanzionatori adottati dal Garante (cfr. art. 83, par. 2, lett. e), del Regolamento).La cooperazione della Società nell’ambito dell’istruttoria è stata ordinaria, essendosi pertanto reso necessario da parte dell’Autorità lo svolgimento di taluni approfondimenti per il completamento del quadro istruttorio (art. 83, par. 2, lett. e) del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 32.000,00 (trentaduemila/00) per la violazione dell’art. 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che la violazione ha riguardato dati personali riferiti a interessati vulnerabili, nel delicato contesto lavorativo e professionale.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato da Dedalus Italia S.p.A. per la violazione dell’art. 32 del Regolamento, nei termini di cui in motivazione;
ORDINA
a Dedalus Italia S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in via di Collodi 6/C, 50141, Firenze (FI), C.F. e P. IVA 05994810488, di pagare la somma di euro 32.000,00 (trantaduemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
a Dedalus Italia S.p.A., in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 32.000,00 (trentaduemila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 26 febbraio 2026
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Montuori
