g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di aiComply S.r.l. - 10 giugno 2021 [9685947]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

- VEDI ANCHE NEWSLETTER DEL 2 AGOSTO 2021

[doc. web n. 9685947]

Ordinanza ingiunzione nei confronti di aiComply S.r.l. - 10 giugno 2021

Registro dei provvedimenti
n. 236 del 10 giugno 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. Premessa.

Nell’ambito di un ciclo di attività ispettive, avente a oggetto le principali funzionalità di alcuni tra gli applicativi per l’acquisizione e gestione delle segnalazioni di illeciti più diffusamente impiegati dai datori di lavoro pubblici e privati nel quadro della disciplina in materia di segnalazione di condotte illecite (c.d. whistleblowing), sono stati effettuati specifici accertamenti nei confronti delle società Aeroporto Guglielmo Marconi di Bologna S.p.a. (di seguito “Società” o “AdB”; v. verbali delle operazioni compiute del XX) e aiComply S.r.l. (di seguito “Fornitore”, v. verbale delle operazioni compiute del XX), che fornisce e gestisce per conto della Società l’applicativo denominato “WB Confidential”. Ciò anche alla luce di quanto disposto, con riguardo all’attività ispettiva di iniziativa curata dall’Ufficio del Garante, con deliberazioni del 12 settembre 2019, doc. web n. 9147297, del 6 febbraio 2020, doc. web n. 9269607, e del 1° ottobre 2020, doc. web n. 9468750.

2. L’attività istruttoria.

All’esito della complessa istruttoria, stante la particolare complessità dei profili di natura tecnologica emersi nel corso dell’istruttoria (cfr. relazione tecnica del XX, prot. n. XX), è emerso che:

- AdB – società di capitali a partecipazione pubblica per circa il 45% del capitale sociale e quotata nei mercati regolamentati, unico gestore dell’aeroporto di Bologna, in quanto concessionario di pubblico servizio fino al 28 dicembre 2044 in virtù di una convenzione con l’Ente nazionale per l’aviazione civile (ENAC) – ha adottato un modello di organizzazione, gestione e controllo ai sensi del d.lgs. n. 231/2001 che, con l’entrata in vigore della l. n. 179/2017, è stato integrato e aggiornato con una specifica “policy whistleblowing”, impiegando l’applicativo “WB Confidential”;

- l’applicativo è reso disponibile dalla Società in modalità SaaS (Software as a Service), per l’acquisizione e la gestione delle segnalazioni di condotte illecite. A tal fine il rapporto con la Società, quale responsabile del trattamento, è stato regolamentato ai sensi dell’art. 28 del Regolamento (v. verbale del XX, spec. all. 10 - atto di designazione);

- “l’invio delle segnalazioni [è consentito] sia da parte dei dipendenti che da parte di altri soggetti portatori d’interesse. Le segnalazioni possono essere presentate in forma anonima o nominativa mediante l’ausilio dell’applicativo WB Confidential o in forma nominativa mediante l’utilizzo di caselle di posta elettronica dedicate, come previsto dalla Policy whistleblowing. In entrambi i casi, l’unico soggetto autorizzato a trattare i dati delle segnalazioni, accedendo all’applicativo o alle citate caselle di posta elettronica, è [… il] responsabile della funzione aziendale di Internal Audit [… che], quando accede all’applicativo, non ha la visibilità dei dati identificativi del segnalante che sono separati, a livello logico, dal contenuto della segnalazione. Solo in determinate ipotesi, stabilite nella Policy Whistleblowing, [… il responsabile] può venirne a conoscenza previa espressa richiesta alla società aiComply S.r.l.” (v. verbale del XX, p. 5);

- “a seguito dell’invio di una segnalazione nominativa, l’applicativo rilascia al segnalante delle credenziali di autenticazione (username e password), che lo stesso può utilizzare per accedere all’applicativo e seguire l’andamento della segnalazione nonché effettuare un’integrazione, anche su richiesta del Responsabile della funzione Internal Audit. Nel caso di segnalazione anonima, è necessario accedere all’applicativo con credenziali di autenticazione dedicate, riportate nel Manuale utente”. Come per le segnalazioni nominative, “vengono rilasciate al segnalante delle ulteriori credenziali di autenticazione (username e password)” (v. verbale del XX, p. 4);

- inoltre, “al momento della ricezione di una segnalazione mediante l’applicativo [… il responsabile] riceve un’email di notifica sulla propria casella di posta elettronica. In base alla fattispecie oggetto di segnalazione, […] valuta il coinvolgimento del Comitato Etico ed Anticorruzione o dell’Organismo di Vigilanza, avendo cura di rimuovere, se del caso, gli elementi da cui sia possibile, anche indirettamente, risalire all’identità del segnalante. In talune circostanze, anche l’identità del segnalato può essere omessa. Qualora ne ricorrano i presupposti, la segnalazione viene inoltrata anche al Direttore Generale e/o ai Responsabili di altre funzioni aziendali, al Responsabile delle risorse umane per i profili disciplinari e/o all’Autorità Giudiziaria nel caso di fatti penalmente rilevanti” e in ogni caso “l’identità del segnalante può resa nota ai predetti soggetti solo nei casi” previsti dalla legge di settore (v. verbale del XX, p. 5);

- AdB “dispone di un unico account per l’accesso all’applicativo, assegnato al [… responsabile], a cui sono assegnati i privilegi di gestione delle segnalazioni ricevute”; inoltre, come verificato nel corso degli accertamenti, “in presenza di una segnalazione nominativa, il responsabile non è abilitato alla visualizzazione dei dati identificativi del segnalante” e che “ad ogni segnalazione è assegnato un codice identificativo (denominato “ID Ticket”) con formato del tipo “SA-WB00000042” o “SN-WB00000052”, dove le lettere “SA” o “SN” indicano rispettivamente il carattere anonimo o nominativo della segnalazione mentre le cifre rappresentano il numero progressivo assegnato alla segnalazione”;

- nel corso delle verifiche è stata riscontrata la presenza sull’applicativo di due segnalazioni anonime di cui una archiviata (v. verbale del XX, p. 5);

- è stato verificato che l’applicativo, esposto su rete Internet, non utilizza un protocollo di rete sicuro (quale il protocollo https) per il trasporto dei dati e AdB ha sul punto rappresentato di aver avviato valutazioni circa “l’opportunità di mettere in atto tale misura a garanzia della riservatezza e dell’integrità dei dati trasmessi su rete pubblica” (v. verbale del XX, p. 3).

Nel corso degli accertamenti effettuati presso aiComply (v. verbale del XX, pp. 2 e ss.) è emerso che:

- la stessa offre un’“attività di manutenzione specialistica, sia a livello sistemistico che a livello applicativo, in relazione all’applicativo [… “WB Confidential”] avvale[ndosi] sia di personale interno che di personale esterno di altre due società: Agic Technology S.r.l. e A1Tech S.r.l.”;

- “A1Tech svolge attività di gestione sistemistica dell’infrastruttura IT del servizio offerto ad AdB, mentre Agic Technology svolge principalmente attività di manutenzione e di assistenza specialistica sull’applicativo”, precisando che “nessuna delle predette società è stata designata sub-responsabile del trattamento che AiComply svolge per conto di AdB”;

- l’applicativo “WB Confidential” “è stato progettato, a partire dal 2010 circa, per l’acquisizione e la gestione delle segnalazioni di condotte illecite da parte di soggetti pubblici e di istituti finanziari. L’effettiva commercializzazione dell’applicativo è avvenuta a partire dal 2015 circa”;

- “l’applicativo è reso disponibile nella sua versione standard ma, a richiesta dei clienti, può essere personalizzato definendo, ad esempio, una diversa classificazione degli stati di lavorazione delle segnalazioni e delle tipologie di condotte segnalabili nonché abilitando segnalazioni non solo nominative, ma anche anonime”;

- con riguardo ai trattamenti effettuati per conto della Società, “le segnalazioni sono gestite da uno o più soggetti del cliente a cui è attribuito un profilo di autorizzazione denominato “Responsabile” che consente di ricevere le segnalazioni, di trattarle, di interloquire con i segnalanti mediante l’applicativo, di cambiare lo stato della lavorazione delle segnalazioni nonché di chiudere e, se del caso, di riaprire le segnalazioni”, evidenziando che “l’applicativo prevede un ulteriore profilo di autorizzazione denominato “System Administrator” a cui sono associati i massimi privilegi amministrativi per la gestione e configurazione dell’applicativo. I soggetti a cui è attribuito tale profilo di autorizzazione possono eseguire qualsiasi operazione”;

- “i soggetti con il profilo di autorizzazione di “Responsabile” non hanno i privilegi per cancellare le segnalazioni presenti sull’applicativo, ancorché la loro lavorazione risulti conclusa. Tale operazione può essere effettuata, su esplicita richiesta del cliente, con procedura manuale, del tutto eccezionale, eseguita dai soggetti con il profilo “System Administrator””, precisando che “la cancellazione di una segnalazione non è consentita per impostazione predefinita ma richiede una temporanea disabilitazione di tale limitazione. Dopo aver effettuato tale operazione, è possibile cancellare manualmente i dati presenti in tre distinte tabelle contenenti la segnalazione, i dati del segnalante e i dati di accoppiamento dell’una agli altri. Tale cancellazione non è tuttavia definitiva in quanto le segnalazioni così cancellate confluiscono in un c.d. “Cestino” per un periodo di ulteriori trenta giorni, al termine dei quali le segnalazioni vengono in automatico cancellate definitivamente”;

- “l’applicativo è esposto su rete pubblica e che la raggiungibilità delle singole istanze dello stesso riservate all’acquisizione e alla gestione delle segnalazioni di competenza di ciascun cliente (titolare del trattamento) è limitata ai soli indirizzi IP pubblici comunicati da ciascun cliente. Con riferimento all’istanza dell’applicativo riservata ad AdB, […] la stessa è raggiungibile da qualsiasi indirizzo IP per soddisfare la specifica richiesta di AdB di consentire l’invio di segnalazioni al di fuori della rete intranet aziendale, anche da parte di altri soggetti, portatori di interesse, esterni alla stessa”;

- “le istanze dell’applicativo WB Confidential utilizzano per la trasmissione in rete dei dati il protocollo http (hypertext transfer protocol)”, precisando che “sono in corso specifiche iniziative per migrare le attuali istanze dell’applicativo dal protocollo http al protocollo https”;

- con riguardo all’utilizzo di strumenti di crittografia per la conservazione delle segnalazioni, “i dati memorizzati sul database non sono cifrati”.

Nel corso degli accertamenti, è stato possibile verificare che l’utenza con profilo “System Administrator” utilizzata dalla Società per l’accesso all’applicativo “WB Confidential” di AdB era condivisa tra due soggetti autorizzati al trattamento.

Con successiva nota del XX, AdB ha fornito “copia dei file di log generati dai sistemi firewall – che permettono la navigazione in internet, accedendo alla rete aziendale – relativi agli accessi effettuati all’applicativo WB Confidential, dal 1° febbraio al 15 aprile 2019”, evidenziando come “l’estrazione non abbia riscontrato registrazioni di log antecedenti il 1 febbraio 2019”. Con la medesima nota, sono state fornite ulteriori informazioni e documentazione relativa agli interventi aggiuntivi effettuati al fine di “potenziare le misure di sicurezza adottate a tutela dei diritti e delle libertà degli interessati [… e] a garanzia della tutela dell’identità dei soggetti segnalanti condotte illecite”, tra i quali, in particolare con riguardo ai profili rilevanti per la presente istruttoria:

- “l’abilitazione di un protocollo di trasmissione dati sicuro (certificato SSL) da e per la piattaforma WB Confidential”;

- “l’implementazione di una nuova funzionalità della piattaforma WB Confidential […] che consente al Gestore delle segnalazioni di archiviare le segnalazioni” che in tal modo non saranno “più visibili al Gestore, sebbene recuperabili a mezzo di specifico intervento dell’Amministratore di Sistema di aiComply s.r.l., su richiesta del Gestore medesimo”.

Con nota dell’XX (prot. n. XX), l’Ufficio, sulla base degli elementi acquisiti, ha notificato alla Società, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, invitando il predetto responsabile del trattamento a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24 novembre 1981).

Con la nota sopra menzionata, l’Ufficio ha rilevato che la Società ha posto in essere trattamenti di dati personali senza aver regolamentato il rapporto con i soggetti operanti in qualità di sub-responsabili del trattamento, in violazione dell’art. 28 del Regolamento, nonché in assenza di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, in violazione dell’art. 32 del Regolamento.

Con nota del XX la Società ha fatto pervenire le proprie memorie difensive, dichiarando, tra l’altro, che:

- “al momento dello svolgimento delle attività ispettive (risalenti a quasi due anni fa) i rappresentanti del Garante svolsero gli accertamenti con riferimento a quello che all’epoca era un mero ambiente di produzione dell’Applicativo conferito in licenza ad Aeroporti di Bologna: erano presenti solo cinque segnalazioni, delle quali due reali e tre di test”;

- l’Autorità “procedendo alla contestazione tout court della violazione dell’articolo 32 del Regolamento per non aver adottato la Società misure di sicurezza idonee con particolare riferimento a protocolli https e crittografia nella conservazione dei dati: 1. non ha tenuto conto della natura del trattamento svolto dalla Società alla data dell’ispezione (trattamento straordinariamente limitato di dati meramente anagrafici e con assenza di informazioni di particolare natura, riferito unicamente a due segnalazioni reali oggetto di conservazione mediante l’Applicativo); 2. non ha tenuto conto dell’ambito di applicazione e del contesto del trattamento mediante l’Applicativo accertato il 10 aprile 2019 (con dati oggetto di trattamento nell’ambito di mero test e produzione dell’ambiente informatico che fu oggetto degli accertamenti ispettivi); 3. non ha tenuto conto – nelle proprie valutazioni circa l’avvio di procedimento sanzionatorio – “del rischio di varia probabilità e gravità” che senz’altro appare probabilisticamente assai vicino allo zero se solo si valutano i trattamenti limitati alla data dell’ispezione (e senza contare che alla data odierna e per tutti gli utilizzatori dell’Applicativo – non solo Aeroporti di Bologna – si è mai verificata alcuna distruzione accidentale o illegale, perdita, modifica, rivelazione, accesso non autorizzati ai dati personali trasmessi, conservati o comunque elaborati dall’Applicativo, né alcun danno materiale o immateriale a qualsivoglia interessato”;

- “le misure di sicurezza indicate dall’articolo 32 RGPD non costituiscono affatto un obbligo legale generalizzato che – ove tali misure siano omesse – porta all’avvio di un procedimento sanzionatorio nei confronti di titolare/responsabile del trattamento quasi automaticamente e sulla base della mera e verificata mancanza del catalogo di misure di sicurezza ivi indicato al comma 2. È lo stesso legislatore a prescrivere che tali misure (tra cui la cifratura dei dati e la resilienza e integrità dei servizi di trattamento che qui interessano) vanno adottate dal Titolare o dal Responsabile del trattamento “ove del caso”. Se si ammettesse – come sembra di fatto ritenere codesta spettabile Autorità nel proprio provvedimento amministrativo di contestazione di violazione e avvio del procedimento sanzionatorio – che il titolare/responsabile del trattamento devono sempre e comunque adottare (in ogni caso e non ove del caso) le misure di sicurezza indicate all’articolo 32 RGPD – anche nei casi di trattamenti come quelli contestati alla Società nella estensione, modalità e limitazione di cui agli accertamenti del 10 aprile 2019 – si determinerebbe la conseguenza di una applicazione abnorme dell’articolo 32, commi 1 e 2, RGPD che di fatto verrebbe trasformata in norma imperativa inderogabile quanto al catalogo di misure di sicurezza da adottare”;

- “ciò appare rilevante circa le conseguenze anche alla luce di quanto previsto dall’articolo 3, comma 1, della L. 241/1990 [… che] prescrive che ogni provvedimento amministrativo deve essere motivato e che “la motivazione deve indicare i presupposti di fatto e le ragioni giuridiche che hanno determinato la decisione dell'amministrazione, in relazione alle risultanze dell'istruttoria””;

- “codesta spettabile Autorità ha ritenuto all’esito dell’istruttoria di dover contestare (senza adeguatamente motivare) che senza alcun dubbio le uniche misure di sicurezza conformi alla situazione oggetto dell’accertamento ispettivo sarebbero state la cifratura dei (limitatissimi) dati personali trattati nell’ambiente di test e produzione dell’Applicativo nonché la disponibilità dell’Applicativo come SaaS su rete pubblica con protocollo https in luogo del protocollo http (che comunque non è automaticamente insicuro, anche alla luce delle valutazioni e dei parametri sopra richiamati rispetto alla specificità del contesto)”;

- “il server su cui gira l’Applicativo è sì esposto su Internet solo verso le porte 80 e 443 (http e https) aperte nel firewall. Ma, d’altro canto, nessun altro servizio è esposto sulla linea pubblica. Il server, inoltre, è in DMZ (delimitarized zone o zona demilitarizzata, che in informatica indica una rete di computer che funge tra due reti da zona cuscinetto con un proprio indirizzo IP e le delimita mediante regole di accesso rigide) con firewall che protegge la zona DMZ della rete pubblica. L’accesso è consentito solo da rete interna e VPN (Virtual Private Network) nominale, attraverso le porte http e https e tramite Remote Desktop Protocol (RDP) che come è noto è il protocollo proprietario di Microsoft Inc. basato su encryption dei dati a 128 bit tramite l’algoritmo RC4, che implementa meccanismi avanzati di gestione sicura degli accessi”;

- “il server non può navigare in Internet, ha tutte le porte in uscita disabilitate (ad eccezione di quelle verso la LAN interna della Società, per assicurarne il corretto funzionamento) e per accedere direttamente al database contenente i dati di cui alle segnalazioni gestite dall’Applicativo è necessario accedere al server solo tramite protocollo RDP, con credenziali di amministratore di sistema”;

- “la Società ha altresì adottato quale politica di sicurezza quella del disaccoppiamento dei dati del segnalante rispetto alle informazioni relative alla segnalazione (difatti Aeroporti di Bologna non può conoscere l’anagrafica del segnalante, se non in casi di specifica richiesta come per legge)”;

- “già dallo scorso anno la nuova versione dell’Applicativo – tra le altre misure – adotta il protocollo https e la cifratura dei dati tra le opzioni di security”;

- “l’insieme di prerogative tecniche e organizzative di sicurezza sopra sommariamente sintetizzate e adottate dall’Applicativo non possono dunque non fare convergere le valutazioni nella prospettiva dell’articolo 32 RGPD su una piena conformità dei servizi di trattamento di cui all’Applicativo (già alla data del XX) alle prescrizioni normative in materia di security”;

- “nelle interlocuzioni intercorse tra la Società e Aeroporti di Bologna in sede di negoziazione dell’accordo di fornitura dell’Applicativo vi fu scambio idoneo di documentazione tecnica atta a consentire ad Aeroporti di Bologna ogni esclusiva decisione sulle misure di sicurezza da implementare nell’Applicativo”;

- “Aeroporti di Bologna è in ogni caso ente tale da avere al suo interno le specifiche competenze specialistiche e infrastrutturali ICT per compiere le dovute ed esclusive valutazioni di pertinenza del Titolare del trattamento quanto alle misure di sicurezza che dovevano essere implementate dalla Società nell’Applicativo”;

- “nell’offerta (AI/GDG/15/326-4) della Società ad Aeroporti di Bologna era chiaramente indicata la possibilità della “implementazione di protocolli riservati per il trasporto dei dati (ad esempio SSL) nonché l’utilizzo di strumenti di crittografia end-to-end per i contenuti delle segnalazioni e dell’eventuale documentazione allegata”;

- “con la specifica fornitura della documentazione tecnica di cui alla offerta (AI/GDG/15/326-4) della Società ad Aeroporti di Bologna, aiComply S.r.l. ha adempiuto al suo obbligo di supporto e fornitura di competenze specialistiche e informazioni tecniche al Titolare del trattamento Aeroporti di Bologna onde consentire a tale ente – come appunto ricordato dalle Linee Guida 7/2020 circa il ruolo del Responsabile del trattamento rispetto a decisioni di sicurezza proprie solo del Titolare del trattamento – di indicare ad aiComply le proprie definitive decisioni sulla sicurezza nei servizi di trattamento dell’Applicativo”;

- “è stata una precisa scelta economica e contrattuale di Aeroporti di Bologna quella di indicare alla Società di procedere allo sviluppo dell’Applicativo senza adottare quelle specifiche misure di sicurezza (e comunque – per quanto sopra argomentato – aiComply S.r.l. ha in ogni caso fornito un Applicativo sicuro) con la specifica implementazione di protocolli riservati per il trasporto dei dati (ad esempio SSL) nonché l’utilizzo di strumenti di crittografia end-to-end per i contenuti delle segnalazioni e dell’eventuale documentazione allegata”, avendo fatto Aeroporti di Bologna una precisa scelta ed assunto una precisa decisione di security nello sviluppo dell’Applicativo esclusivamente imputabile a quel Titolare del trattamento”;

- “ciò è tanto più confermato ove si legge nel provvedimento di avvio del procedimento sanzionatorio notificato da codesta spettabile Autorità alla Società che “è stato verificato che l’applicativo, esposto su rete Internet, non utilizza un protocollo di rete sicuro (quale il protocollo https) per il trasporto dei dati e codesta Società (Aeroporti di Bologna n.d.r.) ha sul punto rappresentato di aver avviato valutazioni circa “l’opportunità di mettere in atto tale misura a garanzia della riservatezza e dell’integrità dei dati trasmessi su rete pubblica” (cfr. verbale 2 aprile 2019, p. 3)”;

- “appare logico e giuridicamente fondato farne conseguire la conclusione che nessuna responsabilità omissiva né conseguenza sanzionatoria – per tutto quanto sopra dedotto e argomentato – è fondatamente imputabile alla Società aiComply S.r.l. per asserita violazione dell’articolo 32 RGPD sub specie mancata adozione nell’ambito dell’Applicativo di misure di sicurezza specifiche quale protocollo https o cifratura dei dati all’epoca dell’accertamento ispettivo”;

- “in primo luogo va ricordato che nessuna norma del RGPD vieta direttamente la condivisione di utenze e che ai sensi del combinato disposto degli articoli 5, comma 1, lettera (f) e 32, comma 1, del RGPD se una tale prassi possa rivelarsi non conforme a tali norme non può che essere l’esito di una precisa, approfondita e non automatica applicazione del principio di “integrità e riservatezza” da valutarsi alla luce “dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”;

- “in altri termini, non appare conforme al dettato normativo associare automaticamente alla verifica della condivisione dell’unica utenza non nominale “agicwhistle\spadmin” la circostanza che così facendo si renderebbe “possibile, a un soggetto non autorizzato, di operare, in assenza di una specifica volontà del titolare del trattamento, nell’ambito dei sistemi e servizi di trattamento” (cfr. par. 4.2, pag. 7 del provvedimento di avvio del procedimento)”;

- “l’utenza agicwhistle\spadmin – all’epoca delle risultanze ispettive – era effettivamente una utenza condivisa dai due amministratori di sistema autorizzati della Società e della società AGIC Technology S.r.l., tuttavia stante il fatto che: tale utenza era necessaria per amministrare la piattaforma Microsoft Sharepoint 2010 nel suo complesso, su cui si basa l’Applicativo; era necessaria per effettuare attività di installazione, amministrazione e manutenzione dell’intera piattaforma Microsoft Sharepoint 2010 (e non della singola applicazione); non poteva essere legata a un account personale di uno specifico amministratore di sistema (non disponendo tra l’altro all’epoca la Piattaforma SharePoint 2010 di Windows di opzioni multi-accesso)”;

- “dovendo inoltre anche considerare – ai sensi dell’art. 32, comma 1, RGPD – la natura, il contesto e le finalità, emerge che la condivisione della utenza agicwhistle\spadmin: 1. non ha mai previsto accessi concomitanti dei due amministratori; 2. la condivisione ha avuto la sola durata delle fasi di test e messa in produzione dell’Applicativo; 3. durante tali fasi era solo l’amministratore di sistema di AGIC Technology S.r.l. ad accedere per provvedere agli interventi nell’Applicativo di natura tecnica svolti esclusivamente dalla medesima AGIC Technology S.r.l., in possesso delle competenze necessarie; 4. dopo il go-live dell’Applicativo, l’utenza agicwhistle\spadmin è stata utilizzata esclusivamente dall’amministratore di sistema della aiComply S.r.l., a quel punto unica interfaccia del cliente per recepire eventuali richieste di intervento; 5. la condivisione (solo formale e nominativa) dell’utenza come sopra dettagliata in concreto e le diverse attività (cronologicamente sfasate nel tempo) svolte dai due amministratori di sistema in ogni caso non avrebbe potuto compor tare alcun “elevato e ingiustificato rischio per i diritti e le libertà degli interessati” come apoditticamente rappresentato nel provvedimento di codesta spettabile Autorità”;

- “se poi è ovviamente corretto l’assunto generale di codesta spettabile Autorità che “l’utilizzo di utenze non nominali, da parte di più soggetti, impedisce di attribuire le azioni compiute in un sistema informatico a un determinato soggetto, con pregiudizio, anche per il titolare e il responsabile del trattamento” (cfr. par. 4.2, pag. 6 del provvedimento di avvio del procedimento), appare senz’altro meno condivisibile ritenere che un tale impedimento avrebbe potuto verificarsi nel caso concreto, con due soli amministratori di sistema, con competenze tecniche e gestionali diverse, con accessi sfasati nel tempo e per lo svolgimento di attività di amministrazione completamente diverse tra di loro”;

- “aiComply S.r.l. ha nominato AGIC Technology S.r.l. (le due società sono parte del medesimo gruppo imprenditoriale) fornitrice di servizi di amministrazione dei sistemi in via generale e in relazione alle attività che vengono svolte in house e mediante accordi inter-company nell’ambito delle società del Gruppo AGIC. A1Tech S.r.l. è stata nominata invece Responsabile del trattamento e fornitrice di servizi di amministrazione dei sistemi (i relativi documenti sono in atti)”;

- “con specifico riferimento alla commessa Aeroporti di Bologna: 1. aiComply si avvale di A1Tech S.r.l., che svolge attività di gestione sistemistica dell’infrastruttura IT del servizio offerto ad Aeroporti di Bologna e nello svolgimento di tale attività tecnica non tratta dati personali di nessun tipo (e neanche potenzialmente ha accesso ai dati) venendo meno in tale caso l’obbligo di nomina a sub-responsabile del trattamento; 2. la Società si avvale di AGIC Technology S.r.l., che svolge principalmente attività di manutenzione e di assistenza specialistica sull’Applicativo. AGIC Technology S.r.l., è tra i primi Gold Partner Microsoft in Italia, con oltre 150 risorse certificate. Inoltre, le società del Gruppo AGIC hanno acquisito numerose certificazioni di qualità (come la ISO 9001:2015) e sono tutte sottoposte agli stringenti requisiti di compliance nella fornitura dei servizi ai clienti. Ne deriva che la ratio sostanziale dell’articolo 28 RGPD (responsabile e sub-responsabili che prestino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'interessato), al di là della appurata omissione formale dell’atto di nomina a sub-responsabile del trattamento può considerarsi perseguita e valutata nella dovuta prospettiva ai fini del presente procedimento”.

3. Esito dell’attività istruttoria.

La disciplina in materia di tutela del dipendente che segnala illeciti e la disciplina in materia di protezione dei dati personali (c.d. whistleblowing) – originariamente prevista solo per i soggetti pubblici (cfr. art. 54-bis del d.lgs. 30 marzo 2001, n. 165, introdotto dall’art. 1, comma 51, della l. n. 190/2012) – è stata integrata e modificata dalla l. 30 novembre 2017, n. 179 (“Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato”), che ha introdotto una nuova disciplina in materia di whistleblowing riferita ai soggetti privati, integrando la normativa in materia di “responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica” (cfr. art. 2, l. n. 179/2017 che ha aggiunto il comma 2-bis all’art. 6 del d.lgs. 8 giugno 2001, n. 231).

Il quadro normativo sopra richiamato prevede, più in generale, misure volte a proteggere la divulgazione dell’identità del segnalante, allo scopo di prevenire l’adozione di misure discriminatorie nei confronti dello stesso.

In questo ambito, i trattamenti di dati personali effettuati dai soggetti obbligati possono essere considerati necessari per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento (artt. 6, par. 1, lett. c), 9, par. 2, lett. b), e 10 del Regolamento).

Per tali ragioni, la disciplina di settore sopra richiamata, che prevede trattamenti dei dati del dipendente che segnala illeciti, deve essere considerata come una delle “norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” previste dall’art. 88, par. 1, del Regolamento (cfr. provv. 4 dicembre 2019, doc. web n. 9215763, parere del Garante sullo schema di "Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001 (c.d. whistleblowing)" di ANAC).

In generale, sebbene sul titolare del trattamento, che determina le finalità e le modalità del trattamento dei dati, ricada una “responsabilità generale” per i trattamenti posti in essere (v. art. 5, par. 2, c.d. “accountability”, e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8), e 28 del Regolamento), il Regolamento ha disciplinato gli obblighi e le altre forme di cooperazione a cui è tenuto il responsabile del trattamento e l’ambito delle relative responsabilità (v. artt. 30, 32, 33, par. 2, 82 e 83 del Regolamento).

Il responsabile del trattamento è legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a), del Regolamento) e il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile anche sotto il profilo della sicurezza dei dati e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare e del responsabile. Inoltre, il responsabile del trattamento deve assistere il titolare nel garantire il rispetto degli obblighi derivanti dalla disciplina di protezione dati, “tenendo conto della natura del trattamento” e dello specifico regime applicabile allo stesso (art. 28, par. 3, lett. f), del Regolamento).

In tale quadro, il responsabile non può ricorrere a un altro responsabile “senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento” e, in tal caso, “su tale altro responsabile del trattamento sono imposti […] gli stessi obblighi in materia di protezione dei dati, contenuti nel contratto o in altro atto giuridico tra il tritolare del trattamento e il responsabile del trattamento” (art. 28, parr. 2 e 4, del Regolamento).

Inoltre, l’art. 32 del Regolamento stabilisce che, non solo il titolare, ma anche il responsabile del trattamento, nell’ambito delle proprie competenze e dei compiti delegati dal titolare, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” metta in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” e che “nel valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.

3.1. Mancata designazione dei sub-responsabili del trattamento.

Ai fini del rispetto della normativa in materia di protezione dei dati personali occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (artt. 4, punti 7) e 8), 24, 28, 29 e 32, par. 4, del Regolamento e art. 2-quaterdecies del Codice).

Nel corso degli accertamenti è emerso che la Società si avvale di A1Tech S.r.l. (che svolge attività di gestione sistemistica dell’infrastruttura IT del servizio offerto ad AdB) e di Agic Technology S.r.l. (che svolge principalmente attività di manutenzione e di assistenza specialistica sull’applicativo) e che “nessuna delle predette società è stata designata sub-responsabile del trattamento che AiComply svolge per conto di AdB” (cfr. verbale XX, pp. 2 e 3). Peraltro, come emerso nel corso dell’istruttoria, AdB non ha ricevuto comunicazioni o richieste di autorizzazione da parte della Società in merito al coinvolgimento di tali soggetti e la loro nomina a sub-responsabile del trattamento (art. 28, parr. 2 e 4, del Regolamento).

Al riguardo, non può essere ritenuto condivisibile quanto dichiarato dalla Società in ordine al fatto che A1Tech S.r.l., nello svolgimento di attività di gestione sistemistica dell’infrastruttura IT, “non tratta dati personali di nessun tipo (e neanche potenzialmente ha accesso ai dati) venendo meno in tale caso l’obbligo di nomina a sub-responsabile del trattamento” e che “la ratio sostanziale dell’articolo 28 RGPD […], al di là della appurata omissione formale dell’atto di nomina a sub-responsabile del trattamento [di Agic Technology S.r.l.] può considerarsi perseguita” in considerazione delle garanzie presentate da tale soggetto per mettere in atto misure tecniche e organizzative adeguate (cfr. nota del XX), per le ragioni di seguito rappresentate.

In primo luogo, si ritiene che, stante la definizione di “trattamento di dati personali” (art. 4, punto 2), del Regolamento), anche lo svolgimento di gestione sistemistica dell’infrastruttura IT da parte di A1Tech S.r.l. (che in base alla documentazione contrattuale in atti include anche la gestione e manutenzione dei sistemi informatici della Società) comporta inevitabilmente trattamenti di dati personali riferiti agli utenti dell’applicativo “WB Confidential”, ospitato sull’infrastruttura IT della Società, e agli altri interessati i cui dati personali sono presenti all’interno delle segnalazioni di condotte illecite acquisite e gestite con tale applicativo (cfr., sul punto, anche il provv. 17 dicembre 2020, n. 281, doc. web n. 9525315).

A1Tech S.r.l., infatti, pur non accedendo direttamente ai dati personali trattati nell’ambito dell’applicativo in questione, effettua attività di “gestione e manutenzione ordinaria dei server nella sede di Roma”, al fine di “mantenere operativa l’infrastruttura (Hardware e Software) attraverso attività che assicurino continuità nella rimozione dei malfunzionamenti”, “assicurare il miglioramento tempestivo delle funzionalità e delle presentazioni”, “garantire l’evoluzione tecnico funzionale dell’infrastruttura Hardware e Software”, “fornire servizi di supporto per risolvere tempestivamente problemi relativi a malfunzioni ed errori”, nonché “assicurare l’aggiornamento periodico dell’infrastruttura, attraverso il miglioramento della funzionalità, dell’affidabilità e dell’efficienza” (cfr. all. 5 al verbale del XX, pp. 2 e 4). Nell’esecuzione delle predette attività, A1Tech S.r.l. ha accesso ai sistemi di trattamento della Società (compreso quello che ospita l’applicativo in questione) con profilo di amministratore di sistema, assicurando determinati livelli di servizio in termini di disponibilità e di sicurezza degli stessi sistemi e mettendo a disposizione della Società una serie di strumenti per monitorare lo stato dell’infrastruttura IT.

Sulla base degli elementi sopra riportati, deve quindi ritenersi che, contrariamente a quanto sostenuto dalla Società, le operazioni sopra descritte diano comunque luogo a un trattamento di dati personali ai sensi dell’art. 4, punto 2), del Regolamento, anche da parte di A1Tech S.r.l. (cfr. anche le “Linee guida sui concetti di titolare del trattamento e responsabile del trattamento nel RGPD”, recentemente adottate dal Comitato europeo per la protezione dei dati personali e attualmente oggetto di consultazione pubblica).

In secondo luogo, si evidenzia che, coerentemente con quanto previsto dall’art. 28, par. 2, del Regolamento, nell’atto di designazione della Società a responsabile del trattamento da parte di AdB (cfr. all. 10 al verbale delle operazioni compiute del XX, par. 10.2) era espressamente previsto che, ove la Società avesse voluto ricorrere ad altri responsabili per lo svolgimento di determinate attività connesse al trattamento (nel caso di specie a A1Tech S.r.l. e Agic Technology S.r.l.), la stessa avrebbe dovuto informare il titolare del trattamento per consentire allo stesso di manifestare la sua eventuale opposizione in proposito. Tale previsione è, infatti, funzionale ad assicurare che il titolare del trattamento abbia sempre il pieno controllo dei trattamenti che vengono effettuati per suo conto, potendo, se del caso, opporsi tanto alla possibilità stessa di ricorrere ad “altri responsabili del trattamento”, quanto all’individuazione di tali soggetti come effettuata dal “responsabile iniziale” (cfr. art. 28, parr. 2 e 4, del Regolamento; con riguardo agli specifici rischi derivanti dalla mancata regolamentazione del rapporto, ai sensi dell’art. 28 del Regolamento, con i soggetti che trattano i dati per conto e nell’interesse del titolare del trattamento, provv. 17 settembre 2020, nn. 160 e 161, doc. web nn. 9461168 e 9461321; v. anche provv. XX, n. 49, doc. web n. 9562852, nonché provv. 17 dicembre 2020, nn. 280, 281 e 282, doc. web nn. 9524175, 9525315 e 9525337).

Per tali ragioni, si deve concludere che il ricorso da parte della Società ai servizi offerti da A1Tech S.r.l. e Agic Technology S.r.l. – in assenza di un contratto o altro atto giuridico che disciplinasse il trattamento di dati personali da parte di quest’ultime, e senza la previa autorizzazione del titolare del trattamento – sia avvenuto in violazione dell’art. 28, parr. 2 e 4, del Regolamento.

3.2. La sicurezza del trattamento.

Preliminarmente, si rileva che, nel corso dell’istruttoria, è emerso che l’accesso all’applicativo “WB Confidential” per l’acquisizione e la gestione delle segnalazioni di illeciti avveniva mediante il protocollo http (hypertext transfer protocol) e che lo stesso applicativo non prevedeva la cifratura dei dati personali (dati identificativi del segnalante, informazioni relative alla segnalazione nonché eventuale documentazione allegata) conservati nel relativo database.

Dall’esame della documentazione da ultimo prodotta in allegato alla memoria difensiva, è risultato, tuttavia, che “è stata una precisa scelta economica e contrattuale di Aeroporti di Bologna quella di indicare alla Società di procedere allo sviluppo dell’Applicativo senza adottare [… tali] misure di sicurezza”, come comprovato anche dall’offerta tecnico-economica di “Fornitura e supporto operativo per l’implementazione di un applicativo per la gestione centralizzata delle segnalazioni (whistleblowing)” del 31 agosto 2015 e dal relativo contratto di fornitura del 14 settembre 2015 (v. all. 2 e 3 alla nota del XX). Per tali ragioni, il mancato utilizzo di strumenti di crittografia per il trasporto e la conservazione dei dati, comunque non conforme alle disposizioni di cui all’art. 32 del Regolamento, non può ritenersi imputabile in concreto alla Società.

Nel corso dell’istruttoria è emerso altresì che, ancorché autorizzati al trattamento, due soggetti operanti sotto l’autorità della Società e di Agic Technology S.r.l. (art. 29 del Regolamento) utilizzavano un’unica utenza non nominale (denominata “agicwhistle\spadmin”), con profilo di amministratore di sistema, per l’accesso all’applicativo “WB Confidential”.

Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, che comporta l’acquisizione e la gestione delle segnalazioni di condotte illecite, che possono contenere al proprio interno dati personali – appartenenti anche a categorie particolari o relativi a condanne penali e reati (artt. 9, par. 1, e 10 del Regolamento) – riferiti o riferibili al segnalante, al soggetto segnalato o a terzi comunque coinvolti nei fatti segnalati, si ritiene che le predette modalità di accesso all’applicativo “WB Confidential” non risultano adeguate sotto il profilo della sicurezza.

Al riguardo, non può infatti essere ritenuto pertinente quanto dichiarato dalla Società in ordine al fatto che “nessuna norma del RGPD vieta direttamente la condivisione di utenze” e che “la condivisione (solo formale e nominativa) dell’utenza come sopra dettagliata in concreto e le diverse attività (cronologicamente sfasate nel tempo) svolte dai due amministratori di sistema in ogni caso non avrebbe potuto comportare alcun “elevato e ingiustificato rischio per i diritti e le libertà degli interessati””. Con riguardo a tale ultimo profilo, la Società ha rappresentato che non sono stati effettuati “accessi concomitanti dei due amministratori” e che “la condivisione ha avuto la sola durata delle fasi di test e messa in produzione dell’Applicativo” (cfr. nota del XX). Tali argomentazioni difensive non possono essere ritenute rilevanti per le ragioni di seguito rappresentate.

Nel rilevare che, anche successivamente alle fasi di test e di messa in produzione dell’applicativo, la password della predetta utenza, non essendo stata modificata, era nella piena disponibilità del soggetto che l’aveva utilizzata in tali fasi (cfr. verbale del XX, p. 6, ove è riportato che “l’applicativo non prevede una modifica obbligatoria della password dell’account denominato “agicwhistle\spadmin” allo scadere di un determinato periodo temporale” e che “la modifica della relativa password è sconsigliata in quanto potrebbe causare malfunzionamenti dell’applicativo e interruzione nella continuità del servizio”), si osserva che l’utilizzo di utenze non nominali, da parte di più soggetti, impedisce di attribuire le azioni compiute in un sistema informatico a un determinato soggetto, con pregiudizio, anche per il titolare e il responsabile del trattamento, che sono di fatto privati della possibilità di controllare l’operato dei soggetti che agiscono sotto la propria autorità.

Inoltre, allorquando un’utenza non nominale con privilegi amministrativi, come quella in questione, venga utilizzata da più soggetti, possono determinarsi situazioni in cui non c’è coerenza tra i profili di autorizzazione attribuiti e le effettive esigenze di operatività per la gestione dei sistemi, rendendo così possibile, a un soggetto non autorizzato, di operare, in assenza di una specifica volontà del titolare o del responsabile del trattamento, nell’ambito dei sistemi e servizi di trattamento (sotto questo specifico profilo, v. provv. del 4 aprile 2019, n. 83, doc. web n. 9101974, e del 14 gennaio 2021, n. 4, doc. web n. 9582744). Più in generale, sebbene stando a quanto dichiarato dalla Società l’utenza in questione sarebbe stata utilizzata in momenti distinti dai due amministratori di sistema, tale circostanza non esclude che l’accertata condivisione di tale utenza possa aver dato o dare luogo ad accessi non autorizzati ai dati trattati nell’ambito dell’applicativo “WB Confidential”, in modo non conforme al principio di integrità e riservatezza e agli obblighi in materia di sicurezza del trattamento.

Peraltro, l’utilizzo di “credenziali di autenticazione in uso esclusivo dei soggetti che operano sotto la sua autorità o quella del responsabile del trattamento” nel regime normativo previgente era espressamente prevista quale misura minima di sicurezza alla cui adozione erano tenuti tutti i titolari di trattamento (ai sensi del disciplinare tecnico di cui all’allegato B al Codice, nel testo anteriore alle modifiche di cui al d.lgs. n. 101/2018), la cui violazione comportava anche l’applicazione di una sanzione penale (art. 169 del previgente Codice).

Oltre ai profili precedentemente evidenziati, è emerso che l’interfaccia di gestione amministrativa dell’applicativo in questione era accessibile da rete pubblica, con una procedura di autenticazione informatica debole (a un solo fattore) e senza alcun meccanismo di blocco automatico dell’utenza “agicwhistle\spadmin”, in caso di ripetuti tentativi di autenticazione falliti. Tali modalità di accesso all’applicativo, comportano un elevato e ingiustificato rischio per i diritti e le libertà degli interessati, in considerazione delle gravi conseguenze, anche in termini di possibile discriminazione o comportamenti ritorsivi nei confronti del segnalante, che potrebbero derivare da eventuali accessi non autorizzati ai dati in esso contenuti.

Per tali ragioni, considerato che il Regolamento ha disciplinato gli obblighi e le specifiche responsabilità non solo del titolare, ma anche del responsabile del trattamento, anche con riguardo alla sicurezza del trattamento (v. artt. 32 e 83, par. 4, del Regolamento), le modalità di accesso all’applicativo “WB Confidential”, con le caratteristiche sopra descritte, non risultano conformi alle disposizioni di cui all’art. 32 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal responsabile del trattamento negli scritti difensivi ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione e indicative della piena collaborazione del responsabile del trattamento al fine di attenuare i rischi del trattamento, rispetto alla situazione presente all’atto dell’avvio dell’istruttoria, non consentono tuttavia di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano quindi insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per la determinazione della norma applicabile, sotto il profilo temporale, deve essere richiamato, in particolare, il principio di legalità di cui all’art. 1, comma 2, della l. n. 689/1981, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati. Ciò determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione, che – data la natura permanente degli illeciti contestati – risulta tuttora in corso. Pertanto, si ritiene che il Regolamento e il Codice costituiscano la normativa alla luce della quale valutare i trattamenti in questione.

Si confermano pertanto le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Società in quanto esso è avvenuto in assenza di un contratto o altro atto giuridico che disciplinasse il trattamento di dati personali da parte di altre due società, e senza la previa autorizzazione del titolare del trattamento, in violazione dell’art. 28 del Regolamento, nonché in assenza di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, in violazione dell’art. 32 del Regolamento.

La violazione delle predette disposizioni rende inoltre applicabile la sanzione amministrativa ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 4, del Regolamento.

5. Misure correttive (art. 58, par. 2, lett. d), del Regolamento).

Considerato che, allo stato, la Società non ha comprovato di aver provveduto a regolamentare il rapporto con le società A1Tech S.r.l. e Agic Technology S.r.l., acquisendo previamente l’autorizzazione del titolare del trattamento, né ha fornito evidenze in merito all’adozione di misure tecniche e organizzative volte ad assicurare adeguate modalità di accesso all’applicativo “WB confidential” da parte del personale autorizzato operante sotto l’autorità del responsabile iniziale e di altri responsabili del trattamento, risulta necessario ingiungere alla Società, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di conformare i trattamenti alle disposizioni in materia di protezione dei dati personali (artt. 28, parr. 2 e 4, e 32 del Regolamento), entro trenta giorni dalla notifica del presente provvedimento.

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, la Società dovrà, inoltre, provvedere a comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese per assicurare la conformità del trattamento al Regolamento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Ai fini dell’applicazione della sanzione sono stati considerati la natura, l’oggetto e la finalità del trattamento la cui disciplina di settore prevede, a tutela dell’interessato, un elevato grado di riservatezza con specifico riguardo all’identità dello stesso e la circostanza che, con specifico riguardo alle modalità di accesso all’applicativo in questione, già nel quadro normativo previgente, la condivisione di credenziali di autenticazione tra più soggetti autorizzati era ritenuta illecita (cfr. spec. regola n. 4 del disciplinare tecnico di cui all’allegato B al Codice, nel testo anteriore alle modifiche di cui al d.lgs. n. 101/2018).

Di contro, è stato considerato che il trattamento ha, in concreto, riguardato un numero esiguo di interessati (tra soggetti segnalati e segnalanti) in ragione del limitato numero di segnalazioni presenti nell’applicativo utilizzato per l’acquisizione e la gestione delle segnalazioni di condotte illecite.

Non risultano, inoltre, precedenti violazioni commesse dal responsabile del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso, tenendo anche conto della fase di prima applicazione delle disposizioni sanzionatorie, ai sensi dell’art. 22, comma 13, del d. lgs. 10 agosto 2018, n. 101, si ritiene di determinare l’ammontare della sanzione pecuniaria, nella misura di euro 20.000,00 (ventimila) per la violazione degli artt. 28 e 32 del Regolamento.

Tenuto conto della particolare delicatezza dei dati illecitamente trattati, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rileva l’illiceità del trattamento effettuato da aiComply S.r.l. per la violazione degli artt. 28 e 32 del Regolamento, nei termini di cui in motivazione;

ORDINA

ad aiComply S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Roma, via Castel Giubileo n. 62, C.F./P.IVA 10900531004, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 4, del Regolamento, di pagare la somma di 20.000,00 (ventimila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

ad aiComply S.r.l.:

a) di pagare la somma di euro 20.000,00 (ventimila) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di conformare i trattamenti alle disposizioni in materia di protezione dei dati personali (artt. 28, parr. 2 e 4, e 32 del Regolamento), entro trenta giorni dalla notifica del presente provvedimento;

c) ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese per assicurare la conformità del trattamento al Regolamento;

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice;

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 giugno 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei