[doc. web n. 9921184]

Provvedimento del 8 giugno 2023

Registro dei provvedimenti
n. 337 dell'8 giugno 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE-Regolamento generale sulla protezione dei dati (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali “ (di seguito “Codice”);

VISTO il d.lgs. 6 settembre 1989, n. 322, recante le “Norme sul Sistema statistico nazionale e sulla riorganizzazione dell’Istituto nazionale di statistica” e in particolare, l’art. 6-bis del medesimo decreto;

VISTE le “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale”, Allegato A.4 al Codice (di seguito “Regole deontologiche”) e in particolare, gli artt. 4-bis e 6, comma 2, delle medesime Regole deontologiche;

VISTO il provvedimento del 23 gennaio 2020, con cui il Garante ha completato il processo di autorizzazione dei trattamenti di dati personali necessari alla realizzazione del censimento permanente (doc. web 9261093)

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it  doc. web n. 1098801;

RELATORE l’avv. Guido Scorza

PREMESSO

1. Premessa

L’Ufficio, in forza dell’ordine di servizio n. XX, nota del XX, nei giorni XX, ha effettuato degli accertamenti ispettivi ai sensi dell’art. 58, par. 1, lett. a), e) ed f) del Regolamento e degli artt. 157 e 158 Codice, nonché ai sensi degli artt. 21 e 22 del Regolamento n. 1/2019 del Garante per la protezione dei dati personali (G.U. n. 106 dell’8 maggio 2019), presso l’Istituto Nazionale di Statistica (di seguito “Istat” o “Istituto”), al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con specifico riferimento alle modalità di implementazione delle misure di cui al Provvedimento adottato dal Garante per la protezione dei dati personali n. 10 del 23 gennaio 2020” (doc. web 9261093).

Con tale provvedimento l’Autorità ha completato il processo di autorizzazione dei trattamenti di dati personali necessari alla realizzazione del censimento permanente, prescrivendo all’Istat, tra le altre cose, di adottare tecniche di pseudonimizzazione idonee ad assicurare l’efficace attuazione dei principi di protezione dei dati personali, in particolare, di minimizzazione, di limitazione della finalità e della conservazione, in conformità agli obblighi di privacy by design e by default (artt. 5, par. 2, lett. b), c) ed e) e 25 del Regolamento).

Nel richiamato provvedimento, il Garante ha, tra le altre cose, evidenziato specifiche criticità in relazione all’attribuzione di un codice univoco che identifica l’individuo nelle diverse banche dati dell’Istat e ha quindi prescritto all’Istat di introdurre un meccanismo di disaccoppiamento gerarchico di codici pseudonimizzati nelle varie basi di dati e di rotazione degli stessi nel tempo.

Tale misura consente infatti di raggiungere un duplice obiettivo: da una parte, rendere efficace l’applicazione dei sopra richiamati principi, in quanto ciascun codice pseudonimo, impiegato nelle singole rilevazioni, non potrebbe essere direttamente ricongiunto a codici utilizzati in altre rilevazioni né avere una durata superiore al tempo di conservazione dei dati previsto per ciascun lavoro statistico; dall’altra, rendere comunque possibile la creazione di domini di integrazione, ossia l’interconnessione di più tabelle nei casi in cui ciò costituisca lo scopo istituzionale della rilevazione e sia consentito dalla legge.

Con la nota del XX (prot. n. XX) e relativa documentazione tecnica allegata, l’Istituto ha rappresentato un articolato piano di evoluzione del SIM (Sistema di Integrazione dei Microdati), di durata pluriennale, che, seppur atto a rafforzare i profili di sicurezza dei trattamenti, non aveva colto compiutamente le esigenze di disaccoppiamento e rotazione di codici pseudonimi espresse nel provvedimento.

Facendo seguito a numerose interlocuzioni informali con l’Ufficio del Garante, l’Istituto, in data XX, in ottemperanza al richiamato provvedimento, ha trasmesso al Garante una nuova versione del documento denominato “Soluzioni tecnologiche ed organizzative per realizzare la piena compliance del Sistema di Integrazione dei Microdati (SIM)”.

Nel considerare ottemperate le prescrizioni del richiamato provvedimento, con nota del XX, prot. n. XX, è stato rilevato come le soluzioni prospettate risultassero particolarmente articolate e complesse e in taluni passaggi non prive di questioni potenzialmente critiche per le quali sono stati ritenuti necessari ulteriori e specifici approfondimenti.

L’Istituto è stato quindi invitato a continuare a rappresentare all’Autorità le soluzioni che in concreto saranno, di volta in volta, previste per completare l’attuazione del programma presentato, condividendosi l’esigenza di proseguire, in linea con i compiti propri di ciascuna istituzione, nella fattiva collaborazione sin da subito intrapresa, affinché venga in concreto assicurato il rispetto dei principi applicabili al trattamento dei dati personali nel delicato settore della statistica pubblica.

Con note del XX (prot. n. XX) e del XX (prot. n. XX), l’Istat ha fornito aggiornamenti sullo stato di avanzamento del lavoro di implementazione delle modifiche al SIM, così come prescritte dal Garante nel richiamato provvedimento.

Cionondimeno, tenuto anche conto della complessità del progetto e della difficoltà a rappresentare per iscritto in maniera completa ed efficace le attività effettivamente svolte anche da un punto di vista tecnologico, l’Ufficio ha disposto il richiamato accertamento ispettivo.

2. L’attività ispettiva svolta

2.1. Accertamenti ispettivi

Nella giornata del XX si è svolta l’iniziativa ispettiva nel corso della quale l’Istituto ha illustrato le attività svolte dall’Ente a seguito del predetto provvedimento, iniziando da una rappresentazione, documentata in loco, delle modalità di classificazione delle fonti dei dati personali acquisite dall’Istituto al fine di mappare in modo completo ed esaustivo tutte le variabili in esse presenti.

2.2 La Classificazione dei dati

L’Istat ha rappresentato di avere implementato la classificazione di alcune fonti amministrative esterne, es. banche dati INPS, e di alcuni archivi interni prodotti in precedenti lavori statistici, tenendo conto dei rischi per i diritti e le libertà fondamentali correlati ai trattamenti dei dati personali in esame.

Sul punto, è stato ulteriormente precisato che la tassonomia dei dati impiegati nelle distinte classi, che riguarda non solo le variabili ma anche le unità statistiche (persone fisiche o persone giuridiche), è definibile sia ex ante, ossia in modo esaustivo e applicabile a ogni situazione futura, che ex post, ossia variabile ogni volta, di caso in caso, e che l’Istituto si sta muovendo verso uno schema ex ante creando una prima classificazione delle fonti attualmente applicabile al registro delle disabilità che progressivamente riguarderà tutte le variabili contenute nei diversi registri.

È inoltre emerso che le variabili utilizzate per la classificazione vengono distinte in “dati identificativi”, quali ad esempio, dati di localizzazione (residenza), dati di contatto (telefono), altri dati identificativi (targa automezzo) oppure “dati tematici” quali, ad esempio, variabili riferite all’istruzione/formazione, reddito, lavoro, famiglia, stile di vita, e “dati tematici sensibili”. Al riguardo, è stato precisato che, con riferimento alle variabili tematiche di natura sensibile, al momento vi è solo una classificazione generale riconducibile alle categorie particolari di dati personali, di cui all’art. 9 del Regolamento. Non vi è un secondo livello gerarchico ma in futuro potrebbe essere prevista anche una classificazione in tal senso (orientamento sessuale, salute e disabilità). Il numero delle variabili tematiche è molto numeroso quelle identificative sono più contenute. Tale classificazione riguarda sia le fonti esterne che quelle interne di input prodotte da altri lavori statistici. Il processo di classificazione al momento è manuale e tale attività è stata svolta soltanto sul registro disabilità. Circa un quarto delle fonti amministrative esterne e di input sarà completato entro la fine del 2022. Entro il 2023 tale attività verrà completata per il 90% delle fonti interne e esterne.

La classificazione delle variabili sarà strumentale non solo alla corretta applicazione del provvedimento sopra citato ma consente altresì di migliorare la qualità del registro dei trattamenti (art. 30 del Regolamento), le misure organizzative interne relative ai profili di autorizzazione nonché la compilazione delle schede del PSN e l’implementazione delle misure di sicurezza, favorendo l’automazione dei processi e riducendo i margini di errore. La classificazione introdotta consente di applicare misure tecniche e organizzative diverse in ragione della tipologia dei dati. In particolare, i dati identificativi potranno essere separati dal resto del tracciato record (come previsto nella definizione di pseudonimizzazione), mentre per i dati sensibili sarà possibile applicare, in base al risk assessment, specifiche misure di sicurezza, tra cui, la crittografia.

L’Istat si è impegnato a produrre un documento che illustri quali misure sono state implementate o intende implementare rispetto alle classificazioni già effettuate. A tale riguardo, si evidenzia che in data XX l’Istat ha trasmesso un ulteriore documento sullo stato di avanzamento dei lavori sul SIM (prot. n. 18647288), che tuttavia non reca specifiche indicazioni in ordine alla classificazione dei dati.

2.3. Dominio specifico di integrazione

La creazione di domini specifici di integrazione costituisce l’architrave delle misure indicate dall’Istituto per dare attuazione al richiamato provvedimento del Garante con particolare riferimento alla pseudonimizzazione dei dati. Con nota del XX, l’Istituto ha dichiarato di avere “già avviato, nell'ambito del sistema attualmente in uso, le procedure finalizzate alla realizzazione dei domini specifici di integrazione per i trattamenti dei dati personali relativi ai lavori statistici: IST-02742 “Registro del lavoro”; IST-02634 “Registro esteso dell’occupazione nelle imprese (Asia occupazione)”; IST-01382 “Registro Annuale su retribuzioni, ore e Costo del Lavoro Individuale – RACLI”; e IST-02645 “Quantificazione delle popolazioni in ambiti territoriali potenzialmente a rischio”.

A tale riguardo, in sede ispettiva, l’Istat ha chiarito che per “dominio specifico di integrazione” si intende il luogo dove sono presenti i dati necessari per il perseguimento di una determinata finalità statistica. In sostanza, si tratta di una estrazione di un sottoinsieme di informazioni della tabella master con i tracciati record individuali sulla base di specifici criteri di selezione. La fase di creazione di un dominio di integrazione si sostanzia in una richiesta formale avanzata dai direttori a ciò deputati in cui si inseriscono specifici elementi quali: presupposti di liceità del trattamento (ad es. PSN), scopo – finalità statistica, contenuti informativi necessari e termine entro cui la finalità statistica deve essere perseguita. Al fine di garantire che i domini di integrazione siano indipendenti/autonomi gli uni dagli altri è prevista una pseudonimizzazione gerarchica.

In via preliminare, quando i dati vengono acquisiti da Istat, il sistema prevede l’assegnazione di uno pseudonimo universale. Tale pseudonimo (SIM) viene tradotto con una funzione crittografica in diversi pseudonimi validi nei diversi domini di integrazione. Una specifica unica chiave di codifica è assegnata ad ogni dominio specifico di integrazione (di seguito DSI), e ciascun dominio ha una chiave di codifica diversa. Nell’attuale fase di sperimentazione l’istanza formulata dai singoli statistici (analisti) è trasmessa ai direttori centrali competenti che la approvano, valutando la pertinenza e non eccedenza dei dati richiesti rispetto alle finalità statistiche e tenendo conto delle metodologie attualmente utilizzate. In altri termini, l’applicazione del principio di minimizzazione è lasciata, in relazione a questa operazione di trattamento, alle valutazioni dei direttori e quindi a mere misure organizzative.

Tuttavia è stato precisato che, a tali misure organizzative, sono affiancate specifiche misure di sicurezza. Il nuovo sistema infatti prevede dettagliate misure di “logging” volte a tracciare in ogni momento ciò che viene effettuato sui sistemi, anche al fine di far emergere eventuali anomalie (criticità) come “singolarità” - “unicità” di record. In caso di anomalia, l’archivio viene posto in una condizione di “quarantena” per consentire l’analisi delle criticità.

L’Istituto ha dato atto che al momento il sistema, per impostazione predefinita, non effettua alcun controllo sul criterio di estrazione dei dati. Esso è comunque potenzialmente in grado di segnalare la presenza di criticità (singolarità), ma è rimessa all’analista la decisione in ordine alla tollerabilità delle stesse. In tal modo, l’analista, allo stato, previa autorizzazione del direttore competente, può comunque procedere con la creazione del DSI.

L’Istat ha precisato, inoltre, che allo stato non è prevista per impostazione predefinita alcuna misura tecnica volta ad assicurare garanzie al riguardo (automatismi per individuare singolarità ovvero altre criticità), impegnandosi a rendere nota all’Autorità ogni valutazione.

2.4. La pseudonimizzazione dei dati

La pseudonimizzazione gerarchica delle unità statistiche costituisce l’insieme delle misure tecniche e organizzative indicate dall’Istituto per dare attuazione al citato provvedimento dell’Autorità al fine di garantire che i domini di integrazione siano indipendenti/autonomi gli uni dagli altri.

Nel descrivere l’attuale sistema e le evoluzioni realizzate con la sperimentazione in corso, l’Istat ha ribadito che quando un singolo interessato viene inserito nel sistema, riceve uno pseudonimo universale o master (SIM). Si tratta di un codice numerico progressivo (un numero sequenziale) e che tale aspetto è in fase di modifica. Al momento sono stati creati circa 110 milioni di codici individuali. All’interno dei singoli DSI, ciascun SIM viene trasformato in un nuovo codice univoco. Per questo passaggio, all’interno di ogni DSI è utilizzata una chiave unica di codifica. Il risultato è univoco e irreversibile da un punto di vista crittografico. Viene però conservata l’associazione tra SIM e codice che consente, se vi è necessità, di ricongiungere il codice al SIM originario. L’Istituto sta valutando la possibilità di introdurre diverse chiavi di codifica assegnate a ciascuno pseudonimo contenuto in uno stesso DSI.

Con specifico riferimento al periodo di validità della codifica degli pseudonimi e del dominio stesso, è stato dichiarato che il dominio ha una sua durata predefinita, al termine della quale cessa di esistere così come tutti gli pseudonimi che fanno parte del medesimo dominio. Anche la chiave di codifica a quel punto cessa di esistere.

Nella giornata del XX, nel corso dell’ispezione è stato richiesto di poter accedere ai sistemi informatici, in particolare al Registro disabilità sul quale l’Ente ha dichiarato di aver implementato in via sperimentale le misure di cui al provvedimento n. 10 del 23 gennaio 2020. Nello specifico, è stato chiesto di verificare l’intero processo dal momento in cui il dato personale riferito all’unità statistica entra nei sistemi ISTAT per la generazione del codice SIM master e, a seguire, come viene generato il successivo nuovo codice pseudonimo nel DSI. La sperimentazione del DSI relativo al Registro disabilità è stata realizzata utilizzando l’attuale piattaforma SIM.

Con riguardo all’indicizzazione delle unità statistiche, ossia dalla fase preliminare all’analisi statistica vera e propria, necessaria ad accertare l’univocità dei record trattati, è stato precisato che la piattaforma provvede al calcolo di un codice hash ottenuto esclusivamente dalle variabili attinenti alla classe dei dati identificativi (cfr. verbale del XX). In ragione della ridotta porzione di dati considerati nel calcolo dell’hash, questa operazione allo stato consente di verificare l’univocità desiderata, purché tali dati, già in fase di raccolta, siano a loro volta effettivamente univoci.

Poste tali premesse, l’Istituto ha confermato che in caso di incidente di sicurezza, anche su una sola unità statistica (nota la sintassi del dato), la compromissione della banca dati sarebbe totale, aggiungendo che, verificata la sostenibilità economica della misura, il progetto venturo potrebbe prevedere una riflessione su misure di sicurezza ulteriori volte a scongiurare questo rischio e che l’introduzione di un salt differente per ogni singola unità statistica è tra le opzioni attualmente considerate.

È stato precisato che l’attribuzione dell’hash non coincide con l’attribuzione del codice SIM master o dello pseudonimo nel DSI. Esso ha una valenza meramente operativa, dal momento che l’hash è unicamente impiegato per verifiche di consistenza, ovvero è utilizzato per confermare l’esattezza dei dati inseriti attraverso il confronto con unità statistiche già presenti nelle basi dati che andranno a comporre il dominio di integrazione. Per il registro disabilità l’Istituto ha deciso di rinunciare al trattamento di unità statistiche nuove e non ancora censite. Pertanto, se dalla verifica di consistenza effettuata tramite hash dovesse risultare che un determinato interessato non è mai stato censito esso non verrà inserito nel registro. Cionondimeno, nonostante tale proposito, nella pratica l’hash non è usato per tale controllo di consistenza in quanto la verifica della presenza dell’unità statistica avviene in modo “tradizionale” attraverso il confronto degli identificativi diretti. Quindi l’hash (nell’ambito della sperimentazione che ha ad oggetto il Registro disabilità – Ist-02748) è attribuito, allo stato, unicamente per una eventuale verifica di univocità dei record trattati a vantaggio della qualità del dato.

L’Istituto ha rappresentato che, in relazione al Registro disabilità, i dati identificativi “PD_ID_DS” sono separati da quelli tematici sensibili “PD_Tem_DS”. Ai dati sensibili contenuti in questo dominio è applicata la misura di cifratura denominata “Transparent_data_encryption” (con protocollo AES_256 con salt) che rende i dati non intellegibili a chi non è autorizzato ad accedervi. A tale proposito è stato specificato che dati sensibili e identificativi non sono stati fisicamente separati, ma unicamente su un piano logico, e che sono collocati su una medesima “macchina” il cui accesso avviene attraverso due livelli di password associate a due diverse utenze.

L’assegnazione del codice master (SIM) avviene attraverso una procedura di verifica, detta di record linkage, rispetto alla presenza di un codice progressivo preesistente per le unità statistiche già censite nel Registro. Per le unità non censite, anche se la procedura consentirebbe la generazione di un nuovo codice progressivo, non si provvede a tale generazione.

A tal proposito è stato rappresentato dall’Istituto che in fase sperimentale è stato creato un unico DSI riguardante il Registro disabilità, che allo stato contiene le seguenti banche dati (Registro Base Individui, Archivio INPS delle certificazioni di invalidità, Registro dei beneficiari di trattamenti pensionistici relativi alla disabilità).

La circostanza che sia stato realizzato un solo dominio di integrazione sperimentale, non ha reso possibile visionare, nel corso dell’ispezione, la procedura che dovrebbe consentire di verificare che due pseudonimi differenti contenuti in due diversi DSI si riferiscano eventualmente alla medesima unità statistica.

2.5. Ulteriore documentazione inviata

Con nota del XX (prot. n. XX), successivamente al richiamato accertamento ispettivo, l’Istituto ha inviato ulteriore documentazione volta ad aggiornare questa Autorità sullo stato di avanzamento dei lavori sul SIM riferito al periodo luglio – ottobre 2022.

Preliminarmente, l’Istat ha ribadito che avrebbe rispettato l’impegno preso “di provvedere entro il 31/12/2022 all’adozione di adeguate misure di pseudonimizzazione in ottemperanza al provvedimento n. 10 del 23/01/2020 per i lavori statistici IST-02742 “Registro del lavoro”; IST-02634 “Registro esteso dell’occupazione nelle imprese (Asia occupazione)”; IST-01382 “Registro Annuale su retribuzioni, ore e Costo del Lavoro Individuale – RACLI”; IST-02645 “Quantificazione delle popolazioni in ambiti territoriali potenzialmente a rischio”, ritenendo “di riuscire in tempi brevi a dare concretezza ed effettività, per i suddetti lavori statistici, alle nuove misure di pseudonimizzazione delineate nel citato documento, almeno per ciò che riguarda i seguenti aspetti:

a. Classificazione dei dati, contenuti nelle fonti amministrative acquisite dall’esterno o nei prodotti di altri lavori statistici, previsti come input per le finalità statistiche dei suddetti lavori.

b. Popolamento dei domini primari di integrazione in funzione della classificazione dei dati, attraverso delle procedure di migrazione dei dati già presenti nel sistema attuale ai nuovi schemi opportunamente strutturati.

c. Rilascio di un’interfaccia utente per la gestione delle richieste di dati da parte degli utilizzatori. L’utilizzo di tale interfaccia dovrà produrre: i) un documento pdf da mettere alla firma del/i direttore/i competente/i per le necessarie autorizzazioni; ii) i metadati che documentano l’intero insieme dei contenuti informativi da inserire nel dominio specifico di integrazione e che permettano la gestione automatica del rilascio dei dati nel dominio.

d. Rilascio di una procedura che a valle della richiesta e delle relative autorizzazioni possa procedere automaticamente al rilascio dei dati richiesti nel dominio specifico di integrazione”.

A tale riguardo, l’Istituto ha altresì dichiarato che:

nel realizzare quanto sopra terrà in debita considerazione le “osservazioni emerse nel corso dell’ispezione in merito alla robustezza e alla coerenza delle codifiche crittografiche adottate per il ricongiungimento dei dati tematici agli pseudonimi universali tra i diversi domini primari (punto b) e per la generazione degli pseudonimi di dominio a partire da quelli universali con il requisito di reversibilità gerarchica (punto d)”;

“sulla scorta delle osservazioni emerse in corso di ispezione, la lista dei requisiti funzionali per la versione definitiva è stata integrata al fine di perfezionare l’approccio di privacy by default in fase di gestione della richiesta dei contenuti informativi da inserire nel dominio specifico: i) pre-definizione di trasformazioni di variabili che riducano il potenziale identificativo delle variabili originarie (e.g. “anno nascita” in luogo di “data nascita”); ii) individuazione di metodi per la quantificazione delle “singolarità” nei dati richiesti e per il riconoscimento delle variabili maggiormente responsabili di tali singolarità”.

L’Istat ha inoltre allegato alla nota sopra richiamata il cronoprogramma aggiornato sullo stato di avanzamento dei lavori e un documento denominato “XX”.

3. Le violazioni contestate

Sulla base degli elementi acquisiti nell'ambito dell’istruttoria e dell’attività ispettiva svolte, l’Ufficio- con atto del XX (prot. n. XX), che qui deve intendersi integralmente riprodotto- ha avviato, ai sensi dell’art. 166, comma 5 del Codice, con riferimento alle specifiche situazioni di illiceità in esso richiamate, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento, nei confronti di Istat, invitandola a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentita dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, l. n. 689 del 24 novembre 1981).

In particolare, con il predetto atto l’Ufficio ha notificato all’Istituto che sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività ispettiva e istruttoria, nonché delle successive valutazioni, risulta accertato che i trattamenti di dati personali svolti nell’ambito del DSI relativo al Registro disabilità – Ist-02748 sono stati effettuati in violazione degli artt. 5, par. 2, 24, 25 e 32 del Regolamento e che l’Istat ha posto in essere, da un punto di vista sia qualitativo che quantitativo, una serie di misure di gran lunga inferiori rispetto a quelle descritte nel Documento, il cui cronoprogramma “di massima” indica nel mese di dicembre 2022 il termine entro il quale concludere “la riprogettazione del sistema SIM”, ponendosi nella condizione di poter verosimilmente violare le prescrizioni formulate dal Garante nel provvedimento n. 10 del 23 gennaio 2020.

Più nello specifico, in relazione a ciascuna delle violazioni contestate è stato rilevato quanto segue.

3.1. Classificazione dei dati

In via preliminare, è stato chiarito che la classificazione dei dati è necessaria per associare ciascun tipo di classe di dati (es. dati identificativi, comuni e particolari) ad un livello di rischio, pertanto quanto più dettagliata essa si presenta tanto più puntuale può essere la definizione del rischio. Dalla classificazione (risultata in base alla documentazione trasmessa, abbastanza particolareggiata) l’Istituto potrebbero infatti realizzare misure di sicurezza differenziate, quali, a titolo esemplificativo, l’impiego di particolari tecniche crittografiche o l’adozione di specifici profili di autorizzazione. Tale attività risulta particolarmente necessaria in presenza di una ingente mole di dati, quale quella oggetto di trattamento da parte dell’Istituto. Ciascuna unità statistica è infatti caratterizzata dalla presenza di un numero rilevante di variabili, talune di natura estremamente sensibile, che solo grazie a una compiuta classificazione potrà esserene garantita l’effettività della tutela, ottenuta attraverso l’applicazione di misure tecniche e organizzative congegnate in modo da risultare via via più efficaci al crescere del livello di rischio a cui gli interessati sono esposti.

A tale riguardo, si evidenzia inoltre che lo stesso Istituto, nella richiamata nota dell’XX, in particolare nel documento “Soluzioni tecnologiche e organizzative per realizzare la piena compliance del Sistema di Integrazione dei Microdati (SIM)” aggiornamento del 4 febbraio 2021”, nel descrivere le attività implementate per dare attuazione al richiamato provvedimento del Garante del 23 gennaio 2020, ha dichiarato che:

“Le principali novità del progetto riguardano l'introduzione del ciclo di vita del dato come elemento caratterizzante l'intera soluzione e l'adozione di misure di sicurezza aggiuntive a livello di ecosistema individuate nell'analisi di rischio sui processi statistici ad elevato impatto in relazione al trattamento dei dati personali. Dette misure si caratterizzano nel mascheramento attivo dei dati, nella protezione dinamica da operazioni di accesso e di incrocio degli identificativi in domini di utilizzo incompatibili, nella classificazione automatica dei metadati già dalle prime fasi del processo di acquisizione e nell'introduzione di tecniche distribuite di consenso a completamento delle misure di sicurezza standard già adottate”:

“La fase di acquisizione è basata su regole inferenziali ed è in grado di selezionare il giusto trattamento per ogni tipo di microdato e per ogni famiglia di metadati. Sarà possibile procedere alla protezione delle informazioni personali già in fase di acquisizione dei dati definendo un primo dominio di pseudonimizzazione e, nell'ambito di questo, le specifiche di trattamento per ogni famiglia di metadati.

Il controllo di eventuali anomalie avverrà in tempo reale segnalando eventuali violazioni di vincoli mediante apposite interfacce applicative. La classificazione di dominio effettuata a partire dal contenuto in termini di metadati della fonte, permetterà l'aggiornamento del catalogo delle Fonti ed in particolare delle relative compatibilità di insiemi di metadati in ragione della presenza eventuale di singolarità che risulteranno documentate e tracciabili”.

Nel merito, a seguito dell’accertamento ispettivo, si è rilevato, in primo luogo, che l’attività di classificazione ha riguardato soltanto il lavoro statistico sul Registro delle disabilità – Ist-02748 e, in secondo luogo, che allo stato, essa prescinde da una puntuale valutazione dei rischi correlati ai trattamenti svolti e non risulta conseguentemente corroborata da specifiche misure volte ad attuare in maniera efficace i principi di protezione dei dati in relazione ai rischi rilevati, ciò in violazione degli obblighi di privacy by design e by default (art. 25 del Regolamento). In altri termini, allo stato delle attività svolte, l’operazione di classificazione delle fonti appare maggiormente funzionale a specifiche esigenze di ordine statistico che non come attività prodromica alla individuazione di misure appropriate rispetto ai rischi correlati ai trattamenti di determinate tipologie di dati.

3.2. La minimizzazione dei dati nei domini specifici di integrazione

In via preliminare, avendo verificato in concreto il DSI relativo al Registro disabilità - Ist-02748, si evidenzia che l’effettiva applicazione del principio di minimizzazione dei dati deve essere garantita in tali contesti sia attraverso una puntuale verifica delle informazioni necessarie allo scopo statistico che si intende perseguire attraverso il DSI, nonché del loro livello di aggregazione (tutte le volte in cui il trattamento di informazioni riferite ad un’unica unità statistica risulti  sproporzionato), sia attraverso un’idonea tecnica di pseudonimizzazione. Il titolare del trattamento, è pertanto tenuto ad individuare, conformemente allo stato dell’arte tecnologico, by design e by default, misure che consentano l’effettiva applicazione del principio di minimizzazione.

Risulta pertanto accertato che nella gestione dei domini specifici di integrazione non è prevista, in omaggio al principio di responsabilizzazione e di protezione dei dati fin dalla progettazione e per impostazione predefinita, anche la presenza di specifiche misure tecniche volte a garantire l’effettiva applicazione del principio di minimizzazione. Infatti, nonostante l’Istituto abbia implementato alcune misure di sicurezza organizzative, non ha invece previsto che la minimizzazione dei dati venga operata ab origine impostando da un punto di vista tecnologico l’infrastruttura utilizzata per la creazione del DSI. In particolare, essa non è in grado di rilevare anomalie quali singolarità (da intendersi quale combinazione di attributi univoca riferibile ad un unico soggetto). Il  rilevamento automatizzato di anomalie permetterebbe all’Istituto di essere immediatamente consapevole dei rischi a cui gli interessati, oggetto dell’indagine, sono esposti e di far da ciò discendere le necessarie determinazioni strategiche, quali l’impiego di statistiche in forma maggiormente aggregata, ovvero, dove ciò non sia in linea con la finalità statistica perseguita, l’accettazione del rischio, previa adozione di specifiche misure di tutela e documentazione della motivazione che ha eventualmente indotto l’Istituto a non proseguire ulteriormente nella mitigazione dei rischi.

La circostanza che l’Istituto disponga di un’idonea base giuridica per il trattamento dei dati personali necessari per la realizzazione dei lavori statistici contenuti nel programma statistico nazionale, non esclude che questo debba garantire il rispetto del principio di minimizzazione anche evitando il trattamento di eventuali singolarità e privilegiando quello di informazioni aggregate, quando ciò sia compatibile con lo scopo statistico perseguito.

Tutto ciò premesso, risulta accertata da parte di codesto Istituto, la violazione degli artt. 5, par. 2, 24 e 25 del Regolamento.

3.3. La pseudonimizzazione dei dati

Rispetto alla prescrizione di introdurre un sistema di pseudonimizzazione gerarchica tra diversi DSI volta anche ad attuare i principio di limitazione della finalità e della conservazione, avendo l’Istituto creato allo stato un unico DSI riferito al Registro delle disabilità, non è stato possibile verificare, a distanza di quasi 3 anni dall’adozione del richiamato provvedimento, che due pseudonimi differenti contenuti in due diversi DSI, si riferiscano eventualmente alla medesima unità statistica.

Inoltre, tenuto conto delle modalità di realizzazione della pseudonimizzazione dei dati nell’ambito dell’unico DSI sviluppato e delle misure di sicurezza implementate, risulta accertata la violazione degli artt. 25 e 32 del Regolamento, in quanto la piattaforma provvede al calcolo di un codice hash ottenuto dalle variabili attinenti alla classe dei soli dati identificativi e non include per impostazione predefinita elementi casuali nel calcolo (ad es. salt). Pertanto, in caso di incidente di sicurezza, anche su una sola unità statistica (nota la sintassi del dato), la compromissione della banca dati sarebbe totale.

4. Le memorie difensive

Con nota del XX, l’Istituto ha fatto pervenire le proprie memorie difensive e la relativa documentazione allegata, non chiedendo di essere sentito in audizione, ai sensi dell’art. 166, comma 5 del Codice.

Nei richiamati atti, l’Istituto ha preliminarmente illustrato il contesto generale da cui muovono le contestazioni dell’Ufficio del Garante dell’XX.

In particolare, è stato rappresentato che il provvedimento del Garante n. 10 del 23 gennaio 2020, ha di poco preceduto il periodo pandemico iniziato “con l’emanazione della delibera del Consiglio dei Ministri del 31 gennaio, G.U. n. 26/2020” poi proseguito per molti mesi. Tale “Situazione cui, sia a livello normativo, così come in alcuni arresti giurisdizionali, è stata riconosciuta la natura di circostanza di cui tener conto nella valutazione della responsabilità nell’adempimento di un’obbligazione, in quanto riconducibile al concetto di forza maggiore”.

Ciononostante “fermo restando quanto si esporrà partitamente nel seguito in merito a ciò che questo Istituto ha in ogni caso effettivamente posto in essere ai fini del recepimento delle indicazioni contenute nel predetto provvedimento del 23.01.2020 - circostanza che dimostra il compimento da parte dell’Amministrazione di ogni sforzo utile e l’osservanza di una condotta diligente - appare congruo, ai fini di un’equa valutazione della complessiva vicenda oggetto del presente accertamento, porre attenzione alle inevitabili difficoltà organizzative conseguenti all’emergenza sanitaria”.

In tale periodo l’Istituto ha dovuto far fronte attivamente -come altre Amministrazioni- a criticità organizzative interne dovendo “adeguare, anche dal punto di vista tecnico, processi e procedure dell’ente e che ha naturalmente avuto impatti anche sul processo di così complessa portata quale quello in esame”. A ciò si aggiunga che nel caso specifico dell’Istat, “l’Amministrazione, […] è altresì stata chiamata a dare il proprio contributo al Paese in quel drammatico frangente, fornendo il proprio supporto informativo e conoscitivo ai fini del monitoraggio dell’andamento dell’epidemia e dell’efficacia delle misure sanitarie di contrasto adottate dal Governo. Gravoso compito aggiuntivo alle ordinarie ed ampie attività dell’Istat, che ha dato luogo a ulteriori stress organizzativi che possono aver avuto impatti sull’efficienza organizzativa e influito sulla sua ottimizzazione”. Alla luce di ciò l’Istat ha evidenziato che, tenuto conto del quadro applicabile alle contestazioni in esame, “appare attinente al caso di specie la seguente statuizione dalla Suprema Corte: “in tema di sanzioni amministrative, il caso fortuito e la forza maggiore, pur non essendo espressamente menzionati dalla legge 24 novembre 1981, n. 689, debbono ritenersi implicitamente inclusi nella previsione dell’art. 3 di essa ed escludono la responsabilità dell’agente” (Cass. Civ., sez. II, 29 aprile 2010, n. 10343)”. L’Istat ha inoltre rappresentato che “sono state avviate e completate le procedure di gara per il fornitore di servizi applicativi e per la piattaforma software da impiegare nel progetto” e che nel corso del 2021 “è comunque proseguito il lavoro di stesura dei requisiti utente e di conduzione della sperimentazione menzionata al punto 2 della citata nota di stato avanzamento dei lavori, condotta utilizzando le tecnologie già disponibili in Istituto”.

Con specifico riferimento alle contestazioni mosse dall’Ufficio nell’atto di avvio del procedimento sanzionatorio ai sensi dell’art. 166, comma 5 del Codice, l’Istat ha rappresentato in particolare quanto segue.

4.1. La classificazione dei dati

L’Istat, nel produrre un documento denominato “Allegato 1 (classificazioniFonti), ha dichiarato che:

“Il lavoro [di classificazione dei dati] portato a termine […] entro il 31 dicembre 2022 riguarda 34 archivi amministrativi contenenti dati personali su 129 totali (26%). Nel medesimo allegato si dà anche conto nel dettaglio degli archivi contenenti dati personali che dovranno essere classificati entro il 31/12/2022”;

“Nel rispetto dei principi di privacy by design e privacy by default di cui all’art. 25 del Regolamento, è stata implementata la valutazione dei rischi correlati ai trattamenti svolti, tenendo in considerazione la classificazione di cui all’Allegato 1. Quest’ultima è stata predisposta dall’Istituto al fine di garantire la tutela dei diritti dell’interessato ottenuta attraverso l’applicazione di misure tecniche e organizzative adeguate al livello di rischio (cfr. Allegato 2 “Analisi del rischio”)”;

“Tali attività dimostrano l’impegno continuo dell’Istituto al fine di adempiere a quanto prescritto dall’art. 25 del Regolamento […] e dalle linee guida n. 4/2019 dell’European Data Protection Board”.

4.2. La minimizzazione dei dati nei domini specifici di integrazione

In relazione al rispetto del principio di minimizzazione dei dati, l’Istat ha evidenziato che “le misure tecniche e organizzative già implementate o in fase di implementazione all’interno dell’Istituto” dichiarando che:

“la minimizzazione dei dati rappresenta uno dei fattori di maggiore complessità, in quanto è nell’applicazione di questo principio, più di altri, che si realizza quel bilanciamento tra produzione di statistica ufficiale di qualità (principio di esattezza) e rispetto dei diritti e delle libertà degli interessati (principio di minimizzazione). Infatti, in linea con l’approccio per Dominio Specifico di Integrazione (DSI) e tenuto conto che l’Istat adotta un approccio di produzione statistica di tipo register-based, in cui le statistiche ufficiali prodotte richiedono l’esaustività delle unità incluse nelle fonti amministrative, la minimizzazione può eventualmente essere applicata solo alle variabili di ciascun record, e salvo che questo non impedisca il conseguimento della finalità statistica. È proprio la costruzione del DSI a consentire di eliminare tutte le singolarità non rilevanti alla finalità statistica perseguita e che non saranno utilizzate nelle successive fasi del processo statistico. Al fine di recepire le osservazioni pervenute dall’Autorità in merito alla questione della singolarità, l’Istat ha in ogni caso attivato uno studio per individuare metodi e strategie al fine di pervenire a una valutazione di tale rischio in modalità on the fly, così da renderne disponibile l’esito ai richiedenti prima della conferma della richiesta”;

la classificazione delle fonti (Allegato 1) e la relativa analisi dei rischi (Allegato 2), applicata alla versione attualmente in uso del DSI (riferito al lavoro statistico IST-02748 “Archivio disabilità”) ha consentito all’Istat di sviluppare oltre alle misure organizzative già presenti anche “la definizione dei contenuti informativi da immettere nel dominio specifico” che saranno “definiti e sottoscritti dal Direttore designato del DSItramite una specifica funzione tecnica di richiesta che insiste sul catalogo dei dati, nel quale sono mappati e classificati tutti gli archivi, a livello di singolo tracciato/dataset e di singola variabile, necessari per il conseguimento delle rispettive finalità statistiche”;

“Il Direttore che inserirà la richiesta sostenuta dalla relativa base giuridica, […], potrà definire, […], delle nuove variabili come funzione di quelle disponibili, da utilizzare in luogo di quelle originarie e ridurne il potenziale re-identificativo. Prima di confermare la richiesta dei dati per il dominio, riceverà un report sulla classificazione dei dati richiesti, come indicazione per valutare il rischio associato al trattamento dei dati nel dominio stesso. In altri termini, il modello di richiesta dati consegnato all’Autorità in sede di ispezione viene affiancato, come richiesto dall’Autorità, da misure tecniche automatizzate, in modo da superare le rilevate mere misure organizzative applicate”.

4.3. La pseudonimizzazione dei dati

L’Istat, nel rappresentare nuovamente la “complessità di tale progetto di pseudonimizzazione, non solo per la difficoltà intrinseca del processo dal punto di vista elaborativo, ma soprattutto perché comporta notevoli problemi prestazionali”, ha evidenziato che “per la sua realizzazione ha comportato la necessità di eseguire diversi test e una PoC (Proof of Concept) in ambiente Oracle per valutare e stimare le esigenze computazionali e i parametri di sistema, di cui si dà conto nell’Allegato 3. Tali misure saranno messe in campo sul lavoro statistico afferente al “Registro disabilità – Ist-02748” entro giugno 2023 e l’Autorità continuerà ad essere aggiornata dall’Istat con i report periodici”.

L’Istituto inoltre ha rappresentato, in relazione agli pseudonimi specifici di dominio, di aver tenuto conto dei rilievi emersi nel corso degli accertamenti ispettivi in ordine alla fragilità delle chiavi generate per il dominio “Archivio disabilità” e a tale riguardo ha prodotto in atti un documento denominato “La pseudonimizzazione nel sistema integrato di microdati (sim) (Allegato 3) [alle memorie difensive]” in cui sono descritte nel dettaglio tutte le fasi attraverso le quali  ISTAT provvede ad associare a ciascuna unità statistica uno pseudonimo universale, o master, che viene successivamente tradotto con una funzione crittografica in vari pseudonimi distinti, ciascuno valido all’interno di ogni dominio di integrazione. Ogni dominio ha una chiave di codifica diversa e ISTAT conserva l’associazione tra il master e gli pseudonimi derivati, rendendo con ciò possibile, se necessario, di ricongiungere ogni pseudonimo derivato al proprio master.

La procedura ipotizzata è considerata coerente con le indicazioni fornite dall’Agenzia ENISA nelle linee guida di recente pubblicazione "Pseudonymisation Techniques and Best Practices" e "Recommendations on shaping technology according to GDPR provisions - An overview on data pseudonymisation", realizzando una forma di “reversibilità controllata” tra pseudonimi. In altri termini, grazie all’impiego di una chiave segreta nota ai soggetti autorizzati, essa consente un’agevole trasformazione “diretta” dallo pseudonimo master agli pseudonimi derivati, mentre risulta estremamente complessa (praticamente impossibile) la trasformazione “inversa” dagli pseudonimi derivati allo pseudonimo master da parte di soggetti non autorizzati e non in possesso della chiave segreta.

Da un punto di vista operativo, la generazione dello pseudonimo master si realizza in due passaggi, il primo consiste nel calcolo degli hash-based message authentication code (HMAC-SHA256) di ciascuna combinazione univoca di attributi riferibili a ogni unità statistica, il secondo nel loro ordinamento lessicografico e nella successiva trasformazione in un identificativo sequenziale, che è in definitiva lo pseudonimo master. Per garantire l’univocità della trasformazione ed evitare che una certa chiave segreta possa essere impiegata due volte, tale chiave è creata a partire da un generatore di numeri casuali che impiega come seme l’ora corrente al millisecondo.

5. Ulteriore documentazione inviata

Con nota del XX (prot. n. XX), inviata successivamente alle memorie difensive, l’Istituto ha fatto pervenire all’Ufficio lo  “Stato di Avanzamento Lavori al 31 marzo 2023” relativi al “Sistema di Integrazione dei Microdati (SIM)” dichiarando di aver “proseguito la classificazione delle fonti (Allegato1_ClassificazioneFonti), che consta attualmente di 43 archivi amministrativi contenenti dati personali su 129 totali (33%), secondo l’analisi dei rischi operata da Istat […]” e rappresentando altresì che “risulta in fase di sviluppo avanzata la piattaforma di pseudonimizzazione, come descritto negli allegati 2 e 2A" della predetta nota.

Nello specifico, l’Istituto ha dichiarato di: aver “rilasciato una versione preliminare del sistema (Sistema di rilascio microdati – SI(RI)M) […]”, e che “sta parallelamente automatizzando il più possibile le attività attraverso il sistema di pseudonimizzazione (Sistema Integrato per la Gestione dei Microdati Amministrativi e statistici - SIGMA) che includerà tutto quanto contenuto in SI(RI)M nonché tutte le fonti man mano classificate da Istat e gli altri requisiti previsti dal progetto”.

L’obiettivo della piattaforma “SI(RI)M – Sistema Rilascio Microdati […] è quello di consentire la creazione di appositi DSI afferenti ai lavori statistici IST-02742 “Registro del lavoro”; IST-02634 “Registro esteso dell’occupazione nelle imprese (Asia occupazione)”; IST-01382 “Registro Annuale su retribuzioni, ore e Costo del Lavoro Individuale – RACLI”; IST-02645 “Quantificazione delle popolazioni in ambiti territoriali potenzialmente a rischio”, oltre naturalmente al lavoro IST-02748 “Archivio disabilità” e “potrà essere via via utilizzato anche per il popolamento di altri DSI (derivanti dalle fonti classificate nell’Allegato 1), fino alla messa in esercizio della piattaforma definitiva (SIGMA)”.

La piattaforma definitiva denominata “SIGMA” è in via di sviluppo e introdurrà “un elevato grado di automazione del processo di pseudonimizzazione gerarchica dei dati in modo da minimizzare le attività di gestione che richiedono un intervento manuale, tenendo conto delle indicazioni formulate da codesta Autorità”. Tale nuovo sistema -di cui è previsto un primo rilascio alla fine del mese di giugno 2023- “consentirà le seguenti funzionalità:

gestione della classificazione delle variabili […],

pseudonimizzazione secondo l’algoritmo descritto nel documento “Allegato3_pseudonimizzazione”, prodotto a codesta Autorità in data XX,

alimentazione dei domini primari sulla base della classificazione delle variabili gestita tramite il catalogo dei dati, di cui si danno a seguire maggiori informazioni,

creazione dei domini specifici di integrazione,

gestione della validità temporale dello pseudonimo a più livelli”.

In relazione ai singoli aspetti del Sistema, l’Istituto ha rappresentato quanto segue.

5.1. La classificazione dei dati

A tale riguardo l’Istat, nell’indicare le informazioni che devono essere presenti nella classificazione dei dati, ha dichiarato che:

“La classificazione dei dati costituisce l’elemento principale per poter realizzare tutti i processi connessi ai dati stessi, dalla costruzione dei domini primari alla messa a disposizione all’utente finale dei dati nei domini specifici di integrazione […] e che “agisce come fornitore di informazioni di dettaglio sugli archivi e sui prodotti statistici disponibili nel sistema, nonché sulle variabili in essi contenute”.

L’Istituto ha poi descritto le fasi che compongono la funzione di popolamento del catalogo dei dati.

5.2. Domini specifici di integrazione e pseudonimizzazione

L’Istituto ha rappresentato che il sistema, in fase di realizzazione, suddivide i dati nei domini primari applicando la pseudonimizzazione primaria sulla base dell’algoritmo già sopra descritto e presentato nel documento allegato alle memorie difensive “a partire dalle tabelle corredate del c.d. codice SIM attuale. In questa fase è presente una tabella di mapping tra codice SIM calcolato in passato e codice SIM CSU (codice SIM universale) calcolato mediante il nuovo algoritmo di pseudonimizzazione. Questa tabella di aggancio consentirà di gestire la retro-compatibilità del sistema. I dati suddivisi nei domini primari saranno corredati solo del nuovo pseudonimo mentre il vecchio resterà soltanto nella tabella di mapping”. A seguire, nelle successive fasi del progetto quando verrà reingegnerizzata l’acquisizione dei flussi dall’esterno, sarà calcolato direttamente il nuovo pseudonimo CSU. “Resterà, tuttavia, l’associazione con il vecchio codice nella tabella di mapping per retro-compatibilità. Una volta non più necessaria la suddetta retro-compatibilità, il codice SIM attualmente utilizzato verrà eliminato anche dalla tabella di mapping”. L’Istat ha inoltre classificato i domini in: Dominio dati identificativi; Dominio dati di cui art.9 GDPR; Dominio dati di cui art.10 GDPR; Dominio altri dati tematici. Sui primi tre domini viene applicata la cifratura tramite TDE (Transparent Data Encryption) fornita dall’ambiente Oracle”.

L’Istat ha inoltre rappresentato che “È in fase di valutazione l’adozione di ulteriori misure di sicurezza per i dati di cui all’art. 9 GDPR”.

In relazione ai domini specifici di integrazione, l’Istituto ha illustrato le modalità di creazione dei predetti domini. Nello specifico è prevista “l’acquisizione dei dati dall’area dei domini primari selezionando dal catalogo i soli dati di interesse per il dominio specifico”; e l’attuazione “del meccanismo di pseudonimizzazione secondaria e generazione dei CSD (Codice Specifico di Dominio come descritto nel documento denominato “Allegato3_pseudonimizzazione” parte integrante delle memorie difensive prodotte.

L’Istituto ha infine rappresentato le misure di sicurezza previste dal sistema, in particolare le funzioni di log e tracciamento dettagliate a tutti i livelli alcune eseguite a livello applicativo altre a livello diagnostico che saranno disponibili, “le prime per gli utenti applicativi mentre le seconde per amministratori di sistema”. Da ultimo è stato rappresentato che “il sistema comprende un’interfaccia che consente di automatizzare e monitorare il processo di richiesta dati e popolamento dei Domini Specifici di integrazione, permettendo l’inserimento delle richieste di dati da parte delle strutture interessate (referenti dei lavori statistici) e la loro formalizzazione, a fronte dell’avallo con firma della direzione richiedente e dell’autorizzazione al rilascio. Tutte le operazioni richieste per il popolamento dei domini specifici di integrazione saranno tracciate a livello applicativo e saranno, pertanto, verificabili in tempo reale”.

5.3 Conservazione dei dati

L’Istituto ha dichiarato a tale riguardo che “grazie al procedimento di pseudonimizzazione di cui sopra, risulta possibile applicare periodi di conservazione differenziati in base ai domini specifici connessi alle finalità statistiche”. In particolare, “La validità temporale verrà gestita a più livelli:

tempo di conservazione delle singole forniture degli archivi acquisiti;

tempo di validità del Codice SIM universale CSU che potrà essere modificato su richiesta dell’amministratore di sistema;

tempo di validità dei domini specifici di integrazione che sarà inserito dai referenti tematici al momento della richiesta dei dati.

Nel primo caso, il sistema rileverà automaticamente la scadenza raggiunta e avviserà l’amministratore di sistema affinché proceda con le operazioni di verifica e cancellazione dei dati. Tali operazioni, avendo un grande impatto sulla base di dati, saranno eseguite in modalità controllata e supervisionata.

Per quanto riguarda la validità dei domini specifici, una volta rilevata la scadenza, il sistema avviserà il responsabile dei dati. Quest’ultimo potrà prorogare la scadenza solo se in possesso delle dovute autorizzazioni, compatibili con quanto previsto nel PSN in vigore. In caso contrario, il sistema procederà con la cancellazione dei dati forniti per il DSI in questione sempre tracciando tutte le operazioni eseguite”.

Infine, l’Istat ha rappresentato che sono in corso di valutazione “miglioramenti in tema di misure di sicurezza che permettano di: 1. verificare la qualità dei dati inseriti al fine di evitare di assegnare caratteristiche a soggetti non corretti, a garanzia del principio di esattezza; 2. aumentare i livelli di controllo sulle operazioni svolte dagli operatori e amministratori sul sistema SIGMA”.

5. La normativa in materia di protezione dei dati personali

Il trattamento di dati personali, ivi compreso quello effettuato nel contesto della statistica ufficiale, deve avvenire nel rispetto del Regolamento e del Codice.

Per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, paragrafo 1, n. 1 del Regolamento).

Per pseudonimizzazione si intende: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (cons. 26 e art. 4 punto 5). La pseudonimizzazione costituisce una misura di estremo rilievo nel settore della ricerca statistica in particolare al fine di garantire effettiva applicazione al principio di minimizzazione (art. 5, par. 1, lett. c) e 89 del Regolamento). A tale riguardo, il Gruppo Articolo 29 ha evidenziato che essa vale “a ridurre la correlabilità di un insieme di dati all’identità originaria di una persona interessata, e rappresenta pertanto una misura di sicurezza utile (WP216, 05/2014 sulle tecniche di anonimizzazione adottato il 10 aprile 2014)” ma certamente anche e, giova ribadirlo, una misura di minimizzazione dei dati che realizza e rende operativo il principio di necessità (cfr. par. 3.5. Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita, Versione 2.0 Adottate il 20 ottobre 2020).

Tra i principi applicabili al trattamento merita in questa sede evidenziarsi quello di responsabilizzazione (accountability), in base al quale “il titolare del trattamento deve conformarsi ed essere in grado di comprovare sia il rispetto dei principi e degli adempienti previsti dal Regolamento” (artt. 5, par. 2, 24 e del Regolamento).

Ad esso si collega un altro dovere posto in capo al titolare del trattamento, ossia quello di assicurare che il diritto e la disciplina in materia di protezione dei dati personali degli interessati siano tutelati e applicati sin dalla progettazione e per impostazione predefinita (privacy by design e by default, art. 25 del Regolamento).

In base al rinnovato quadro normativo in materia di protezione dei dati personali, si richiede, infatti, ai titolari una valutazione ponderata di tutte le scelte connesse ai trattamenti di dati personali, dimostrabile sul piano logico attraverso specifiche motivazioni, volte all’individuazione di misure necessarie e proporzionate rispetto alla concreta efficacia del principio di volta in volta tutelato.

In ossequio all’obbligo della protezione dei dati sin dalla progettazione, i titolari devono, inoltre, assumere una condotta attiva nell’applicazione dei principi, ponendosi l’obiettivo di ottenere un reale effetto di tutela. Non si richiede, quindi, la mera applicazione di misure generiche, non direttamente correlate allo scopo di tutela, ma di misure qualitativamente e quantitativamente efficaci rispetto all’obiettivo e progettate per essere, all’occorrenza, revisionate in relazione ad eventuali aumenti o riduzioni dei rischi per gli interessati.

Tali misure dovranno, ove possibile, includere specifici indicatori volti a dimostrarne in modo inequivoco l’efficacia. In tale ottica, il richiamato obbligo di documentazione delle scelte inerenti al trattamento dei dati personali si intende compiutamente adempiuto solo laddove il titolare sia in grado di dimostrare, attraverso indicatori di prestazione (qualitativi e ove possibile, quantitativi), l’efficacia delle misure (cfr. Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Adopted on 13 November 2019 by the EDPB; provv. del Garante del 23 gennaio 2020, doc. web 9261093).

Rileva, infine, il principio di integrità e riservatezza del dato in base al quale essi devono essere “trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” cui si collega l’obbligo per il titolare di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (artt. 5, par. 2 lett. f) e 32 del Regolamento).

6. L’esito dell’attività istruttoria: le violazioni accertate

L’Ufficio ha contestato all’Istat che i trattamenti dei dati personali svolti nell’ambito del DSI relativo al Registro disabilità – Ist-02748 -unico DSI per il quale allo stato sarebbero state adottate in via sperimentale le prescrizioni di cui al provvedimento del 23 gennaio 2020- sono stati effettuati in violazione degli artt. 5, par. 2, 24, 25 e 32 del Regolamento e che l’Istat ha posto in essere, da un punto di vista sia qualitativo che quantitativo, una serie di misure di gran lunga inferiori rispetto a quelle descritte nel documento presentato per l’ottemperanza al richiamato provvedimento del Garante, il cui cronoprogramma “di massima” indicava nel mese di dicembre 2022 il termine entro il quale concludere “la riprogettazione del sistema SIM”, ponendosi nella condizione di poter verosimilmente violare le prescrizioni formulate dal Garante nel predetto provvedimento.

In via preliminare, si ribadisce che l’Istituto ha presentato un progetto molto articolato e complesso che nel prevedere, in termini generali, le misure necessarie per ottemperare alle prescrizioni formulate dal Garante nel provvedimento del 2020, che si incentra, in sintesi, soprattutto sull’esigenza che l’Istituto si impegni a tenere da un punto di vista metodologico un atteggiamento maggiormente conforme al principio di accountability anche introducendo misure tecniche e organizzative per assicurare per impostazione predefinita l’effettiva applicazione dei principi in materia di protezione dei dati personali, nonché sulle tecniche di pseudonimizzazione dei dati in particolare per garantire l’effettività dei principi di minimizzazione e di limitazione della conservazione.

In tale quadro, la creazione di un solo dominio specifico di integrazione, incapace di rilevare ex ante eventuali anomalie, la classificazione dei dati destinati a confluirvi, nonché  misure di pseudonimizzazione che prevedono  un codice hash ottenuto dalle variabili attinenti alla classe dei soli dati identificativi e non include per impostazione predefinita elementi casuali nel calcolo (ad es. salt), costituiscono le uniche specifiche attività e misure che l’Istituto, a distanza di tre anni, ha inteso prevedere per dare attuazione al richiamato provvedimento del 23 gennaio 2020.

Il Garante prende naturalmente atto delle difficoltà organizzative affrontate dall’Istituto durante il periodo emergenziale causato dalla pandemia da Sars-Cov2 e dell’impegno straordinario richiestogli per contribuire, per i profili di competenza, a supportare il paese a fronteggiare adeguatamente tale situazione straordinaria.

Cionondimeno, tale circostanza non può considerarsi quale forza maggiore idonea, nel caso di specie ad escludere la responsabilità dell’Istituto, quanto piuttosto a graduarla.

L’Istituto pertanto deve ritenersi, seppur in relazione alla riconosciuta esigenza di graduazione, responsabile della condotta tenuta giacché ha agito in maniera difforme dai richiamati principi in materia di protezione dei dati personali, circostanza questa che non può essere imputata all’emergenza sanitaria (Cass. n. 9738 del 2000; Cass., 14168 del 2002).

Si conferma, pertanto, che l’Istituto ha agito, in violazione del principio di responsabilizzazione e dell’obbligo di protezione dei dati sin dalla progettazione e per impostazione predefinita, ponendosi altresì nella condizione di poter verosimilmente violare le prescrizioni formulate dal Garante nel citato provvedimento del 23 gennaio 2020.

A prescindere, infatti, dalle difficoltà concrete che l’Istituto ha certamente affrontato durante la pandemia, che giustificano il ritardo del completamento del progetto presentato al Garante in ottemperanza al provvedimento del 23 gennaio 2020, si ritiene che in sede ispettiva sia emerso come l’Istat, anche nella fase di sperimentazione del primo DSI, non si sia preoccupato di assicurare effettiva applicazione dei principi in materia di protezione dei dati personali, non attivandosi per individuare soluzioni specifiche e differenziate, coerenti con lo stato dell’arte tecnologica e con il particolare contesto di riferimento.

È apparso, invero, che l’Istat abbia inteso mutuare nella nuova dimensione dei DSI processi e misure tecniche o organizzative già in uso, senza operare quella necessaria revisione e aggiornamento delle stesse allo stato dell’arte tecnologica come indicato ai sensi dell’art. 58, par. 2, lett. a) del Regolamento, nel richiamato provvedimento.

È emerso che l’Istituto, attraverso i propri sistemi informativi (per i profili esaminati) non assicura, per impostazione predefinita, la corretta applicazione dei principi di protezione dei dati personali (in particolare, di limitazione della finalità, della conservazione e di minimizzazione).

Si rileva che l’Istituto non ha assunto quella condotta proattiva richiesta dal principio di responsabilizzazione. Esso infatti non è stato in grado di fornire motivazioni rispetto alle proprie scelte che non fossero esclusivamente assertive senza supportarle con valutazioni specifiche, in ordine all’efficacia in termini qualitativi o quantitativi delle stesse.

Ciò in violazione dell’obbligo per il titolare del trattamento di rispettare i principi applicabili al trattamento e di essere in grado di comprovarlo.

In tale quadro, tenuto conto degli accertamenti ispettivi svolti e delle memorie difensive fornite dal titolare del trattamento, di cui si è dato atto nel precedente paragrafo 4, si evidenzia, in relazione alle violazioni accertate, quanto segue.

6.1 Classificazione dei dati

L’Istat ha dichiarato che entro la fine del corrente anno (2023) completerà l’attività di classificazione dei dati e che, nel rispetto dei principi di privacy by design e privacy by default, di cui all’art. 25 del Regolamento, è stata effettuata la valutazione dei rischi correlati ai trattamenti svolti.

Nel prendersi favorevolmente atto dell’impegno dichiarato, si rappresenta che la ratio della classificazione dei dati, sotto il profilo della protezione dei dati, va individuata nella possibilità di prevedere specifiche e differenti misure (quali ad esempio la pseudonimizzazione, la generalizzazione ecc.) in relazione alla differente tipologia di dato considerato e al correlato rischio stimato tenuto conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento.

Allo stato, in relazione alle classi di dati individuate, l’Istituto ha prodotto, un documento denominato “Allegato 2 “Analisi del rischio valutazione dei rischi correlati ai trattamenti svolti che, nella sezione “Descrizione delle misure di sicurezza adottate”, elenca generiche misure tecniche ed organizzative volte a mitigare i rischi correlati ai trattamenti dei predetti dati e in particolare a garantire la riservatezza e l’integrità dei dati, ai sensi degli artt. 5, par. 1, lett. f) e 32 del Regolamento e non l’effettiva applicazione dei principi di protezione dei dati (art. 25 del Regolamento e Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita, Versione 2.0, Adottate il 20 ottobre 2020), mediante la descrizione di specifiche soluzioni.

Più precisamente, tali misure, laddove non meramente ripetitive di specifici adempimenti già previsti dal Regolamento (es. “individuazione soggetti autorizzati; aggiornamento autorizzazioni; istruzioni soggetti autorizzati; formazione soggetti autorizzati; designazione responsabili” art. 29 del Regolamento e 2-quaterdecies del Codice), non risultano adeguatamente specifiche in quanto non individuano quali principi di protezione dei dati sono deputate di volta in volta ad attuare, come richiederebbe l’art. 25 del Regolamento.

Alla classificazione effettuata non è pertanto seguita alcuna valutazione dei rischi da parte dell’Istituto che non ha previsto specifiche misure di privacy by design, né di sicurezza diversificate rispetto alle classi di dati “identificativi”, “tematici” e “tematici sensibili” individuate.

Inoltre, si rileva che nella fase di data entry l’Istituto fa largo uso di controlli di consistenza di tipo “ictu oculi” su identificativi diretti (quali nome, cognome, codice fiscale), con ciò esponendo tali identificativi a verosimili errori, in particolare, a discapito del principio di accuratezza ed esattezza dei dati.

Tutto ciò premesso, risulta accertato che, a seguito della classificazione dei dati - degli archivi amministrativi, l’Istat non ha previsto specifiche misure differenziate rispetto ai rischi correlati alle diverse classi di dati trattati, ciò in violazione del principio di responsabilizzazione e degli obblighi di privacy by design e by default di cui agli artt. 5, par. 2 e 25 del Regolamento.

6.2 La minimizzazione dei dati nei domini specifici di integrazione

L’Istat ha rappresentato che l’attuazione del principio di minimizzazione nei DSI è rimessa, oltre che alle misure organizzative già in essere, alla definizione di contenuti informativi da inserire nel DSI.

Lo pseudonimo che dovrebbe essere impiegato in ciascuna rilevazione non è in realtà l’unico elemento univoco delle unità statistiche, che possono in effetti essere ben identificate da altre combinazioni di attributi (che non concorrono alla creazione dello pseudonimo), che risultano univoche all’interno del dominio stesso.

L’Istituto ha anticipato che “al fine di recepire le osservazioni pervenute dall’Autorità in merito alla questione della singolarità, […]  ha in ogni caso attivato uno studio per individuare metodi e strategie al fine di pervenire a una valutazione di tale rischio in modalità on the fly, così da renderne disponibile l’esito ai richiedenti prima della conferma della richiesta”.

Inoltre, i contenuti informativi del DSI saranno definiti e sottoscritti dal Direttore designato del DSI “tramite una specifica funzione tecnica di richiesta che insiste sul catalogo dei dati, nel quale sono mappati e classificati tutti gli archivi, a livello di singolo tracciato/dataset e di singola variabile, necessari per il conseguimento delle rispettive finalità statistiche”. L’Istituto ha inoltre chiarito che solo il Direttore responsabile della richiesta potrà definire sotto la propria responsabilità nuove variabili da utilizzare in luogo di quelle originarie anche al fine di ridurre il rischio di re-identificazione degli interessati e che prima di confermare la richiesta dei dati per il DSI, necessario per il perseguimento di una specifica finalità statistica, riceverà un report sulla classificazione dei dati richiesti, come indicazione per valutare il rischio associato al trattamento dei dati nel dominio stesso.

Ciò dimostra che, in ogni caso, la valutazione dei rischi associati alle variabili individuate è rimessa a considerazioni svolte dal Direttore responsabile del DSI.

In tale quadro, pur prendendo favorevolmente atto delle misure proposte, si conferma pertanto che l’Istituto, allo stato, non ha ancora previsto che la minimizzazione dei dati venga operata ab origine impostando da un punto di vista tecnologico l’infrastruttura utilizzata per la creazione del DSI.

Restano inoltre ferme le criticità rilevate in ordine alla impossibilità da parte dell’Istat di rilevare automaticamente eventuali anomalie presenti nei DSI, quali ad es. singolarità (da intendersi quale combinazione di attributi univoca riferibile ad un unico soggetto), che gli consentirebbero di essere immediatamente consapevole dei rischi a cui gli interessati, oggetto dell’indagine, sono esposti e di far da ciò discendere le necessarie determinazioni strategiche.

Si evidenzia pertanto, anche alla luce di quanto riportato nella documentazione da ultimo trasmessa, che l’Istituto, nonostante la mole di dati che gestisce per il perseguimento dei propri scopi istituzionali, al netto di misure di carattere organizzativo (quali la richiesta di autorizzazione da parte degli analisti ai direttori d’area sulla opportunità di procedere comunque alla rilevazione), non ha ancora previsto interventi di natura tecnica volti a rilevare in forma automatizzata la presenza di singolarità e a mitigare i rischi di re-identificazione che da queste discendono, ciò al fine di attuare in modo efficace e ab origine il principio di minimizzazione dei dati.

Risulta pertanto accertato che nella gestione dei domini specifici di integrazione non è prevista, in omaggio ai principi di responsabilizzazione e di protezione dei dati fin dalla progettazione e per impostazione predefinita, anche la presenza di specifiche misure tecniche volte a garantire l’effettiva applicazione del principio di minimizzazione, ciò in violazione degli artt. 5, par. 2, 24 e 25 del Regolamento.

6.3 La pseudonimizzazione dei dati

Il sistema di pseudonimizzazione implementato dall’Istituto provvede, rispetto a ciascuna unità statistica che confluisce nel Sistema integrato dei microdati, al calcolo di un codice hash. La tecnica di hashing su un piano formale risulta idonea a garantire l’univocità degli pseudonimi.  Tuttavia, la circostanza che la creazione della chiave segreta, impiegata per la generazione degli pseudonimi, sia legata a un parametro estremamente volatile (l’ora corrente al millisecondo) rende la “reversibilità controllata” della tecnica di pseudonimizzazione inapplicabile su un piano concreto (sfugge, in altri termini, il “controllo” da parte dell’Istituto, a meno di dover conservare per ogni trasformazione l’esatta ora al millisecondo in cui essa è avvenuta).

Inoltre, allo stato, si tratta unicamente di una ipotesi evolutiva. Infatti, la pseudonimizzazione realizzata dall’Istat non implica ancora l’impiego di chiavi segrete casuali diversificate per unità statistica. Di conseguenza, in caso di incidente di sicurezza, anche su una sola unità statistica, nota la sintassi del dato, la compromissione del dominio d’integrazione sarebbe totale.

Si rileva infine che la circostanza che, al momento dell’accertamento ispettivo, fosse stato realizzato dall’Istituto, un unico dominio di integrazione  (quello relativo  al Registro delle disabilità), non ha reso  possibile verificare -a distanza di 3 anni dall’adozione del richiamato provvedimento- l’introduzione del prescritto meccanismo di disaccoppiamento gerarchico dei codici nelle varie basi di dati e di rotazione degli stessi nel tempo e, dunque, che due pseudonimi differenti derivanti dallo stesso codice pseudonimo master eventualmente contenuti in due diversi domini di integrazione (attualmente inesistenti) possano riferirsi alla  medesima unità statistica (cfr. punto 4 del provvedimento del 23 gennaio 2020).

Nel prendersi favorevolmente atto degli ulteriori impegni assunti dall’Istituto, rappresentati nella documentazione da ultimo trasmessa (cfr. nota del XX), si conferma che, allo stato, anche in relazione a tale aspetto, il trattamento dei dati risulta effettuato da parte dell’Istituto in violazione degli artt. 25 e 32 del Regolamento.

7. Conclusioni

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive, seppure meritevoli di considerazione, non consentono di superare gran parte dei rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto nazionale di statistica, in violazione degli articoli 5, par. 2, 24, 25 e 32 del Regolamento, nei termini sopra descritti.

Ciò premesso, considerato quanto sopra richiamato e, in particolare che:

il provvedimento del 23 gennaio 2020 è stato adottato in prossimità del periodo pandemico che ha avuto inizio “con l’emanazione della delibera del Consiglio dei Ministri del 31 gennaio, G.U. n. 26/2020”, comportando inevitabili ritardi nell’attuazione dell’articolato e complesso “Progetto Sim” come descritto nel documento denominato “Soluzioni tecnologiche ed organizzative per realizzare la piena compliance del Sistema di Integrazione dei Microdati (SIM)”;

l’Istituto ha prodotto ulteriore documentazione tecnica volta in particolare a descrivere le specifiche misure di pseudonimizzazione che intende attuare per ottemperare al richiamato provvedimento prescrittivo del 23 gennaio 2020;

l’Istituto ha promosso, già a seguito dell’accertamento ispettivo, l’introduzione di svariate misure correttive volte a superare talune contestazioni mosse dall’Ufficio;

l’Istituto ha dimostrato fin da subito un elevato grado di cooperazione con l’Autorità;

le circostanze del caso concreto inducono a qualificare le violazioni come “violazione minore”, ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 2016/679.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato le previsioni del Regolamento contenute negli artt. 5, par. 2, 24, 25 e 32 del Regolamento, nei termini sopra descritti.

8. Misure Correttive

Tra i poteri che l’art. 58, par. 2, del Regolamento attribuisce al Garante, vi è quello di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d)

Alla luce delle valutazioni sopra richiamate, tenuto conto degli impegni assunti dall’Istituto con la nota del XX nonché della documentazione successivamente pervenuta, si ritiene di dover ingiungere all’Istituto, ai sensi del richiamato art. 58, par. 2, lett. d) Regolamento, di conformare entro 180 giorni dalla notifica del presente provvedimento, i trattamenti alle disposizioni del Regolamento provvedendo a:

completare il processo di classificazione delle fonti, associando a ogni classe il corrispondente livello di rischio misurabile di re-identificazione degli interessati i cui dati sono trattati in ciascuna rilevazione e le misure tecnico-organizzative di privacy by design e di sicurezza in grado di mitigare tale rischio (punto 6.1);

attuare misure tecniche che nell’ambito di ogni dominio di integrazione, e prima di procedere alla rilevazione, individuino la presenza di eventuali singolarità su specifiche combinazioni di attributi configurabili ex-ante e la loro incidenza percentuale nel campione, e che segnalino con un alert tali occorrenze all’analista (punto 6.2);

sviluppare una policy interna per la gestione di tali singolarità da parte degli analisti preposti alla realizzazione della rilevazione statistica, che preveda eventualmente la possibilità di riconfigurare il campione attraverso l’impiego di tecniche di generalizzazione in modo da eliminare, o comunque ridurre, l’incidenza di tali singolarità (punto 6.2);

affinare il processo di “reversibilità controllata” degli pseudonimi derivati, impiegando una chiave segreta maggiormente controllabile dell’ora al millisecondo (ad es. un salt crittografico) e conservando separatamente tali chiavi, come previsto dalla definizione di pseudonimizzazione di cui all’art. 4. Punto 5, del Regolamento (punto 6.3);

impiegare lo pseudonimo master SIM anche per controlli automatizzati di consistenza sulle unità statistiche di nuova creazione (ad esempio, check di unicità e accuratezza) in luogo dei tradizionali controlli “ictu oculi” sugli attributi identificativi diretti (quali nome, cognome, codice fiscale); ancora largamente impiegati e fonte verosimile di errori nel processo di data entry (punto 6.3).

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. a) del Regolamento, dichiara l’illiceità del trattamento dei dati personali effettuato dall’Istituto nazionale di statistica, Via Cesare Balbo, 16 – 00184 Roma - codice fiscale 80111810588 e Partita IVA 02124831005, per la violazione degli artt. 5, par. 2, 24, 25 e 32 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce il citato Istituto, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 2, 24, 25 e 32 del Regolamento, come sopra descritto;

INGIUNGE

All’Istituto nazionale di statistica:

a) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di conformare i trattamenti alle disposizioni del Regolamento, adottando le misure correttive indicate nel paragrafo 8 del presente provvedimento, entro e non oltre il termine di 180 giorni dalla notifica del presente provvedimento, provvedendo a:

completare in via esaustiva il processo di classificazione delle fonti, associando a ogni classe il corrispondente livello di rischio misurabile di re-identificazione degli interessati i cui dati sono trattati in ciascuna rilevazione e le misure tecnico-organizzative di privacy by design e di sicurezza in grado di mitigare tale rischio (punto 6.1);

attuare misure tecniche che nell’ambito di ogni dominio di integrazione, e prima di procedere alla rilevazione, individuino la presenza eventuale di singolarità su specifiche combinazioni di attributi configurabili ex-ante e la loro incidenza percentuale nel campione, e che segnalino con un alert tali occorrenze all’analista (punto 6.2);

sviluppare una policy interna per la gestione di tali singolarità da parte degli analisti preposti alla realizzazione della rilevazione statistica, che preveda eventualmente la possibilità di riconfigurare il campione attraverso l’impiego di tecniche di generalizzazione in modo da eliminare, o comunque ridurre, l’incidenza di tali singolarità (punto 6.2);

affinare il processo di “reversibilità controllata” degli pseudonimi derivati, impiegando una chiave segreta maggiormente controllabile dell’ora al millisecondo (ad es. un salt crittografico) e conservando separatamente tali chiavi, come previsto dalla definizione di pseudonimizzazione di cui all’art. 4. Punto 5, del Regolamento (punto 6.3);

impiegare lo pseudonimo master SIM anche per controlli automatizzati di consistenza sulle unità statistiche di nuova creazione (ad esempio, check di unicità e accuratezza) in luogo dei tradizionali controlli “ictu oculi” sugli attributi identificativi diretti (quali nome, cognome, codice fiscale), ancora largamente impiegati e fonte verosimile di errori nel processo di data entry (punto 6.3).

b) ai sensi dell’art. 58, par. 1, lett. a), del Regolamento e dell’art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel predetto par. 8, e di fornire comunque riscontro, adeguatamente documentato, entro e non oltre il termine di 20 giorni dalla scadenza del termine sopra indicato. Il mancato riscontro a una richiesta formulata ai sensi dell’art. 157 del Codice è punito con la sanzione amministrativa, ai sensi del combinato disposto di cui agli artt. 83, par. 5, del Regolamento e 166 del Codice.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 8 giugno 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei