N. 7 - Gennaio 2025

• Sanzione del Garante a Postel S.p.A.
  
• L'informativa
• In breve
  
  • Conclusa l'istruttoria del Garante nei confronti di OpenAI
  • Sanzione del Garante Irlandese a Linkedin
  • Pubblicato il "Codice di Condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale"
  • Il parere dell'EDPB su privacy e IA
  • I certificati per assenza dal lavoro non devono contenere dati sulla salute
  • L’identità di genere del cliente non è necessaria per l'acquisto di biglietti del treno

Che lezioni si ricavano da questo provvedimento del 4 luglio 2024?

• la comunicazione del data breach deve essere il più dettagliata possibile: frasi tipo "c'è un firewall" o "il sistema è protetto da un IDS" non sono accettabili;
• è essenziale avere una procedura consolidata di analisi dei rischi e gestione delle patch: considerazioni tipo "per un errore umano il sistema non era aggiornato" non sono giustificabili.

Il data breach

Il 17 agosto 2023, Postel S.p.A. ha notificato al Garante una violazione dei dati personali, integrata più volte nei mesi successivi. L'attacco subito è stato di tipo ransomware e ha comportato l’esfiltrazione di dati personali -- comuni, particolari e giudiziari -- di circa 25.000 interessati.

Le violazioni accertate

Informazioni fornite insufficienti

La notifica delle violazioni era priva di alcune indicazioni indispensabili per individuare le caratteristiche dell’incidente. In particolare, mancava l’indicazione dei server coinvolti, della tipologia delle vulnerabilità sfruttate e di alcuni elementi in merito alla kill chain dell’attacco.

Inoltre, nell’indicare le misure applicate ai sistemi al momento dell’evento, la Società non ha fatto cenno né alle attività di patching delle vulnerabilità né alle azioni per la loro mitigazione o risoluzione, ma si è limitata ad una generica elencazione delle misure adottate (“I server e gli endpoint erano e sono protetti tramite sistemi di autenticazione, antivirus, antimalware, defender for identity, IPS, firewall e SIEM. Sono presenti sistemi di backup e business continuity e disaster recovery”).

Misure di sicurezza inadeguate

La Società non ha adottato misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.

In particolare l'attaccante ha sfruttato due vulnerabilità di Microsoft Exchange (CVE-2022-41040 e CVE-2022-41082), che gli hanno consentito di assumere privilegi di amministratore. Le vulnerabilità -- altamente critiche -- erano state rese note un anno prima dalla Microsoft, con le relative misure di mitigazione. Due mesi dopo erano stati resi disponibili gli aggiornamenti per la piattaforma Exchange. Nonostante ciò, al momento dell'attacco, i sistemi coinvolti non erano ancora stati aggiornati.

L’affermazione della Società secondo cui “a causa di un errore umano nella configurazione delle attività di scansione il server Exchange oggetto dell’attacco era rimasto escluso dalla scansione medesima” è assolutamente irrilevante: vista la criticità delle vulnerabilità e la delicatezza dei sistemi, "le attività di patching e aggiornamento avrebbero dovuto essere sottoposte a controlli ripetuti e necessariamente ridondanti da parte della Società e non eseguite a partire da un’attività manuale non oggetto di alcuna successiva verifica".

Le ingiunzioni

• Effettuare una verifica delle vulnerabilità nei propri sistemi e una loro rapida risoluzione;
• predisporre una procedura formalizzata per la gestione delle vulnerabilità;
• individuare dei valori adeguati -- tenuto conto del rischio per i diritti e le libertà delle persone fisiche -- per il tempo medio di rilevamento delle vulnerabilità e di risoluzione;
• pagare la somma di 900.000 €.

Il contesto

Uno dei principi base introdotti dal GDPR è quello della trasparenza, secondo il quale l'interessato deve essere messo nelle condizioni di avere piena conoscenza delle finalità e modalità con le quali verranno trattati i suoi dati e delle conseguenze che possano derivare dal trattamento stesso, per poter liberamente decidere se accettarlo o meno.

Il Regolamento europeo interviene dunque imponendo al titolare l'obbligo di informare l'interessato con modalità idonee a consentirgli una facile comprensione di questi aspetti. L’informativa è lo strumento attraverso il quale si adempie questo obbligo.

I contenuti

I contenuti dell'informativa sono elencati in modo tassativo negli articoli 13, par. 1, e 14, par. 1, del Regolamento.

In particolare, l'informativa deve specificare:

• l’identità e i dati di contatto del titolare e del suo eventuale rappresentante;
• l’identità e i dati di contatto del Responsabile della protezione dei dati (RPD o DPO, secondo l'acronimo inglese di Data Protection Officer);
• le finalità e la base giuridica del trattamento;
• se la base giuridica del trattamento è individuata nel legittimo interesse, precisare quale sia;
• se l'interessato ha l'obbligo di fornire i dati personali e le possibili conseguenze della loro mancata comunicazione, quando questa nasca da un obbligo legale o contrattuale o da un requisito necessario per la conclusione di un contratto;
• le categorie dei dati trattati;
• gli eventuali destinatari o categorie di destinatari;
• se esiste un responsabile del trattamento;
• l’eventuale intenzione di trasferire i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti; ad esempio: se si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; se si utilizzano norme vincolanti d'impresa (Binding Corporate Rules), se sono state inserite specifiche clausole contrattuali standard, ecc.;
• il periodo di conservazione dei dati e i criteri seguiti per stabilirlo;
• la possibilità di revocare in qualsiasi momento il consenso al trattamento, senza pregiudicarne la liceità basata sul consenso prestato prima della revoca;
• l'esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, le informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste per l'interessato;
• l’esistenza del diritto per l’interessato di chiedere l’accesso ai dati personali che lo riguardano, la rettifica, la cancellazione, la limitazione del trattamento o l'opposizione allo stesso, nonché il diritto alla portabilità dei dati;
• il diritto di presentare un reclamo al Garante per la protezione dei dati personali.

Se, dopo la consegna dell'informativa, uno degli elementi contenuti cambia, il titolare deve fornirne una nuova o comunicare i mutamenti intervenuti.

Se il titolare del trattamento intende trattare i dati personali per una finalità diversa o ulteriore da quella già comunicata, deve fornire in anticipo a tutti gli interessati le informazioni relative alla nuova finalità e ogni ulteriore informazione pertinente per garantire un trattamento corretto e trasparente (GDPR, artt. 13 par. 3 e 14, par. 4).

I tempi

L’informativa deve essere fornita prima di effettuare la raccolta dei dati, se raccolti direttamente presso l’interessato (art. 13). Nel caso di dati non raccolti direttamente presso l’interessato (art. 14), l’informativa deve essere fornita entro un termine ragionevole (che non può superare un mese dalla raccolta), oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato).

La modalità

L’informativa  deve essere concisa, trasparente, intelligibile per l’interessato e facilmente accessibile: deve essere utilizzato un linguaggio chiaro e semplice (art. 12, par. 1).

L’informativa è fornita, in linea di principio, per iscritto e preferibilmente in formato elettronico.

Il Regolamento ammette  l’utilizzo di icone per presentare i contenuti in forma sintetica, ma solo “in combinazione” con l’informativa estesa.

L’informativa standard INFN

Disponibile qui .

Con il provvedimento del 2 novembre 2024 il Garante ha concluso l'istruttoria nei confronti di OpenAI -- la società che ha creato e gestisce il servizio ChatGPT -- avviata a marzo 2023.

In estrema sintesi, OpenAI:

• non ha comunicato il data breach subito nel marzo 2023 (avrebbero potuto essere visualizzati da utenti diversi dagli interessati il nome, il cognome, l’e-mail, le ultime quattro cifre e la scadenza della carta di credito);
• ha utilizzato i dati personali degli utenti per addestrare ChatGPT senza un’adeguata base giuridica e senza informativa;
• non ha previsto meccanismi per la verifica dell’età degli utenti.

Il Garante, di conseguenza,

• ha ordinato a OpenAI di realizzare una campagna di comunicazione di 6 mesi su radio, televisione, giornali e internet per migliorare la comprensione e la consapevolezza degli utenti sul funzionamento di ChatGPT;
• ha comminato una sanzione di 15 milioni di euro.

Il 22 ottobre 2024 si è conclusa l'istruttoria del Garante Irlandese nei confronti di Linkedin Irlanda.

L'accusa -- avanzata dal Garante Francese e trasmessa a quello Irlandese in quanto competente per Linkedin -- sosteneva che la società aveva trattato dati personali per profilazione e pubblicità mirata senza basi legali valide e con modalità scorrette e non trasparenti.

Il Garante Irlandese ha concluso che le accuse erano fondate, ha condannato Linkedin a modificare la Privacy Policy e i trattamenti dei dati personali in modo da adeguarli alle prescrizioni del GDPR e ha comminato tre sanzioni pecuniarie per un totale di 310 milioni di euro.

E' stato pubblicato sulla Gazzetta Ufficiale Serie Generale n° 278 del 27 novembre 2024 "Codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale", approvato con il provvedimento del Garante n° 618 del 17 ottobre 2024.

L’art. 40 del GDPR prevede che le associazioni o altri organismi rappresentanti le categorie di titolari o responsabili del trattamento possano produrre codici di condotta -- che devono essere approvati dall’autorità di controllo -- che ne facilitino l'applicazione in settori specifici e in funzione delle esigenze delle micro, piccole e medie imprese. L'adesione ad un tale codice può essere utilizzata ai fini dell'accountability del trattamento.

Il codice di condotta è stato promosso della imprese produttrici di software gestionale aderenti ad Assosoftware.

I punti chiave:

• il software prodotto deve rispettare i principi di protezione dati dalla progettazione (by design) e per impostazione predefinita (by default);
• i produttori devono offrire misure tecniche e organizzative adeguate per la protezione dei dati personali trattati;
• le prescrizioni del comportamento dei produttori a seconda del loro ruolo come titolari, responsabili  o sub-responsabili del trattamento.

A dicembre 2024, l'European Data Protection Board (EDPB) ha adottato il Parere n. 28/2024 -- lungo e complesso -- in risposta ad alcune domande, poste dall'autorità irlandese per la protezione dei dati, sul trattamento dei dati personali per lo sviluppo e l'utilizzo di sistemi di Intelligenza Artificiale.

Il parere, rivolto alle autorità garanti europee con lo scopo di armonizzare la normativa a livello europeo, esamina quando e come i modelli di IA possano essere considerati anonimi, se e come l'interesse legittimo può essere utilizzato come base giuridica per lo sviluppo o l'utilizzo di modelli e cosa succede se un modello è sviluppato utilizzando dati personali trattati illecitamente.

L'EDPB è piuttosto scettica sulla possibilità che un sistema di IA possa essere anonimo. E comunque afferma che è necessaria una valutazione fatta caso per caso da parte delle autorità garanti.

Riguardo l'interesse legittimo, anche qui si sottolinea la  necessità di una valutazione caso per caso, fornendo delle considerazioni generali di cui le autorità dovrebbero tenere conto.

Infine, lo sviluppo di un modello con dati personali trattati illecitamente potrebbe impattare sulla liceità della sua diffusione, a meno che non sia stato anonimizzato. 

Con il provvedimento del 26 Settembre 2024, il Garante ha sanzionato un’Azienda Sanitaria Territoriale perché i certificati che rilasciava per attestare la presenza in ospedale del lavoratore riportavano l’indicazione del reparto che aveva erogato la prestazione, violando gli obblighi in materia di sicurezza e il principio di minimizzazione dei dati personali.

Nel provvedimento il Garante ha ribadito che i documenti di questo tipo non devono riportare le indicazioni della struttura presso la quale è stata erogata la prestazione sanitaria, il timbro con la specializzazione del medico, o informazioni che possano far risalire allo stato di salute. I dati trattati, infatti, devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Un’associazione aveva contestato dinanzi all’autorità francese per la protezione dei dati personali (CNIL) la prassi dell’impresa ferroviaria francese (SNCF) che obbligava  la clientela a indicare, al momento dell’acquisto on line del biglietto, oltre al nome e cognome, l’appellativo «Signore» o «Signora», perché riteneva che l’obbligo violasse il principio di minimizzazione dell’uso dei dati personali.

Il CNIL aveva respinto il reclamo, da cui la domanda di annullamento della decisione presentata al Consiglio di Stato, che aveva rinviato la questione alla Corte di giustizia dell’Unione europea.

La Corte -- con la sentenza sulla causa C-394/23 -- ha ritenuto illegittima la raccolta di dati relativi all’identità di genere del cliente perché non necessaria né allo svoglimento del servizio acquistato né alla personalizzazione delle comunicazioni commerciali da parte dell'impresa di trasporto. La Corte ha ricordato che, conformemente al principio di minimizzazione, i dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario alle finalità per le quali sono trattati.