N.5 - Giugno 2024

• Nei concorsi pubblici si possono pubblicare online solo le graduatorie definitive dei vincitori
• Accesso ai dati identificativi delle persone da parte di un'autorità pubblica nazionale
• Sanzioni del Garante per un attacco hacker al SSR della Regione Lazio
  
• La Cassazione conferma la sanzione del Garante all'università Bocconi per un trattamento illegittimo di dati biometrici
• Chiarimenti del Garante sulla conservazione dei metadati nella gestione della posta elettronica
• Notizie

Il Garante ha sanzionato l’INPS per aver pubblicato sul proprio sito web i risultati delle prove intermedie e dei dati personali dei concorrenti non vincitori o non ammessi ad un concorso pubblico.

Il reclamante aveva lamentato la pubblicazione di numerosi atti e documenti, tra cui la lista dei partecipanti, con la valutazione dei titoli e l'indicazione del punteggio da parte della Commissione di concorso e gli elenchi degli ammessi o meno alla prova scritta e alla prova orale.

Il Garante ha ricordato che i soggetti pubblici, quando operano nello svolgimento di procedure concorsuali devono trattare i dati personali degli interessati nel rispetto delle norme di settore: i dati pubblicati possono essere solo quelli previsti dalla legge. Non sono ammessi livelli differenziati di tutela della protezione dei dati personali, né su base territoriale né a livello di singola amministrazione, in particolare quando la materia sia già stata regolata con disposizioni uniformi a livello nazionale.
Il Garante ha spiegato che le disposizioni del bando di concorso non possono essere utilizzate come base giuridica per diffondere online i dati personali dei partecipanti, dato che un atto amministrativo, per quanto generale, non può tuttavia derogare, contravvenire o modificare le norme di settore. E comunque non possono andare contro gli stessi principi generali dell’ordinamento sui dati personali, basati sulla minimizzazione, pertinenza e proporzionalità dei dati personali trattati rispetto alle finalità.
Infine, l’eventuale consenso dato dai candidati interessati al
trattamento, compresa la diffusione dei dati personali, è irrilevante perché la base giuridica del trattamento è in una norma di legge o regolamento o, in ultima analisi, nei principi generali della disciplina della privacy nei rapporti di lavoro.

Nello stabilire l’importo della sanzione in 20.000 euro, l’Autorità ha considerato la natura, la durata e la gravità della violazione, nonché l’elevato numero degli interessati e l’atteggiamento collaborativo dell’Istituto.

La Corte di Giustizia dell’Unione europea, con sentenza del 30 aprile 2024, pronunciata nella causa C-470/21 ha affermato che la normativa europea sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva 2002/58/CE e in particolare l’art. 15) deve essere interpretata nel senso che gli Stati membri possono adottare norme che impongano ai fornitori di accesso a Internet l'obbligo di conservare gli indirizzi IP ai fini della lotta contro i reati in generale, purché non sia possibile ricavare informazioni precise sulla vita privata dell'interessato.

Il caso

Con un decreto del Primo Ministro diretto a proteggere le opere coperte da diritto d'autore dai reati commessi su Internet, l’ordinamento francese ha introdotto due operazioni di trattamento di dati personali:

• la raccolta, da parte di organizzazioni di titolari di diritti, di indirizzi IP utilizzati su siti peer-to-peer per commettere reati in materia di diritto d’autore e il loro invio a un'autorità di controllo per la diffusione delle opere e la protezione dei diritti su Internet (Hadopi - High Autorité pour la diffusion des œuvres et la protection des droits sur Internet);
• l'abbinamento degli indirizzi IP con i dati di identità civile dei titolari, effettuato dai fornitori di accesso a Internet, su richiesta di Hadopi.

Con queste operazioni Hadopi può avviare un procedimento nei confronti delle persone identificate, che può portare al loro deferimento alla Procura della Repubblica.

Alcune associazioni per la tutela dei diritti e delle libertà su Internet hanno presentato un ricorso al Consiglio di Stato francese per l'annullamento del decreto. Il Consiglio di Stato ha sottoposto il problema alla Corte di giustizia europea.

I principi stabiliti dalla Corte di Giustizia

La Corte ha ritenuto che la conservazione generale e indiscriminata degli indirizzi IP non costituisca necessariamente una grave interferenza con i diritti fondamentali, purché la legislazione nazionale imponga modalità che garantiscano una separazione effettiva tra le  categorie di dati personali.

La Corte ha dichiarato che il diritto dell'Unione non osta a una normativa nazionale che autorizzi l'autorità pubblica competente ad accedere ai dati di identità associati a un indirizzo IP - conservati separatamente e in modo realmente impermeabile dai fornitori di accesso a Internet - al solo scopo di identificare la persona sospettata di aver commesso un reato. Ha sottolineato che gli Stati membri devono comunque garantire che tale accesso non permetta di trarre conclusioni precise sulla vita privata dei titolari interessati. Ai funzionari cui è consentito tale accesso deve essere vietato divulgare informazioni sul contenuto dei file consultati, di tracciare il flusso di click sulla base degli indirizzi IP e di utilizzarli per qualsiasi scopo diverso da quello dell'identificazione dei titolari in vista dell'eventuale adozione di misure.

Ha inoltre stabilito che la possibilità di collegare tali dati con file contenenti informazioni che rivelano il titolo di opere protette la cui diffusione ha giustificato la raccolta di indirizzi, è soggetta a un controllo da parte di un tribunale o di un organo amministrativo indipendente, se la stessa persona ripete condotte in violazione del diritto d'autore. Il controllo deve avvenire prima di qualsiasi collegamento, perché questo potrebbe permettere di trarre conclusioni precise sulla vita privata della persona stessa.

Da ultimo, ha dichiarato che il sistema di elaborazione dei dati utilizzato dall'autorità pubblica deve essere sottoposto, a intervalli regolari, a una revisione da parte di un organismo terzo e indipendente, volta a verificarne l'integrità - comprese le garanzie contro i rischi di accesso abusivo o illegale a tali dati o di utilizzo degli stessi - e la sua efficacia e affidabilità nell'individuazione di potenziali comportamenti illeciti.

A seguito di un attacco informatico causato da un malware di tipo ransomware, il Garante, con tre provvedimenti del 21 marzo 2024, ha sanzionato la Regione Lazio, la società LAZIOcrea che gestiva per suo conto i sistemi informativi del servizio sanitario regionale e l'Azienda sanitaria locale Roma 3 per violazione alle norme del GDPR.

La vicenda

L’origine dell’incidente è stata individuata nella compromissione di un account di un dipendente regionale, le cui credenziali di accesso erano state sottratte con una backdoor - non rilevata, né all’epoca né nel corso delle indagini, dai più comuni software antivirus - sul suo computer personale, utilizzato per i collegamenti da remoto alla rete aziendale per il lavoro in smart working. Il computer è stato utilizzato per acquisire informazioni sulla rete e sui server presenti, inviduandone uno con un software obsoleto, per cui non erano più disponibili aggiornamenti o patch di sicurezza, ma necessario per il funzionamento di un’applicazione web legacy. Sfruttando vulnerabilità note del software, gli hacker sono venuti in possesso di credenziali di autenticazione privilegiate, utilizzate nelle fasi seguenti dell’attacco.

L'attacco è stato scoperto nella mattina del 1° agosto 2021, quando un operatore sanitario ha segnalato l'impossibilità di accedere ad alcuni servizi. La console del sistema Microsoft Windows Defender ATP non era presidata H24 e quindi i suoi allarmi della notte precedente non erano stati gestiti tempestivamente.

Considerazioni e giudizio del Garante

Obblighi del titolare

In virtù del principio di integrità e riservatezza (art. 5, par. 1, lett. f), del Regolamento), il titolare deve:

• valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti e le libertà degli interessati e contrastare efficacemente quelli identificati;
• tenere conto dei requisiti di sicurezza nella progettazione e nello sviluppo del sistema, integrando e svolgendo costantemente test pertinenti;
• definire il trattamento dei dati personali in modo da minimizzare il numero delle persone che devono accedervi per svolgere le proprie funzioni;
• proteggere i dati personali da modifiche e accessi non autorizzati e accidentali, sia durante il trasferimento sia durante la conservazione;
• registrare gli eventi rilevanti ai fini della sicurezza delle informazioni e monitorarli per rilevare tempestivamente eventuali incidenti di sicurezza;
• garantire la continuità operativa e il ripristino dei sistemi informatici in caso di disastro;
• disporre e documentare le procedure per la gestione delle violazioni dei dati personali.

Obblighi di vigilanza verso il responsabile

Anche se il servizio offerto dal responsabile viene da quest’ultimo definito preliminarmente in modo specifico, spetta comunque al titolare adottare la decisione finale con cui si approvano le modalità di esecuzione del trattamento,  nonché chiedere eventuali modifiche. Il titolare è sempre responsabile dell’attuazione delle misure tecniche e organizzative adeguate a garantire che il trattamento sia effettuato conformemente al Regolamento (art. 24 e considerando 37 e 135) e deve essere in grado di poterlo dimostrare.

Le responsabilità del titolare non si esauriscono con la stipula dell’atto giuridico con il responsabile (art. 28, par. 3) e con la disposizione delle istruzioni relative al trattamento, ma durano per tutto il tempo in cui questo tratta i dati per suo conto.

Certificazione

Il sistema di gestione per la sicurezza delle informazioni della Società era certificato in conformità alla norma UNI CEI EN ISO/IEC 27001:2017, con estensione ai controlli della ISO 27017 e ISO 27018, che però non rientra, al momento, tra quelle previste dall’art. 42 del Regolamento. In ogni caso, la certificazione ai sensi dell’art. 42, può sì essere utilizzata per dimostrare il rispetto degli obblighi del Regolamento, ma non ne implica automaticamente il rispetto. Inoltre, la certificazione può essere limitata a specifici ambiti dell’organizzazione e  il suo processo, basato principalmente sui risultati degli audit, contiene elementi di incertezza, sia perché legato al concetto di rischio, sia perché svolto su un campione dei processi sottoposti a certificazione. E dunque la ISO/IEC 27001 non garantisce, di per sé, livelli di sicurezza, controlli o misure di sicurezza stabiliti o fissati a priori, ma assicura solamente l’adozione dei controlli che l'organizzazione ha identificato e ritenuto adeguati sulla base di una propria valutazione del rischio. Il titolare del trattamento, quindi, quando si avvale di un responsabile del trattamento certificato, dovrebbe sempre verificare se le garanzie offerte dallo stesso siano efficaci e adeguate ai trattamenti affidatigli.

Rilevazione tempestiva della violazione

La gestione inadeguata degli allarmi della console Microsoft Windows Defender ATP non ha consentito alla Società, e quindi alla Regione, di venire tempestivamente a conoscenza della violazione dei dati personali. I rischi presentati dai trattamenti eseguiti risultavano elevati, per la natura dei dati, per il numero degli interessati e per le possibili conseguenze negative in caso di violazione, e dunque, anche se la legislazione attuale non prevede nel caso specifico l’obbligo di un SOC H24, il Regolamento, in base al principio di responsabilizzazione, demanda al titolare e al responsabile il compito di individuare e adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato.

Misure per la sicurezza delle reti

La Società non aveva adottato adeguate misure per segmentare e segregare le reti su cui erano attestate le postazioni di lavoro dei propri dipendenti, quelle dei dipendenti della Regione Lazio, e i server utilizzati per i trattamenti. In particolare, le regole di filtraggio sui firewall nel data center della Società non sono stati in grado di impedire la propagazione del malware su circa 180 sistemi.

Al momento in cui si è verificata la violazione, l’accesso remoto alla rete della Regione, tramite VPN, era con  autenticazione via username e password.

Obsolescenza dei software istallati

I server che utilizzavano software obsoleti non erano adeguatamente isolati dagli altri server utilizzati per i trattamenti dati, anche relativi alla salute degli assistiti del Servizio sanitario regionale;

Disponibilità e resilienza dei sistemi e dei servizi

Il sistema di gestione dei backup non aveva procedure di gestione specifiche: ogni referente di progetto, al momento del rilascio in produzione, comunicava le informazioni sul tipo e la conservazione dei backup da eseguire.

Le modalità adottate per assicurare la disponibilità e la resilienza dei sistemi e dei servizi, inclusa la gestione del backup, non sono state ritenute in linea con le migliori pratiche di settore e adeguate al contesto dei trattamenti svolti.

Le sanzioni

Le sanzioni comminate sono state: per la Regione Lazio 120.000 €, per la società LAZIOcrea 271.000 € e per la ASL Roma3 10.000 €.

Con la sentenza n. 12967/2024, la Corte di Cassazione ha confermato il provvedimento del Garante 317/21 in cui sanzionava l'università Bocconi per un trattamento illegittimo dei dati biometrici degli studenti partecipanti ad un esame, provvedimento in seguito parzialmente annullato dal Tribunale di Milano.

L'università utilizzava un software per scoprire eventuali scorrettezze da parte degli studenti durante esami a distanza. Il software impiegava riprese video e istantanee per tenere traccia di comportamenti anomali. Alla fine della prova il sistema inviava il video al docente, evidenziando possibili comportamenti scorretti, perché potesse decidere se lo svolgimento della prova fosse stato regolare.

Questo il principio affermato dalla Cassazione

In tema di trattamento dei dati personali, ai sensi dell’art. 9 del Regolamento (UE) 2016/679, ricorre un trattamento di dati biometrici, come definiti dall’art. 4, n.14 del Regolamento 2016/679, quando i dati personali sono ottenuti mediante un trattamento tecnico automatizzato specifico, realizzato con un software che, sulla base di riprese e analisi delle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, le elabora, evidenziando comportamenti o elementi anomali, e che perviene a un esito conclusivo, costituito da una elaborato video/foto che consente (o che conferma) l’identificazione univoca della persona fisica, restando irrilevante la circostanza che l’esito finale del trattamento sia successivamente sottoposto alla verifica finale di una persona fisica.

In sostanza, sebbene il trattamento di fotografie non costituisca, di per sé, un trattamento di categorie particolari di dati personali - come sostenuto nella sentenza del Tribunale di Milano - lo diviene però quando queste vengono elaborate da un dispositivo tecnico in modo da consentire l’identificazione univoca o l’autenticazione di una persona fisica. Nel caso in esame, le riprese video e le foto realizzate non avevano solo la funzione di documentare la prova di esame, ma venivano elaborate e selezionate per  individuare e segnalare comportamenti anomali: l’attività costituiva dunque trattamento dei dati biometrici, confermando inoltre l’identità della persona fisica esaminata, dato che il risultato era sottoposto solo in un secondo momento al docente.

Il Garante per la protezione dei dati personali, con il  provvedimento n. 364 del 6 giugno 2024, a seguito di una consultazione pubblica, ha apportato alcune modifiche e integrazioni al documento di indirizzo del  21 dicembre 2023 Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati.

Finalità del provvedimento

Il Garante precisa innanzitutto che il documento non reca prescrizioni né introduce nuovi adempimenti a carico dei titolari del trattamento, ma si propone di offrire una ricostruzione delle disposizioni applicabili nell'ambito specifico, al fine di richiamare l’attenzione su alcuni punti di intersezione tra la disciplina di protezione dei dati e le norme per l’impiego degli strumenti tecnologici nei luoghi di lavoro.

Cosa si intende per metadati

I metadati sono le informazioni registrate nei log dei server di gestione della posta elettronica relative all'invio, ricezione e smistamento dei messaggi. Possono comprendere gli indirizzi email del mittente e del destinatario, gli indirizzi IP dei server o dei client coinvolti nell’instradamento del messaggio, gli orari di invio, di ritrasmissione o di ricezione, la dimensione del messaggio, la presenza e la dimensione di eventuali allegati e, in certi casi, anche l’oggetto del messaggio.

Cosa non si intende per metadati

Non sono metadati: le informazioni contenute nel corpo o nell'header dei  messaggi, che documentano l’instradamento, la sua provenienza e altri parametri tecnici. Queste informazioni, anche se corrispondenti ai dati registrati nei log dei server di posta, sono inscindibili dal messaggio di cui fanno parte integrante e che rimane sotto l’esclusivo controllo del mittente o del destinatario.

Quando non si applicano le garanzie per il controllo indiretto dell'attività lavorativa

Per considerare i metadati come strumento di lavoro e non rendere applicabile le garanzie previste dall’art. 4, comma 1 della legge 300/1970 sul controllo indiretto dell’attività dei lavoratori (accordo sindacale o in mancanza autorizzazione INL), la conservazione dei soli metadati necessari ad assicurare il funzionamento del sistema di posta elettronica può essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni. La conservazione per un periodo maggiore potrà essere effettuata solo in presenza di condizioni particolari, che dovranno essere adeguatamente motivate, in applicazione del principio di accountability.

Oneri del titolare sui programmi di gestione della posta elettronica

Il titolare deve verificare il rispetto di questa durata, specialmente nel caso in cui si tratti di prodotti di mercato forniti in modalità cloud o as-a-service o quando siano acquistati mediante le convenzioni/piattaforme che le pubbliche amministrazioni devono o possono utilizzare per l’acquisto di beni e servizi.

Il Garante ricorda infine che in caso di raccolta e memorizzazione dei log della posta elettronica, a causa della particolare “vulnerabilità” degli interessati nel contesto lavorativo, nonché il rischio di “monitoraggio sistematico”, sia necessaria una preventiva valutazione di impatto (DPIA).

Il 20 maggio 2024 il Garante ha emesso una nota informativa sul web scraping e intelligenza arificiale generativa. Il documento tiene anche conto dei suggerimenti ricevuti in seguito all'indagine conoscitiva che aveva avviato a fine 2023.

Il documento è rivolto ai gestori di siti web e di piattaforme online, titolari del trattamento dati, che rendono disponibili dati poi raccolti da bot di terze parti.

Le azioni suggerite per il contrasto al web scraping sono state individuate in:

• Creazione di aree riservate,
• Inserimento di clausole ad hoc nei termini di servizio,
• Monitoraggio del traffico di rete,
• Intervento sui bot.

Ovviamente le azioni vanno esaminate caso per caso, certamente non garantiscono una protezione totale dal fenomeno e dunque sarà compito dei titolari valutare le misure per contrastare il fenomeno.

L'EDPB il 23 maggio 2024 ha pubblicato un rapporto preliminare del gruppo di lavoro su ChatGPT.

Gli aspetti presi in considerazione sono, tra gli altri, la raccolta dei dati, l'addestramento del modello, l'interazione con gli utenti, l'esattezza dei dati e il rispetto dei diritti degli inteessati.

Al rapporto è allegato un questionario rivolto ai titolari del trattamento in cui si chiedono delucidazioni sui punti sopra elencati.