Articolo pubblicato su mondodiritto.it
Non libera il Titolare del trattamento da responsabilità la semplice stipula di un atto di nomina a responsabile esterno ex art. 28 gdpr in assenza di una attività di verifica delle misure tecniche e organizzative adeguate ai rischi connessi alla specifica operazione di trattamento.
Con l’ordinanza ingiunzione in commento (doc web 9751498), la Regione Toscana è stata sanzionata per la somma di € 10.000,00 per essere stata ritenuta responsabile di un data breach avvenuto ad opera dell’affidataria del servizio di organizzazione e gestione della preselezione delle prove concorsuali, nominata Responsabile del trattamento.
1. Premessa
Come è noto, la disciplina in materia di protezione dei dati personali prevede che i soggetti pubblici, anche qualora operino nello svolgimento di procedure concorsuali, selettive o comunque valutative, prodromiche all’instaurazione del rapporto di lavoro, possono trattare i dati personali degli interessati (art. 4, punto 1), del Regolamento europeo 679/2016 “gdpr”), se il trattamento è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” (si pensi a specifici obblighi previsti dalla normativa nazionale “per finalità di assunzione”, artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e 88 gdpr) oppure “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, par. 1, lett. e) gdpr).
Come è parimenti noto, l’operazione di “diffusione” di dati personali (come la pubblicazione online), da parte di soggetti pubblici, è ammessa solo quando prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento (art. 2-ter del Codice, poi modificato dal citato d.l. 8 ottobre 2021, n. 139).
Il titolare del trattamento è poi, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” (art. 5, par. 1, lett. a) gdpr).
Il titolare, nell’ambito della predisposizione delle misure tecniche e organizzative che soddisfino i requisiti stabiliti dal gdpr, anche sotto il profilo della sicurezza (artt. 24 e 32 gdpr), può avvalersi di un responsabile per lo svolgimento di alcune attività di trattamento, cui impartisce specifiche istruzioni (cfr. considerando n. 81 gdpr). In tal caso il titolare “ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto [le predette misure] adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti degli interessati” (art. 28, par. 1 gdpr).
2. La diffusione dei dati personali
Il Garante privacy, nel prendere atto che la Regione ha tempestivamente notificato la violazione dei dati personali all’Autorità e ha prontamente informato, mediante un messaggio di posta elettronica, gli interessati coinvolti nella violazione, in conformità agli art. 33 e 34 gdpr, ha anche riconosciuto che le misure intraprese sono state adeguate per porre rimedio alla violazione e attenuarne i possibili effetti negativi nei confronti degli interessati.
Dall’accertamento compiuto sulla base degli elementi acquisiti nonché delle successive valutazioni, è risultato che i candidati hanno proceduto all’iscrizione al predetto concorso indetto dalla Regione, tramite il portale in questione, e che, nei giorni precedenti alle prove preselettive, la stessa ha inviato alla Società, fornitrice del servizio di organizzazione e gestione della fase preselettiva, responsabile del trattamento, i dati necessari all’espletamento di tali prove (nome, cognome, data di nascita e codice fiscale di ciascun partecipante alla procedura). Successivamente, la Società ha proceduto al “caricamento” dei dati relativi alle prove espletate sul server che avrebbe ospitato l’applicazione web per la consultazione da parte di ciascun candidato dei propri dati. In tale circostanza si è verificato l’incidente di sicurezza che ha dato luogo alla diffusione di numerosi dati personali (riferiti a circa 3.600 partecipanti alla fase preselettiva nei giorni 21, 22 e 23 luglio 2020).
Sul punto, ha osservato l’Autorità indipendente, che il titolare del trattamento è tenuto a “mettere in atto misure adeguate ed efficaci [e a …] dimostrare la conformità delle attività di trattamento con il […] Regolamento, compresa l’efficacia delle misure” adottate (considerando 74 gdpr) e, in tale ambito, ai fini della predisposizione delle misure tecniche e organizzative che soddisfino i requisiti stabiliti dal Regolamento, può ricorrere anche a un responsabile per lo svolgimento di alcune attività di trattamento, al quale impartisce specifiche istruzioni, anche sotto il profilo della sicurezza (v. considerando 81 gdpr).
In base al gdpr, i dati devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (art. 5, par. 1, lett. f) gdpr).
In ogni caso il titolare rimane responsabile dell’attuazione delle misure tecniche e organizzative adeguate a garantire e essere in grado di dimostrare che il trattamento è effettuato in conformità al Regolamento. Sul titolare ricadono, infatti, le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una “responsabilità generale” in relazione ai trattamenti posti in essere (v. art. 5, par. 2 che formalizza la c.d. “accountability” e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, punto 8) e 28 gdpr; provv. 17 settembre 2020, n. 160 doc. web n. 9461168 e, da ultimo, provv. 10 giugno 2021, n. 235, doc. web n. 9685922).
A tal fine, affinché il titolare sia in condizione di rispettare i propri obblighi in materia di protezione dei dati e sia in condizione di dimostrarlo, l’accordo che disciplina il rapporto con il responsabile del trattamento, deve avere un sufficiente livello di dettaglio in merito a tali misure (artt. 5, par. 2, e 24 del Regolamento; cfr., sul punto, con espresso riferimento al rapporto tra gli articoli 5, par.2, 24 e 32 del Regolamento Guidelines 7/2020 on the concepts of controller and processor in the GDPR, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, in particolare, par. 2.1.4, punti 8, 19, 41 e 126).
Nel caso di specie, è emerso che la Regione, con il contratto di affidamento del servizio, abbia regolamentato, ai sensi dell’art. 28 gdpr, il rapporto con la Società, prevedendo che la Società si impegnasse a “non mettere in atto, per nessun motivo, trattamenti di dati diversi da quelli autorizzati dal Titolare” e oggetto del contratto (cfr., art. 16 del citato contratto di affidamento del servizio).
In particolare, seppur nell’offerta tecnica che costituisce parte integrante del citato contratto, la Società, responsabile del trattamento, si era altresì impegnata a garantire “immediatamente dopo la conclusione delle prove, l’accesso on-line degli elaborati, della scheda anagrafica, del codice di abbinamento e del correttore al Candidato che, con username e password, potrà visionare il proprio elaborato”, risulta accertato che, nello svolgimento delle attività necessarie alla predisposizione dell’applicazione web per la consultazione da parte di ciascun candidato dei propri dati, la Società non avesse tuttavia adottato alcuna misura idonea a garantire che i dati personali di ciascun interessato fossero resi disponibili esclusivamente allo stesso o a soggetti autorizzati.
In particolare, la mancata adozione di procedure di autenticazione informatica – in occasione della predetta operazione di upload dei dati, in data 29 luglio 2020, dalle ore 14:49 alle 15:49 – ha reso possibile a chiunque si fosse collegato all’indirizzo web https://scanshareservice.com/regione-toscana/, peraltro erroneamente messo a disposizione di una candidata, di accedere liberamente ai dati personali dei circa 3.600 interessati partecipanti alla procedura (ossia, nome, cognome, data di nascita, codice fiscale, giorno della prova e sessione di convocazione, numero di questionario estratto per la sessione alla quale ha partecipato ciascun candidato, esiti dettagliati dei singoli questionari e punteggio complessivo).
3. Conclusioni
L’ordinanza in commento risulta particolarmente interessante in quanto, nonostante i comportamenti tenuti dalla Regione Toscana siano stati definiti adeguati per porre rimedio alla violazione e attenuarne i possibili effetti negativi nei confronti degli interessati, non si è ritenuto comunque di poter ritenere superati i rilievi notificati dall’Ufficio ispettivo.
Nonostante, quindi, l’aver effettuato la notifica al Garante del data breach, l’aver predisposto e fatto firmare un atto di nomina a responsabile esterno del trattamento, l’aver agito con tempestività nell’informare tutti i possibili interessati, l’assenza di misure tecniche e organizzative adeguate ai rischi connessi alla specifica operazione di upload dei dati – ancorché riconducibile principalmente alla mancata predisposizione di specifiche misure di controllo degli accessi sul server in questione da parte della Società, responsabile del trattamento – ha creato le premesse per il verificarsi della violazione di sicurezza che ha comportato la diffusione online dei dati personali dei candidati, in violazione degli artt. 5, par. 1, lett. a), e 6, par. 1, lett. c) ed e) gdpr e dell’art. 2-ter del Codice, di cui la Regione, titolare del trattamento, deve essere comunque ritenuta responsabile ai sensi degli artt. 5, par. 2 e 24 gdpr.
Se ne deduce, quindi che assolutamente necessario arricchire gli atti di nomina a responsabile del trattamento ex art. 28 gdpr di misure tecniche e organizzative adeguate di volta in volta ai trattamenti di dati personali affidati ai fornitori, evitando quindi contratti standard, dando conto delle scelte intraprese in ossequio al principio di accountability (art. 5 par. 2 e 24 gdpr).