Nel periodo di riferimento considerato (Giugno 2015-Settembre 2015), si segnala il provvedimento di carattere generale[1] recante «Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche» del 2 luglio 2015[2].
Si tratta di un provvedimento complesso con cui il Garante interviene su due distinti profili. Da un lato, la questione relativa alla gestione di violazioni e incidenti informatici aventi a oggetto i database delle pp.aa., con l’obbligo di comunicare i cd. data breach aventi a oggetto banche dati delle amministrazioni pubbliche contenenti dati personali. Dall’altro, la prescrizione di specifiche misure alle pp.aa. che intendano mettere a disposizione «gli accessi alle proprie basi di dati» ad altre pp.aa., mediante la «cooperazione applicativa» ai sensi della disciplina contenuta nel Codice dell’amministrazione digitale-CAD[3].
Con riferimento al primo profilo, l’Autorità di protezione dei dati personali ha prescritto – ai sensi dell’articolo 154, comma 1, lett. c), del d. lgs. 30/3/2003 n. 196 (Codice in materia di protezione dei dati personali, d’ora in poi «Codice privacy») – alle pubbliche amministrazioni indicate nell’art. 1, co. 2, del d. lgs. n. 165 del 30/3/2001 di comunicare «al Garante, entro quarantotto ore dalla conoscenza del fatto, tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati».
La ratio del nuovo onere informativo gravante in generale sulle pp.aa. indicate risiede – come si legge fra l’altro nel provvedimento – nella necessità di assicurare «costantemente l’esattezza, l’integrità e la disponibilità dei dati personali» contenuti nelle banche dati delle amministrazioni pubbliche, che si contraddistinguono, appunto, per l’«ingente mole di dati trattati, [la] delicatezza delle informazioni ivi contenute e [la] molteplicità di soggetti autorizzati ad accedervi». Al fine, dunque, di implementare le misure di sicurezza dei database è stata avvertita l’esigenza di «assoggettare il trattamento dei dati personali effettuato nell’ambito delle predette banche dati all’obbligo di comunicazione al Garante del verificarsi di violazioni dei dati o incidenti informatici (accessi abusivi, azione di malware) che, pur non avendo un impatto diretto su di essi, possano comunque esporli a rischi di violazione».
In tal modo, ci si uniforma a un cammino già avviato in altri settori, con gli obblighi di comunicazione di data breach prescritti nel caso di trattamento dei dati personali nel settore delle comunicazioni elettroniche[4], nel caso di trattamento dei dati biometrici[5], nel caso del trattamento di dati personali attraverso il dossier sanitario[6] e il fascicolo sanitario elettronico[7], oppure proposti dal Garante in sede di emissione di pareri su schemi di decreto o di regolamento in materia di protezione dei dati personali[8].
Sotto il secondo profilo, nelle more della definizione da parte dell’Agenzia per l’Italia digitale-AgID degli «standard di comunicazione e [del]le regole tecniche» di cui all’art. 58, co. 2, del CAD, sono state prescritte – confermando quanto già indicato in precedenza[9] – specifiche misure per le pp.aa. che intendono mettere a disposizione delle altre amministrazioni pubbliche accessi telematici alle proprie banche dati.
Si segnala che è stato, in proposito, ricordato come l’amministrazione che voglia fornire l’accesso (cd. «soggetto erogatore») debba, preliminarmente, constatare l’esistenza di validi presupposti che legittimino altra p.a. ad accedere alle proprie banche dati (ad esempio, per i dati diversi da quelli sensibili e giudiziari, una norma di legge o di regolamento, oppure la comunicazione al Garante ai sensi dell’art. 19, commi 2, del Codice). È necessario, inoltre, verificare «la finalità istituzionale perseguita dal fruitore (ad esempio controllo sulle dichiarazioni sostitutive) e la natura e la qualità dei dati richiesti, selezionando accuratamente le informazioni personali contenute nelle banche dati a cui dare accesso», nonché «la modalità telematica di accesso alle banche dati più idonea rispetto alle finalità, alla natura e alla quantità dei dati, alle caratteristiche anche infrastrutturali e organizzative del fruitore, al volume e alla frequenza dei trasferimenti, al numero di soggetti abilitati all’accesso».
Il soggetto erogatore è tenuto, fra l’altro, a disporre un apposito documento che «riporti l’elenco delle banche dati accessibili» e a controllare «con cadenza periodica annuale, l’attualità delle finalità per cui ha concesso l’accesso ai fruitori, anche con riferimento al numero di utenze attive, inibendo gli accessi (autorizzazioni o singole utenze) non conformi a quanto stabilito nelle convenzioni».
Fra le misure necessarie, sono poi previste particolari cautele per il trattamento dei dati sensibili e giudiziari, nonché specifiche misure di sicurezza.
In particolare, è fra l’altro, prescritto che per l’accesso a dati sensibili o giudiziari, qualora indispensabili, è necessario cifrare opportunamente i predetti dati «con algoritmi che garantiscano livelli di sicurezza adeguati al contesto ai sensi dell’art. 22, comma 6, del Codice».
Il Garante ha individuato, inoltre, dettagliate misure di sicurezza che vanno oltre il rispetto delle misure minime di sicurezza previste dagli artt. 33 ss. del Codice privacy e dal relativo Allegato B contenente il «Disciplinare tecnico in materia di misure minime di sicurezza». Al riguardo, fra l’altro, è previsto che gli accessi alle banche dati debbano avvenire solo «tramite l’uso di postazioni di lavoro connesse alla rete Ip dell’ente autorizzato o dotate di certificazione digitale che identifichi univocamente la postazione di lavoro nei confronti dell’erogatore, anche attraverso procedure di accreditamento che consentano di definire reti di accesso sicure (circuiti privati virtuali)» e che se «l’accesso alla banca dati dell’erogatore avv[iene] in forma di web application esposta su rete pubblica (Internet), l’applicazione [deve essere] realizzata con protocolli di sicurezza provvedendo ad asseverare l’identità digitale dei server erogatori dei servizi tramite l’utilizzo di certificati digitali conformi alla norma tecnica ISO/IEC 9594-8:2014, emessi da una Certification Authority e riconosciuti dai più diffusi browser e sistemi operativi».
È, inoltre, sempre necessario che «le procedure di registrazione avvengano con il riconoscimento diretto e l’identificazione certa dell’utente» e che «tutte le operazioni di trattamento di dati personali effettuate dagli utenti autorizzati, ivi comprese le utenze di tipo applicativo e sistemistico, de[bbano] essere adeguatamente tracciate».
Devono, inoltre, «essere sempre presenti misure di protezione perimetrali logico-fisiche, quali ad esempio firewall e reti private virtuali (VPN)», con costante aggiornamento (sia sui server che sulle postazioni di lavoro) di sistemi software, programmi utilizzati e protezione antivirus[10].
Quanto alle conseguenze relative a eventuali inadempienze delle pp.aa. circa le prescrizioni impartite, si ricorda che la mancata comunicazione al Garante dei data breach, oppure la mancata adozione delle misure necessarie individuate nell’Allegato 2 del provvedimento da parte delle amministrazioni pubbliche, integra un illecito amministrativo sanzionato ai sensi dell’art. 162, comma 2-ter del Codice privacy.
[1] Sulla portata giuridica di provvedimenti prescrittivi di carattere generale si rinvia alle considerazioni già svolte, e alla bibliografia ivi citata, in M. Viggiano, Osservatorio Garante per la protezione dei dati personali (fasc. 1/2014), in www.osservatoriosullefonti.it, Archivio rubriche 2014, Garante-privacy (url: https://www.osservatoriosullefonti.it/archivio-rubriche-2014/agcm-agcom-avcp-garante-privacy/976-garante-per-la-protezione-dei-dati-personali-12014).
[3] Il riferimento è agli artt. 58, comma 2, e 72, co. 1, lett. e) del d. lgs. n. 82 del 7/3/2005, i quali prevedono – rispettivamente – che «Le pubbliche amministrazioni comunicano tra loro attraverso la messa a disposizione a titolo gratuito degli accessi alle proprie basi di dati alle altre amministrazioni mediante la cooperazione applicativa di cui all’articolo 72, comma 1, lettera e). L’Agenzia per l’Italia digitale, sentiti il Garante per la protezione dei dati personali e le amministrazioni interessate alla comunicazione telematica, ivi incluso il Ministero della giustizia, definisce entro novanta giorni gli standard di comunicazione e le regole tecniche a cui le pubbliche amministrazioni devono conformarsi)» e che per «cooperazione applicativa» deve intendersi «la parte del sistema pubblico di connettività finalizzata all’interazione tra i sistemi informatici delle pubbliche amministrazioni per garantire l’integrazione dei metadati, delle informazioni e dei procedimenti amministrativi».
[4] In tale settore è prescritto fra l’altro l’obbligo per il «fornitore di servizi di comunicazione elettronica accessibili al pubblico» di comunicare al Garante la violazione dei dati personali – ossia ogni «violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico» (artt. 4, co. 3, lett. g-bis, del Codice privacy) – «entro il termine di 24 ore dall’avvenuta conoscenza della violazione, fornendo gli eventuali elementi ulteriori entro 3 giorni dalla stessa» (in tal senso, «Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach)» del 4/4/2013, in G.U. n. 97 del 4/4/2013 e in www.gpdp.it, doc. web n. 2388260. Cfr. art. 32-bis, co. 1, del Codice privacy; nonché artt. 2, par. 2, lett. i); 4, par. 3, della direttiva 2002/58/CE). Vd. anche, con riferimento al data breach, provv. del 22/5/2014 recante «Provvedimento generale in materia di trattamento dei dati personali nell’ambito dei servizi di mobile remote payment - 22 maggio 2014», in G.U. n. 137 del 16/6/2014 e in www.gpdp.it, doc. web n. 3161560; provv. del 10/9/2015 recante «Schema di provvedimento generale in materia di trattamento di dati personali nell’ambito dei servizi di mobile ticketing», in www.gpdp.it, doc. web n. 4273074.
[5] Cfr. il «Provvedimento generale prescrittivo in tema di biometria» del 12/11/2014, in G.U. n. 280 del 2/12/2014 e in www.gpdp.it, doc. web n. 3556992, con cui è stato prescritto, fra l’altro, a tutti i titolari di trattamenti biometrici «di comunicare al Garante [entro ventiquattro ore dalla conoscenza del fatto] il verificarsi di violazioni dei dati (data breach) o incidenti informatici (accessi abusivi, azione di malware…) che, pur non avendo un impatto diretto su di essi, possano comunque esporli a rischi di violazione» (vd. in particolare par. 3).
[6] Cfr. il Provvedimento recante le «Linee guida in materia di dossier sanitario» del 4 giugno 2015, in G.U. n. 164 del 17/7/2015 e in www.gpdp.it, doc. web n. 4084632, con cui è prescritto ai titolari del trattamento, in caso di violazione dei dati personali trattati attraverso il dossier sanitario, l’«obbligo di comunicazione al Garante [entro quarantotto ore dalla conoscenza del fatto] del verificarsi di violazioni dei dati (data breach) o incidenti informatici (accessi abusivi, azione di malware…) che, pur non avendo un impatto diretto su di essi, possano comunque esporli a rischi di violazione» (vd. in particolare par. 2).
[7] Cfr. il Decreto del Presidente del Consiglio dei ministri in materia di fascicolo sanitario elettronico (attualmente ancora in corso di pubblicazione sulla G.U.), che ha recepito le indicazioni del Garante in materia di data breach. Sul punto vd. il provvedimento recante il «Parere del Garante su uno schema di decreto del Presidente del Consiglio dei ministri in materia di fascicolo sanitario elettronico» del 22/5/2014, in www.gpdp.it, doc. web n. 3230826, laddove si afferma che «al fine di scongiurare il rischio di accessi abusivi al FSE e di garantire l’esattezza e la continuità della fruibilità dei dati, lo schema è stato integrato prevedendo l’obbligo per il titolare del trattamento di avvisare tempestivamente il Garante nel caso in cui i dati trattati nell’ambito del FSE subiscano violazioni (c.d. “data breach”): si pensi a attacchi informatici, incendi o altre calamità, che possano comportare la perdita, la distruzione o la diffusione indebita di dati».
[8] Cfr. «Parere all’AGID su due schemi di regolamento recanti, rispettivamente, le modalità attuative per la realizzazione dello SPID e le relative regole tecniche» del 4 giugno 2015, in www.gpdp.it, doc. web n. 4257475; «Parere su uno schema di decreto del Presidente del Consiglio dei ministri in materia di sistemi di sorveglianza e registri» del 23 luglio 2015, in www.gpdp.it, doc. web n. 4252386. In materia di data breach, vd. anche, seppure in ambito diverso, «Parere del Garante sull’affidamento, secondo il modello in house, della gestione del sistema informativo della fiscalità alla Sogei S.p.a.» del 13 febbraio 2014, in www.gpdp.it, doc. web n. 3001879.
[9] Il riferimento è a quanto indicato nel provvedimento recante il parere sulle «Linee guida redatte dall’Agenzia per l’Italia Digitale ai sensi dell’art. 58, comma 2, del d.lg. 7 marzo 2005, n. 82 (CAD)» del 4/7/2013, in www.gpdp.it, doc. web n. 2574977, con cui sono state prescritte specifiche misure ai destinatari delle predette Linee guida (cfr. allegato 1 al provvedimento).