Il responsabile del trattamento nel contesto di una violazione di dati personali: misure di sicurezza e sanzioni

Data breach e Unicredit spa: il provvedimento dell’8 febbraio 2024

Il Provvedimento in oggetto, avente ad oggetto una violazione dei dati personali avvenuta nell’ottobre 2018 ai danni della Unicredit S.p.A. a seguito di un attacco informatico, ha stabilito una sanzione pari a 2.800.000 euro nei confronti del Titolare del trattamento.

L’attacco ha riguardato il portale di mobile banking, causando l’acquisizione illecita di dati personali (nello specifico: nome, cognome, codice fiscale, NDG) di circa 778.000 interessati. Tra i rilievi, l’Autorità di controllo ha osservato che i dati personali “erano resi disponibili all’interno della risposta HTTP (HyperText Transfer Protocol) fornita dai sistemi informatici della Banca al browser di chiunque tentasse, anche senza riuscirvi, di superare la procedura di autenticazione informatica che all’epoca era presente nel Portale di mobile banking” (Garante Privacy, provv. 8 febbraio 2024, n. 9991020). 

Nonostante le approfondite memorie difensive del Titolare, incentrate sull’impegno di UniCredit nella predisposizione di opportuni sistemi di sicurezza informatica, le verifiche svolte hanno accertato la non conformità delle misure implementate ai sensi dell’art. 32 GDPR, nonché la violazione del principio di integrità e riservatezza ex art. 5, par. 1, lett. f), GDPR.

I rilievi dell’Autorità, altresì, hanno riguardato la Società incaricata delle attività di Penetration Test e Vulnerability Assessment, designata Responsabile del trattamento ai sensi dell’art. 29 del previgente Codice. Per l’esperimento di tali servizi, il fornitore si era avvalso di un Ulteriore Responsabile del trattamento in assenza della preventiva autorizzazione della UniCredit SpA, nonché in violazione del medesimo data protection agreement stipulato tra Titolare e Responsabile; difatti, l’articolo 14 del predetto atto di nomina stabiliva l’espresso divieto di ricorrere a terze parti per lo svolgimento delle attività affidate. Oltre a ciò, l’Autorità ha osservato la comunicazione tardiva da parte della Società della violazione occorsa (Newsletter n. 519 del 7 marzo 2024, Garante Privacy). Pertanto, alla luce delle violazioni rilevate, il Garante Privacy ha stabilito una sanzione pari a 800.000 euro in capo al Responsabile del trattamento. In ogni caso, precisiamo che il provvedimento è stato impugnato dinanzi al Tribunale competente, il quale ha disposto la sospensione della sanzione accessoria ai sensi dell’art. 166, comma 7, Codice Privacy (Trib.Milano, ord. 28 marzo 2024, n. 1927).

Data breach e responsabili del trattamento: le misure di sicurezza

L’ articolo 32 del Regolamento (UE) 2016/679 rappresenta il riferimento cardine con riguardo alle misure di sicurezza, strumenti di salvaguardia essenziali per prevenire le ipotesi di violazioni di dati (di seguito, “data breach”). L’articolo, destinato sia ai Titolari che ai Responsabili del trattamento, al paragrafo 1 stabilisce un elenco esemplificativo, descrivendo i parametri da valutare per garantire l'adeguatezza delle misure poste in essere. 

La norma è richiamata dal medesimo articolo 28 GDPR, specificamente diretto ai Responsabili del trattamento; difatti, il par. 3, lett. f) ricorda l’art. 32 tra gli obblighi di assistenza posti in capo al Responsabile, rispetto alle attività di trattamento svolte per conto del Titolare.

Oltre a ciò, l’art. 28, par. 4, richiama la previsione di misure di sicurezza tecniche ed organizzative adeguate tra le garanzie necessarie per assicurare un trattamento conforme, nelle ipotesi in cui il Responsabile ricorra ad un Sub-responsabile per lo svolgimento di specifiche attività di trattamento.

Pertanto, sebbene il principio di responsabilizzazione (art. 5, par. 2 GDPR) prescriva in capo al Titolare una competenza di ordine generale per il rispetto dei principi applicabili al trattamento (tra cui quello di integrità e riservatezza, sancito dal medesimo art. 5, par. 2, lett. f), il Regolamento stabilisce obblighi in materia di misure di sicurezza anche per i medesimi Responsabili del trattamento.

Con riguardo alle violazioni di dati personali, occorre altresì ricordare come gli articoli 33 e 34 GDPR siano ricompresi tra gli obblighi di assistenza diretti ai Responsabili, in conformità con l’articolo 28, par. 3, lett. f) del Regolamento.

Data breach e responsabili del trattamento: gli orientamenti del garante

Rispetto alla materia che ci occupa, è possibile rinvenire diversi Provvedimenti dell’Autorità di controllo volti a sanzionare l’assenza di misure di sicurezza adeguate da parte di Responsabili del trattamento. Di seguito, riportiamo una breve disamina concernente alcuni provvedimenti di interesse:

• Il Provvedimento 22 luglio 2012, n. 9698597 ha stabilito una sanzione pari a 400.000 euro nei confronti di Atac S.p.A., nell’ambito di alcune attività di trattamento, svolte per conto di Roma Capitale, riguardanti servizi connessi a parcometri. A seguito delle verifiche svolte, l’Autorità di controllo ha rilevato la mancata predisposizione di adeguate misure di sicurezza, in violazione dell’articolo 32; tra queste, è possibile ricordare il transito di alcuni dati personali su canali di comunicazione sicuri. Inoltre, tra le inadempienze accertate, è stata rinvenuta la mancata predisposizione degli atti di nomina ex art. 28 GDPR a favore di Atac e di Flowbird Srl, Sub-responsabile del trattamento, sanzionata anch’essa per un importo di 30.000 euro (Garante Privacy, provv. n. 9698558).
• Ricordiamo, altresì, la sanzione pari a 60.000 euro che ha colpito Scanshare Srl, Responsabile del trattamento per conto dell’azienda sanitaria AORN Cardarelli. A seguito di un data breach avente ad oggetto la piattaforma concorsi messa a disposizione dalla Società, alcuni dati personali (incluse informazioni relative alla salute) erano stati oggetto di diffusione; l’evento era stato causato da una vulnerabilità dell’URL HTPP://. Alla Società, in particolare, erano state affidate le fasi di raccolta e gestione delle domande online e di preselezione. Rispetto alla fattispecie in esame, occorre anche evidenziare che il fornitore non era stato designato Responsabile del trattamento mediante atto di nomina, ai sensi dell’articolo 28 GDPR. (Garante Privacy, provv., 17 settembre 2020, n. 9461321).
• Ancora nella prospettiva che ci occupa, è di interesse il Provvedimento 11 febbraio 2022, n. 9562831 che ha visto la Roma Servizi per La Mobilità S.r.l. sanzionata per una somma di 60.000 euro. Nel caso di specie, la Società era stata incaricata dalla Municipalità di Roma della fornitura di un servizio volto a verificare i permessi di accesso alle Zone a Traffico Limitato (cosiddette “ZTL”); tuttavia, in assenza di misure di sicurezza adeguate al rischio, il sistema aveva consentito l’illecita diffusione di una serie di dati personali connessi ai permessi.

In buona sostanza, sulla scorta dei provvedimenti esaminati, rispetto all’oggetto della nostra analisi è possibile rilevare orientamenti tesi a sanzionare non soltanto i Titolari del trattamento, ma anche i medesimi Responsabili.

Le fattispecie considerate, altresì, consentono di rilevare come spesso le violazioni rinvenute siano accompagnate dalla mancanza di opportuni atti di nomina ex art. 28 GDPR, strumenti indispensabili per garantire una effettiva conformità alla normativa privacy vigente.

In conclusione

Alla luce dell’analisi svolta, appare essenziale ricordare come le misure di sicurezza rivestano un ruolo determinante per assicurare processi effettivamente compliant. I parametri dovranno essere stabiliti a seguito di valutazioni eseguite in modo concreto, prendendo in considerazione le particolarità dei trattamenti svolti; sul punto, si ricorda anche quanto disposto nel recente Provvedimento del 22 febbraio 2024 n. 9990659.

In tale ottica, pur tenendo a mente il principio di responsabilizzazione (art. 5, par. 2, GDPR), occorre ricordare come alcuni obblighi siano specificamente rivolti ai Responsabili del trattamento, osservazione già ribadita dal Garante nel sopracitato Provvedimento n. 48/2022 “(…) Pur essendo tenuto, il responsabile del trattamento, a trattare i dati conformemente alle istruzioni impartite dal titolare, taluni obblighi sono, tuttavia, posti direttamente anche a carico dello stesso responsabile. (…)” (Par. 3, doc-web 9562831).

Pertanto, per quanto di sua competenza, il Responsabile è chiamato ad assistere il Titolare proattivamente, al fine di garantire attività di trattamento effettivamente conformi nonché prevenire il rischio di violazioni dei dati personali.