[doc. web n. 10013321]

Provvedimento dell'11 aprile 2024

Registro dei provvedimenti
n. 198 dell'11 aprile 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, Regolamento generale sulla protezione dei dati (di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO il regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.garanteprivacy.it, doc. web n. 9107633 (di seguito “reg. del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del reg. del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (doc. web n. 1098801);

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. L’attività istruttoria.

In data XX, la Camera di commercio, industria, artigianato e agricoltura di Roma (di seguito, Camera di commercio) ha notificato al Garante, ai sensi dell’art. 33 del Regolamento, una violazione dei dati personali, avvenuta tra il XX e il XX, determinata da un “attacco informatico (tipologia SQL Injection) su una delle componenti utilizzate dall’ambiente applicativo CMS (Content management system) fornito dalla società ISWEB spa, nell’ambito del servizio dedicato al portale istituzionale della Camera di Commercio”.

In particolare, la Camera di commercio ha rappresentato di essere “stata vittima di un attacco informatico al CMS Isweb che ha sfruttato la vulnerabilità dell’ambiente applicativo basata su un parametro utilizzabile tramite chiamata GET di tipo SQL Injection. L’attacco ha permesso l’accesso al database dell’applicazione, con la successiva manipolazione delle utenze applicative a scopo di caricamento sul filesystem di file malevoli per l’accesso remoto al sistema (backdoor)”, dichiarando di essere venuta a conoscenza della violazione dei dati personali tramite la “pubblicazione di un tweet che menzionava la Camera di Commercio di Roma da parte di un account riconducibile ad Anonymous, che denunciava un attacco al sito istituzionale dell’Ente. Il tweet ed un post sul blog di Anonymous facevano riferimento ad una news fittizia pubblicata dagli stessi hackers”.

Successivamente, in data XX, la Camera di commercio ha fornito alcuni elementi integrativi alla predetta notifica, rappresentando che “Innova Camera […], deputata alla gestione del sito istituzionale, […] riferisce che “Nella giornata del XX, alle ore 13:50 l’Azienda Innova Camera ha rilevato un tweet, riconducibile a “Lulzsecita” che pubblicava file csv di dati, definendoli “Registro Imprese”” e che “lo stesso XX, alle ore 14:51, il Direttore Generale di Innova Camera ha ricevuto una comunicazione dal CNAIPIC […] che segnalava la presenza online di un link ad un file csv dove era possibile scaricare l’elenco di circa 22 mila utenti e definiva l’attacco come “probabilmente di tipo Sql Injection ai danni del server”. Tale attacco, prosegue il CNAIPIC, “è stato un tramite mediante il quale gli aggressori hanno probabilmente impiantato una backdoor””.

Nella medesima nota, la Camera di commercio ha inoltre dichiarato che:

per la gestione del suo sito istituzionale – all’interno del quale si trovava il sistema di gestione degli appuntamenti coinvolto nella violazione dei dati personali –, si avvale, in qualità di responsabili del trattamento, della ISWEB S.p.A. e di Innova Camera – Azienda speciale della Camera di commercio, industria, artigianato e agricoltura di Roma per l’innovazione (di seguito, Azienda o Innova Camera);

“Secondo quanto riferisce Innova Camera, il file csv di dati oggetto di pubblicazione “è riconducibile ad un data base di back up, non esposto al web, conservato nello stesso server che ha subito l’attacco attraverso il CMS ISWEB già rilevato in data 15 giugno u.s.. Il data base in questione è relativo ad una copia di back up del XX dell’applicativo che gestisce gli appuntamenti […], che era stata effettuata prima della migrazione dell’applicativo stesso su un altro server al fine di ottimizzare le risorse hardware. Lo stesso è composto da 22.334 record di utenti registrati che, attraverso user name e password, ottenuti a seguito della registrazione, accedevano ad un sistema che consente di fissare un appuntamento on line [...]”. Innova Camera, nella relazione sopra richiamata, riferisce, inoltre, che il CNAIPIC ha segnalato rischi per altre due risorse web: un modulo chat facente parte dell'applicativo ISWEB, che risulta privo di contenuti, e un sistema denominato Ariannaweb, utilizzato per la consultazione dell'archivio storico della Camera di Commercio. Tali risorse sono collocate su un server diverso, da quello oggetto dell'attacco primario. In via precauzionale Innova Camera ha disposto la disattivazione di tutti i servizi e inibito l’accesso al server dal web”;

la violazione dei dati personali avrebbe dunque riguardato “dati anagrafici (nome, cognome, codice fiscale)”, “dati di contatto (indirizzo di posta elettronica, numero di telefono fisso o mobile)”, nonché “dati di accesso e di identificazione (username, password crittografata in MD5)”;

“Una vulnerabilità applicativa di tale CMS ha permesso ad utenti malintenzionati l’esecuzione dell’attacco e l’inserimento di backdoor che hanno consentito l’accesso da remoto al sistema e al webserver e hanno fatto sì che gli aggressori sottraessero i dati del menzionato data base di back up non esposto al web, residente sullo stesso server del CMS oggetto della violazione”;

“la pubblicazione in data XX del file csv, relativo ad una copia di backup dell'applicativo che gestisce il sistema degli appuntamenti on line della Camera di Commercio di Roma, ha comportato la diffusione dei dati personali di circa 22.300 utenti”.

Con nota del XX, la Camera di commercio, in riscontro ad una richiesta di informazioni del XX inviata ai sensi dell’art. 157 del Codice, ha precisato che “la password era liberamente scelta dall’utente all’atto della registrazione. Qualora l’utente desiderasse cambiare la password, poteva utilizzare la funzione “recupero password” e ricevere un link sul proprio indirizzo e-mail”.

All’esito dell’istruttoria svolta, stante la particolare complessità dei profili di natura tecnologica emersi nel corso dell’istruttoria, è emerso che:

le password degli utenti registrati al sistema di gestione degli appuntamenti in questione erano memorizzate, all’interno di un file contenuto sul server oggetto dell’attacco informatico, previo utilizzo di un algoritmo di hashing, quale l’algoritmo MD5, non robusto in termini crittografici. Il predetto algoritmo di hashing non risulta infatti una misura efficace per proteggere le password degli utenti in quanto sono note, già da diversi anni, gravi vulnerabilità dell’algoritmo MD5 che consentono a chiunque di risalire, a partire da un valore di hash, alla password che lo ha generato;

la predetta copia di backup dei dati personali degli utenti registrati al servizio di gestione delle prenotazioni avrebbe dovuto essere cancellata al termine delle attività di migrazione dell’applicativo, o, comunque, entro un termine congruo alla necessità di garantire un eventuale ripristino dei dati in caso di malfunzionamenti o incidenti di sicurezza.

Infine, con nota del XX, la Camera di commercio, in riscontro a una richiesta di informazioni del XX da parte di questa Autorità, ha aggiunto, in particolare, che:

“Quanto ad Innova Camera, che come detto, non è una società, bensì un’Azienda Speciale della Camera di Commercio, organismo strumentale istituito ai sensi dell’art. 2 della L. 29 dicembre 1993, n. 580 e s.m.i e dell’art. 21, comma 2, lett. f) dello Statuto della Camera, la nomina a Responsabile del trattamento è stata effettuata in conseguenza dei compiti ad essa affidati, nell’ambito delle finalità istituzionali della Camera, declinati nell’art. 3 “Attività” del Regolamento di Organizzazione”;

“i dati violati non si trovavano sul sito istituzionale, bensì in un data base costituito da una copia di back up dell’applicativo che gestisce gli appuntamenti che è stato violato in quanto residente sullo stesso server su cui si trovava il CMS Isweb, che ha subito l’attacco primario”;

“La copia di back up oggetto di violazione era stata realizzata dall’Azienda Speciale Innova Camera nel settembre del XX, in via straordinaria ed una tantum, nell’ambito di una serie di attività volte ad ottimizzare le risorse presenti nei server e che comprendevano anche lo spostamento del sistema degli appuntamenti su un server diverso. […] Sebbene tale copia dovesse essere conservata per il solo periodo utile alla verifica del funzionamento del sistema degli appuntamenti sul nuovo server, la stessa non è stata tempestivamente cancellata. Nel XX, essendo in via di ultimazione i lavori per il rilascio on line del nuovo sito istituzionale, l’Azienda Speciale Innova Camera aveva programmato il trasferimento delle informazioni, la riconfigurazione degli applicativi e, di conseguenza, anche la cancellazione di tutte le informazioni precedenti, tra cui sarebbe rientrata anche quella copia di back up. Proprio per il mese di aprile XX era stato, infatti, previsto il rilascio on line del nuovo sito istituzionale. Sfortunatamente, le difficoltà create dall’insorgere dell’emergenza sanitaria hanno costretto, sia la Camera, sia l’Azienda Speciale Innova Camera che, come detto, è organismo strumentale dell’Ente, a riprogrammare tutte le priorità, limitando al massimo la presenza negli uffici e concentrando gli sforzi nell’assicurare lo svolgimento delle attività istituzionali non altrimenti rinviabili per rendere i servizi all’utenza. Tali circostanze hanno comportato, inevitabilmente, dei ritardi che gli aggressori hanno sfruttato per i propri intenti”.

Con la medesima nota, la Camera di commercio ha altresì prodotto, tra le altre cose, l’atto di conferma della nomina a responsabile del trattamento, ai sensi dell’art. 28 del Regolamento, nei confronti dell’Azienda e il relativo regolamento di organizzazione.

2. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori, ai sensi dell’art. 166, comma 5, del Codice.

Preliminarmente, occorre rilevare che in base alla documentazione raccolta, è emerso che titolare del trattamento, ai sensi degli artt. 4, n. 7), e 24 del Regolamento, era la Camera di commercio di Roma, per conto della quale l’Azienda ha effettuato il trattamento, ai sensi dell’art. 28 del medesimo Regolamento, sulla base del relativo atto di nomina acquisito in atti.

Pertanto, in relazione alle verifiche compiute, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio, con nota del XX, ha notificato all’Azienda l’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori di cui all’art. 58, par. 2, del Regolamento, avendo accertato, nella vicenda in esame, la sussistenza di violazioni della disciplina rilevante in materia di protezione dei dati personali. Con la medesima nota, sono state notificate all’Azienda le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), invitandola a far pervenire scritti difensivi o documenti ed eventualmente a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla l. 689/1981).

Dall’accertamento compiuto risulta accertato che la violazione dei dati personali oggetto di notifica all’Autorità ha riguardato dati personali che “non si trovavano sul sito istituzionale, bensì in un data base costituito da una copia di back up dell’applicativo che gestisce gli appuntamenti”, la quale “copia di back up oggetto di violazione era stata realizzata dall’Azienda Speciale Innova Camera nel settembre del XX, in via straordinaria ed una tantum”. In particolare, “La copia di back up oggetto di violazione era stata realizzata dall’Azienda Speciale Innova Camera nel settembre del XX, in via straordinaria ed una tantum, nell’ambito di una serie di attività volte ad ottimizzare le risorse presenti nei server e che comprendevano anche lo spostamento del sistema degli appuntamenti su un server diverso”.

In particolare, è emerso come, al momento in cui si è verificata la violazione dei dati personali, le password degli utenti registrati al sistema di gestione degli appuntamenti erano memorizzate, all’interno di un file creato dall’Azienda e contenuto sul server oggetto dell’attacco informatico, previo utilizzo di una funzione di hashing (MD5) non robusta in termini crittografici, che non risulta una misura efficace a questi fini.

Inoltre, considerato che i dati personali oggetto di violazione rappresentano “una copia di back up del XX dell’applicativo che gestisce gli appuntamenti […], che era stata effettuata prima della migrazione dell’applicativo stesso su un altro server al fine di ottimizzare le risorse hardware”, è emerso come, “Sebbene tale copia dovesse essere conservata per il solo periodo utile alla verifica del funzionamento del sistema degli appuntamenti sul nuovo server, la stessa non è stata tempestivamente cancellata”.

Al contrario, tale copia di backup dei dati personali degli utenti registrati al servizio di gestione delle prenotazioni avrebbe dovuto essere cancellata al termine delle attività di migrazione dell’applicativo, o, comunque, entro un termine congruo alla necessità di garantire un eventuale ripristino dei dati in caso di malfunzionamenti o incidenti di sicurezza.

Emerge, pertanto, che le scelte effettuate nel caso di specie sono da imputare all’Azienda, nell’ambito della sfera di discrezionalità riconosciuta al responsabile del trattamento su aspetti di dettaglio concernenti le misure tecniche e organizzative (al riguardo, cfr. le Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, spec. par. 40), e risulta pertanto che il trattamento di dati personali svolto dal Innova Camera, con riferimento ai summenzionati profili, è stato effettuato:

in violazione del principio di limitazione della conservazione (art. 5, par. 1, lett. e), del Regolamento);

in violazione del principio di integrità e riservatezza (art. 5, par. 1, lett. f), del Regolamento);

in violazione degli obblighi di sicurezza (art. 32 del Regolamento).

3. L’attività difensiva.

Con nota del XX, l’Azienda ha fatto pervenire i propri scritti difensivi, rappresentando che:

“A causa di predetto attacco primario al CMS ISWEB […], infatti, è stata possibile l’esfiltrazione dei dati contenuti nel database che […] era una copia di backup effettuata nel XX in relazione all’attività di migrazione al nuovo server per evitare il rischio che andassero perse informazioni. La copia era infatti stata realizzata nell’ambito delle attività di gestione del portale camerale, organizzate da Innova Camera e volte ad ottimizzare le risorse presenti nei server. Sebbene l’attività di migrazione fosse stata completata positivamente e quindi non fossero state rilevate anomalie tali da consentire l’ulteriore conservazione del file per effettuare verifiche, a causa di una mera dimenticanza, la copia non è stata cancellata. In poche parole, i criminali informatici – approfittando di una vulnerabilità – ignota dell’applicativo fornito da ISWEB hanno violato il server su cui – oltre al CMS – era ancora memorizzato erroneamente un backup, risalente al XX, contenente i dati relativi alla piattaforma appuntamenti”;

“Appena avuto contezza di quanto accaduto, Innova Camera si è prontamente attivata ponendo in essere le attività di seguito elencate: a) richiesta alla ISWEB di una puntuale relazione sull’accaduto; b) disposizione del blocco immediato delle utenze. Sul punto si precisa che in ogni caso, al momento dell’attacco, non era possibile sfruttare gli hash delle password rinvenute nella copia di backup per l’accesso al sistema appuntamenti dal momento che il servizio non risultava attivo; c) immediata informazione alla CCIAA e al proprio Responsabile della protezione dei dati delle notizie apprese; d) cancellazione della copia di backup dal sistema di appuntamenti oggetto di pubblicazione; e) richiesta di verifica sul server circa la presenza di anomalie e modifica delle chiavi di accesso da parte del fornitore; f) richiesta a Twitter della rimozione del post oltre alla prestazione della più opportuna collaborazione al CNAIPIC nella fase delle indagini investigative; g) disposizione della pubblicazione del nuovo sito della Camera di Commercio e di tutti i servizi relativi al CMS di rm.camcom.it su un nuovo server, diverso rispetto a quello che ha subito l’attacco e conduzione di una verifica manuale di tutti i file e i database per eliminare eventuali anomalie”;

“Successivamente alle verifiche, prettamente di tipo tecnico, l’Azienda Speciale si è occupata, per conto della CCIAA, di informare gli interessati di quanto accaduto provvedendo a inviare, in data XX, un’email a ciascuno dei 22.334 interessati colpiti dalla violazione dei dati personali mettendo altresì a disposizione un recapito per gestire tutte le possibili richieste di chiarimento. Nello specifico, si precisa che sono pervenute da alcuni interessati richieste di chiarimenti che sono state prontamente evase. Alcuni giorni dopo, a seguito della richiesta di informazioni rivolta da codesta Autorità alla CCIAA con la quale si riteneva che la comunicazione agli interessati dovesse essere integrata, Innova Camera provvedeva a inviare a ciascun interessato una ulteriore comunicazione contenente la raccomandazione di non utilizzare più la password compromessa e di procedere alla modifica delle credenziali di accesso a qualsiasi altro servizio online qualora coincidenti o simili a quelle oggetto di violazione”.

Con riferimento, inoltre, agli specifici rilievi mossi dall’Ufficio, relativi al rispetto della disciplina in materia di protezione dei dati personali, l’Azienda ha osservato quanto segue:

sulla violazione del principio di limitazione della conservazione (art. 5, par. 1, lett. e), del Regolamento): “il file risiedeva ancora sul server oggetto di violazione a causa di un errore umano in quanto, seppure la migrazione verso il nuovo server si fosse conclusa senza riportare alcun malfunzionamento, non si è provveduto alla rimozione della copia di backup. La copia in questione era infatti stata realizzata in via del tutto straordinaria e avrebbe dovuto essere cancellata dopo la verifica della corretta attività di migrazione e quindi prima del periodo di piena applicazione del GDPR”;

sulla violazione del principio di integrità e riservatezza (art. 5, par. 1, lett. f), del Regolamento):

“pur trattandosi di una copia che avrebbe dovuto essere cancellata, la stessa non era accessibile agli utenti del sito bensì ai soli amministratori essendo presente sul server e non esposta sul web. Purtroppo, l’attacco rivolto al CMS ISWEB ha coinvolto anche il file contenente i dati degli utenti poiché gli attaccanti, dopo aver sottratto le credenziali di accesso a un’utenza amministrativa di ISWEB, hanno inserito delle backdoor che hanno consentito l’accesso da remoto al sistema e al webserver”;

“Con riferimento all’algoritmo di hashing MD5, […] il sistema degli appuntamenti risale al XX, epoca precedente all’entrata in vigore del Regolamento europeo sulla protezione dei dati. Secondo le valutazioni effettuate, a quel tempo, l’algoritmo in questione era stato considerato un valido meccanismo di offuscamento delle password. […] D’altronde la valutazione corretta risulta quella effettuata ex ante in concreto e non ex post poiché diversamente, in presenza di violazione, ogni scelta sarebbe necessariamente da considerarsi inadeguata. In ogni caso, si precisa, inoltre, che il nuovo sistema degli appuntamenti, nel rispetto del principio di minimizzazione dei dati, è stato disegnato in maniera da non prevedere alcuna autenticazione”.

sulla violazione degli obblighi di sicurezza (art. 32 del Regolamento): “In proposito si specifica che la scrivente Azienda Speciale, in seguito alla piena applicazione del Regolamento europeo sulla protezione dei dati personali, proponeva […] l’implementazione di un più elevato livello di protezione sui server mediante un firewall hardware. Di conseguenza, veniva installato il firewall Fortinet Fortigate 30E”.

Con riferimento agli elementi di valutazione di cui all’art. 83, par. 2, del Regolamento, l’Azienda ha evidenziato che:

“i dati oggetto di violazione sono di natura comune […] e […] fanno riferimento a 22.334 interessati che hanno prenotato un appuntamento sul sito rm.camcom.it”;

la condotta riveste “carattere colposo […] essendosi trattato di un errore umano, dal momento che il backup avrebbe dovuto essere rimosso dopo la verifica della corretta attività di migrazione e quindi prima della piena applicazione del GDPR”;

“nell’immediatezza del fatto e con la finalità di attenuare le conseguenze della violazione, Innova Camera ha provveduto a richiedere a Twitter la rimozione del post e ha contestualmente richiesto alla ISWEB S.p.A. il blocco di tutte le utenze”;

“Innova Camera, per conto della Camera di Commercio, si è prontamente attivata inviando una nuova comunicazione a tutti gli interessati coinvolti dalla violazione di dati personali contenente la raccomandazione di non utilizzare più la password compromessa e di procedere alla modifica delle credenziali di accesso a qualsiasi altro servizio online qualora coincidenti o simili a quelle oggetto di violazione”;

“la violazione non ha riguardato categorie “particolari” di dati ovvero dati “relativi a condanne penali e reati” bensì dati anagrafici (nome, cognome, codice fiscale), di contatto (indirizzo di posta elettronica, numero di telefono fisso o mobile) e di accesso e identificazione (username e hash della password)”;

“Innova Camera, nella sua qualità di responsabile del trattamento della CCIAA, ha tempestivamente contattato la ISWEB S.p.A. non appena è venuta a conoscenza della pubblicazione del tweet prima e della comunicazione da parte del CNAIPIC subito dopo. […] Innova Camera informava altresì dell’accaduto la CCIAA per le vie brevi lo stesso XX e con relazione scritta il giorno successivo, fornendo la massima collaborazione nella gestione dell’incidente e nella predisposizione/invio delle rispettive comunicazioni all’Autorità Garante e agli interessati”;

aveva inviato una specifica comunicazione agli interessati al fine di rivolgere “un’ulteriore raccomandazione agli interessati circa la modifica delle credenziali di accesso”.

Infine, nel corso dell’audizione tenutasi, mediante videoconferenza, in data XX, l’Azienda, oltre a ribadire quanto già dichiarato in atti, ha precisato, in particolare, che:

“l’Azienda si ritiene vittima di un attacco informatico criminale […] prima che si completasse il processo di migrazione verso una nuova infrastruttura, inizialmente programmata per aprile XX e non effettuata a quella data anche a causa del periodo emergenziale sul piano epidemiologico”;

“il file contenente tali dati personali non era destinato alla pubblicazione e le password ivi presenti erano protette con tecniche crittografiche, la cui robustezza deve essere valutata con riferimento al tempo in cui esse erano state adottate (XX) e in cui è stato effettuato il predetto backup (XX)”;

“nei circa due anni trascorsi dall’evento non risultano pervenute segnalazioni, citazioni o richieste di risarcimento danni da parte degli interessati”.

4. La normativa in materia di protezione dei dati personali.

In via preliminare si rappresenta che, seppure la condotta oggetto dell’istruttoria da parte di questa Autorità sia iniziata prima della data di piena applicazione del Regolamento (settembre XX, data di creazione della copia di backup oggetto di violazione), al fine della determinazione della norma applicabile sotto il profilo temporale deve essere richiamato il principio di legalità di cui all’art. 1, comma 2, della l. 24 novembre 1981, n. 689 che, nel prevedere come “Le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e nei tempi in esse considerati”, asserisce la ricorrenza del principio del tempus regit actum. L’applicazione di tale principio determina l’obbligo di prendere in considerazione le disposizioni vigenti al momento della commessa violazione. Nel caso in esame, tale momento – considerando la natura permanente della condotta contestata – deve essere individuato nel momento di cessazione della condotta illecita, che dagli atti dell’istruttoria risulta essersi protratta almeno fino al mese di giugno XX, ossia in epoca successiva al 25 maggio 2018, data in cui il Regolamento è divenuto pienamente applicabile.

Ciò premesso, si evidenzia che i dati personali oggetto di trattamento devono essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (principio di limitazione della conservazione, di cui all’art. 5, par. 1, lett. e), del Regolamento); inoltre, il titolare e il responsabile del trattamento sono tenuti ad adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (principio di integrità e riservatezza e obblighi di sicurezza, di cui agli artt. 5, par. 1, lett. f), e 32 del Regolamento).

Con riferimento alla figura del responsabile del trattamento, l’art. 28 del Regolamento stabilisce, in particolare, che “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento: […]; c) adotti tutte le misure richieste ai sensi dell'articolo 32; […]; f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento; […]” (par. 3).

5. Esito dell’attività istruttoria.

In termini generali, le argomentazioni addotte negli scritti difensivi, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento nei confronti dell’Azienda, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del regolamento del Garante n. 1/2019 sulle procedure interne aventi rilevanza esterna.

Con riferimento agli specifici rilievi mossi nell’atto di avvio del procedimento volto all’adozione di provvedimenti correttivi e sanzionatori, in relazione a quanto argomentato dall’Azienda si osserva quanto segue:

sulla violazione del principio di limitazione della conservazione (art. 5, par. 1, lett. e), del Regolamento): la stessa Azienda ha confermato la non più necessaria conservazione dei dati personali degli interessati, relativi al servizio di gestione degli appuntamenti, all’interno della copia di backup effettuata nel XX, ammettendo che questa, non essendo stata cancellata – come invece avrebbe dovuto – a seguito di un’attività di migrazione verso un nuovo server, era ancora presente nei sistemi al momento in cui si è verificata la violazione dei dati personali (giugno XX);

sulla violazione del principio di integrità e riservatezza e degli obblighi di sicurezza (artt. 5, par. 1, lett. f), e 32 del Regolamento): al riguardo, occorre tener presente che il Regolamento, entrato in vigore il 25 maggio 2016 e divenuto applicabile il 25 maggio 2018, ha introdotto (anche in capo al responsabile del trattamento) l’obbligo di adottare misure adeguate a garantire la sicurezza del trattamento: in particolare, l’art. 32, par. 1, del Regolamento, tra le altre cose, individua espressamente la cifratura come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato e richiede che sia valutata regolarmente l’efficacia delle misure tecniche e organizzative adottate, al fine di un loro aggiornamento che tenga altresì conto dello stato dell’arte e degli specifici rischi per i diritti e le libertà degli interessati.

Nel caso in esame, da un lato, deve essere considerato che, già all’epoca in cui è stato reso operativo il servizio di gestione degli appuntamenti della Camera di commercio (XX), erano note gravi vulnerabilità della funzione di hashing MD5 in grado di consentire di risalire, a partire da un valore di hash, alla password che lo aveva generato. Dall’altro, si deve tener conto degli elevati rischi presentati dal trattamento di tali dati che derivano dall’accesso non autorizzato agli stessi o dalla loro divulgazione, anche in ragione dell’abitudine di molti utenti a riutilizzare la stessa password per servizi online diversi o, comunque, ad utilizzare una password molto simile a quelle utilizzate per altri servizi online.

Ciò comporta che la valutazione dell’adeguatezza delle misure adottate dall’Azienda non può essere cristallizzata al momento in cui il trattamento connesso al servizio è stato progettato (XX) ma deve essere continuamente effettuata nel corso del tempo, anche alla luce dello sviluppo tecnologico in modo da attenuare i rischi derivanti da violazioni dei dati personali come quella che poi si è verificata nel giugno XX.

6. Conclusioni.

Alla luce del complesso delle valutazioni sopra richiamate, le dichiarazioni rese dall’Azienda negli scritti difensivi e nell’audizione, seppure meritevoli di considerazione ai fini della valutazione della condotta, non consentono di superare i principali rilievi notificati dall’Ufficio con l’atto di avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del reg. del Garante n. 1/2019.

In tale quadro, confermando i rilievi notificati dall’Ufficio con la nota del XX, si rileva che, nella vicenda in esame, Innova Camera ha posto in essere la violazione di:

a) il principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e), del Regolamento, con riferimento alla conservazione dei dati personali degli utenti registrati al servizio di gestione delle prenotazioni;

b) il principio di integrità e riservatezza e gli obblighi di sicurezza di cui agli artt. 5, par. 1, lett. f), e 32 del Regolamento, con riferimento alle modalità di conservazione delle password degli utenti.

In tale quadro, considerato che sono state adottate misure volte a superare le criticità sopra descritte non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

Nel caso di specie, l’Azienda Innova Camera risulta aver violato l’art. 5, par. 1, lett. e), del Regolamento, con riferimento alla conservazione dei dati personali degli utenti registrati al servizio di gestione delle prenotazioni, nonché gli artt. 5, par. 1, lett. f), e 32 del Regolamento, con riferimento alle modalità di conservazione delle password degli utenti, determinando l’applicazione di sanzioni amministrative pecuniarie il cui ammontare deve essere determinato tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In proposito, si ritiene applicabile l'art. 83, par. 3, del Regolamento, in base al quale se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave (di cui all’art. 83, par. 5, del Regolamento), assorbendo così le altre violazioni meno gravi.

Pertanto, le suindicate violazioni sono da ricondursi, ai sensi dell’art. 83, par. 3, del Regolamento e dell’art. 166, comma 2, del Codice, nell’alveo della sanzione prevista per la predetta violazione con conseguenziale applicazione della sanzione prevista all’art. 83, par. 5, del Regolamento.

Con specifico riguardo alla natura e alla gravità delle violazioni, nonché al grado di responsabilità del titolare e alle categorie di dati personali interessate (art. 83, par. 2, lett. a), d) e g), del Regolamento), occorre considerare che la vicenda ha avuto origine dall’accesso a una copia di backup oggetto di conservazione non più necessaria e ha riguardato i dati anagrafici e di contatto di utenti iscritti al servizio di gestione delle prenotazioni. Inoltre, occorre considerare che sono note da tempo le gravi vulnerabilità che consentono a chiunque di risalire alla password a partire da un valore di hash, e che, pertanto, la conservazione sicura mediante l’utilizzo di tecniche crittografiche allo stato dell’arte rappresenta comunque una delle misure comunemente adottate per proteggere le password degli utenti di un servizio online.

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità delle violazioni commesse dall’Azienda Innova Camera sia medio (Guidelines 04/2022 on the calculation of administrative fines under the GDPR, adottate dal Comitato il 23 maggio 2023, punto 60).

In senso favorevole al titolare occorre comunque considerare, ai sensi dell’art. 83, par. 2, lett. b), c), e) e f), del Regolamento, che la violazione relativa alla conservazione dei dati personali degli utenti registrati al servizio di gestione delle prenotazioni è da imputare a un errore umano e che l’Azienda – in relazione alla quale non sono state rilevate precedenti violazioni pertinenti – si è prontamente attivata al fine di attenuare le conseguenze della violazione dei dati personali, richiedendo il blocco delle utenze e la rimozione dei dati pubblicati online, e ha fornito la propria collaborazione al titolare del trattamento, e, nell’ambito della cooperazione con l’Autorità, ha inviato un’ulteriore raccomandazione agli interessati coinvolti, al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi.

In ragione dei suddetti elementi, valutati nel loro complesso, e del bilancio ordinario di esercizio dell’Azienda, si ritiene di determinare, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva, l’ammontare della sanzione pecuniaria:

nella misura di euro 10.000 (diecimila) per la violazione dell’art. 5, par. 1, lett. e), del Regolamento;

nella misura di euro 15.000 (quindicimila) per la violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento.

Si ritiene, pertanto, di dover determinare l’ammontare totale della sanzione pecuniaria comminata all’Azienda Innova Camera nella misura di euro 25.000 (venticinquemila) in relazione al complesso delle violazioni precedentemente descritte.

Tenuto conto che le violazioni poste in essere sono hanno consentito l’accesso ed esfiltrazione dei dati personali di un elevato numero di interessati, successivamente pubblicati sul web, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità della condotta tenuta da Innova Camera – Azienda speciale della Camera di commercio, industria, artigianato e agricoltura di Roma per l’innovazione, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. e) e f), e 32 del Regolamento;

ORDINA

a Innova Camera – Azienda speciale della Camera di commercio, industria, artigianato e agricoltura di Roma per l’innovazione, in persona del legale rappresentante pro-tempore, con sede legale in Via de' Burrò, 147, 00186 Roma (RM), C.F. 10203811004, di pagare la somma di euro 25.000 (venticinquemila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

a Innova Camera – Azienda speciale della Camera di commercio, industria, artigianato e agricoltura di Roma per l’innovazione, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 25.000 (venticinquemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione del presente provvedimento sul sito web del Garante, ritenendo che ricorrano i presupposti di cui all’art. 17 del regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Messina, 11 aprile 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei