Sanzione di 30.000,00 Euro alla Provincia Autonoma di Bolzano per vulnerabilità presenti nel Fascicolo San. Elettronico

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Sanzione di 30.000,00 Euro alla Provincia Autonoma di Bolzano per vulnerabilità presenti nel Fascicolo San. Elettronico

Messaggio da Giancarlo Favero »

Molto intreressante ed istruttivo questo provvedimento, che illustra quanto sia importante sottoporre regolarmente le piattaforme elettroniche - in particolar modo quelle in cloud ed a più forte ragione una piattaforma importantissima come il Fascicolo Sanitario Elettronico.

La Provincia Autonoma di Bolzano è stata sanzionata perchè a causa di vulnerabilità presenti nella piattaforma in cloud del fascicolo sanitario elettronico, si sono verificate delle violazioni dei dati, ed in partciolare accessi illeciti ai dati sanitari di alcuni assistiti.

Di seguito trovate il testo integrale del provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9883749

Grazie e buona lettura,

Giancarlo Favero

Provvedimento del 23 marzo 2023

Registro dei provvedimenti
n. 87 del 23 marzo 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stazione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del Garante n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. L’attività istruttoria.

Il 21 aprile 2021 l’Azienda Sanitaria della Provincia Autonoma di Bolzano (di seguito “Azienda sanitaria”) ha trasmesso a questa Autorità, ai sensi dell’art. 33 del Regolamento, una notifica di violazione dei dati personali riguardante l’accesso non autorizzato ai documenti sanitari di alcuni assistiti determinato dalla vulnerabilità del servizio relativo al Fascicolo sanitario elettronico (FSE) raggiungibile tramite l’URL https://fsse.civis.bz.it/fse.

Nella predetta notifica, l’Azienda sanitaria ha rappresentato di non ritenersi titolare del trattamento poiché l’”episodio di violazione dei dati personali afferisce strettamente all'implementazione tecnica dello strumento FSE dell'Alto Adige e non al patrimonio sanitario di Titolarità dell'Azienda Sanitaria dell'Alto Adige” e che “vista la diatriba tra i due Enti si è ritenuto comunque di notificare l'episodio”.
L’Azienda sanitaria ha indicato, tra i soggetti coinvolti nel trattamento dei dati personali in questione, la società Informatica Alto Adige Spa (di seguito “SIAG”) -designata quale responsabile del trattamento nel 2010- e la società Dedalus Italia S.p.a. (di seguito “Dedalus”) -designata anch’essa responsabile del trattamento nel 2018- quest’ultima “nell’ambito del contratto stipulato [… con] Informatica Alto Adige S.p.A. (per conto dell’Azienda Sanitaria della Provincia Autonoma di Bolzano) per la fornitura delle componenti software di Xvalue in aggiornamento tecnologico, in manutenzione evolutiva dell’attuale piattaforma X1.V1, per la realizzazione del Fascicolo Sanitario e Sociosanitario Elettronico della Provincia Autonoma di Bolzano)” (v. notifica del 21 aprile 2021 e nota del 14 maggio 2021).

A seguito della richiesta di informazioni dell’Ufficio del 4 maggio 2021 (prot. n. 24801), l’Azienda sanitaria ha rappresentato che “non gestisce direttamente alcun aspetto della piattaforma FSE, che è in carico a SIAG/Dedalus; non gestisce il modulo di Identity Management, che è integrato alla rete civica MyCivis; non possiede visibilità diretta sullo status dei consensi degli interessati, in quanto il modulo di registrazione e gestione è in capo a SIAG; tutti i controlli di autorizzazione sull’accesso sono demandati sul lato piattaforma di SIAG, così come anche la visione completa degli accessi effettuati (log degli accessi)” (v. nota del 14 maggio 2021).

In risposta alla suddetta richiesta di informazioni, la Provincia autonoma di Bolzano (di seguito “Provincia”) ha dichiarato che “la violazione è avvenuta all’interno di una funzione dell’applicativo su cui è attivo il FSE, a causa di vulnerabilità applicativa del software fornito da Dedalus Italia Spa” rilevando che “MyCivis funge da portale ufficiale della Pubblica Amministrazione dell’Alto Adige per facilitare l’accesso dei cittadini e delle imprese alle informazioni e ai servizi delle diverse istituzioni pubbliche presenti sul territorio. In quanto tale, il Titolare del trattamento risulta essere l’Amministrazione Provinciale. MyCivis, con riferimento al Fascicolo Sanitario Elettronico, funge da “identity and access management” per autenticare il cittadino al servizio. Informatica Alto Adige Spa si occupa dello sviluppo e aggiornamento di tale portale in qualità di Responsabile del trattamento per conto dell’Amministrazione Provinciale. Come da nota del 08.04.2021, la vulnerabilità sfruttata risultava essere a livello applicativo, ovvero, successivamente al servizio di autenticazione fornito da MyCivis” e che “Informatica Alto Adige Spa opera per conto dell’Amministrazione Provinciale in qualità di responsabile del trattamento secondo quanto stabilito e regolato nell’Accordo Quadro di data 10.07.2018, approvato con Delibera della Giunta provinciale n. 675, per le attività previste all’articolo 4, comma 1 della legge provinciale n. 33/1982. Con riguardo al FSE, Informatica Alto Adige Spa svolge trattamenti per conto dell’Amministrazione provinciale” (v. nota del 14 maggio 2021).

Sulla base di quanto rappresentato dalla predetta Provincia e dalla citata Azienda sanitaria, l’Ufficio ha richiesto informazioni a SIAG (nota del 4 giugno 2021), la quale, con riguardo alla violazione dei dati personali, ha dichiarato che:

“MyCivis funge da portale ufficiale della Pubblica Amministrazione dell’Alto Adige per facilitare l’accesso dei cittadini e delle imprese alle informazioni e ai servizi delle diverse istituzioni pubbliche presenti sul territorio. In quanto tale il Titolare del trattamento risulta essere l’Amministrazione Provinciale”;

“MyCivis, con riferimento al Fascicolo Sanitario Elettronico, funge da “identity and access management” per autenticare il cittadino al servizio”;

“per il Fascicolo Sanitario Elettronico MyCivis permette l’accesso solo dopo autenticazione con TS/CNS e SPID di secondo livello come previsto dalla normativa;

“Informatica Alto Adige Spa si occupa dello sviluppo e aggiornamento di tale portale in qualità di Responsabile del trattamento per conto dell’Amministrazione Provinciale”;

“come da nota dell’08.04.2021 la vulnerabilità sfruttata risultava essere a livello di service provider ovvero, successivamente al servizio di autenticazione fornito da MyCivis”;

“il processo di accesso degli assistiti all’interno del Fascicolo Sanitario Elettronico è stato strutturato in ossequio a quanto previsto dal relativo Regolamento (DPCM n.178 del 29 settembre 2015 "Regolamento in materia di fascicolo sanitario elettronico");

“a seguito di un’autenticazione SPID valida e certificata era possibile iniettare nelle chiamate (API) codici fiscali di altri cittadini. Pertanto, era possibile recuperare un documento di un altro cittadino, tuttavia tale attività veniva regolarmente registrata all’interno dei sistemi di monitoraggio (auditing) del FSE. […] Da un punto di vista tecnico era possibile invocare il servizio “getdocument” richiamando un documento di un cittadino utilizzando un cookie di autenticazione che identifica una persona diversa.” (v. nota dell’11 giugno 2021).

Con riguardo alla violazione dei dati personali la società SIAG ha specificato che:

“Informatica Alto Adige Spa, ricevuta comunicazione della violazione ha provveduto a comunicare all’Azienda Sanitaria, in qualità di Titolare del trattamento, l’avvenuta violazione. Una volta comunicata tale violazione è stato fatto un confronto tra i codici fiscali ed i relativi accessi effettuati (analisi dei “log”) all’interno del FSE nel periodo che va dal 01.01.2021 al 08.04.2021. L’arco di tempo all’interno del quale è stato effettuato il controllo degli accessi è stato così definito prendendo in considerazione la data in cui è stata inserita la vulnerabilità all’interno dell’applicativo sfruttata per la violazione, in seguito ad un aggiornamento da parte di Dedalus Italia Spa concordato con il committente, e l’avvenuta violazione. Come da nota dell’08.04.2021 non si evidenziano violazioni sui dati personali conseguenza della succitata vulnerabilità, fatta eccezione per gli eventi relativi alla comunicazione della violazione avvenuta il 06.04.2021. Circa i codici fiscali di cui al punto 1 della nota dell’08.04.2021 in seguito ad approfondimenti per verificare se siano stati oggetto di violazioni, siamo a comunicare la conferma dell’avvenuta violazione. Il totale dei codici fiscali oggetto di violazione è dunque pari a cinque”;

“come da nota dell’08.04.2021 la vulnerabilità è stata risolta la sera stessa dell’avvenuta comunicazione da parte del segnalante. Si rappresenta altresì che in data 08.04.2021 il Direttore generale di Informatica Alto Adige Spa ha presentato denuncia presso la Polizia Postale di Bolzano per i fatti oggetto della presente comunicazione. Informatica Alto Adige Spa, in qualità di Responsabile del trattamento, ha inoltre provveduto ad informare gli interessati dell’avvenuta violazione dei dati personali ivi compresi gli interessati a cui facevano riferimento i due codici fiscali ancora oggetto di valutazione”;

“il portale di MyCivis offre, tra le varie funzionalità, anche quella di “deleghe”. Tale funzione permette tramite le opportune procedure, di poter operare per conto di un’altra persona giuridica o fisica differente da quella che ha effettuato login. Nel caso specifico della violazione tale procedura non è stata oggetto di violazione. La violazione, come descritto precedentemente, è stata causata a livello di service provider (applicazione FSE)”;

“Informatica Alto Adige Spa risulta essere nominata Responsabile del trattamento da parte dell’Azienda Sanitaria, quale Titolare del trattamento. Informatica Alto Adige Spa in qualità di Responsabile del trattamento ha provveduto a nominare Dedalus Italia Spa quale ulteriore Responsabile del trattamento come da allegato per il trattamento riguardante il Fascicolo Sanitario Elettronico” (v. nota dell’11 giugno 2021).

L’Azienda sanitaria, al momento della notifica, ha dichiarato che la violazione ha coinvolto 3 interessati e, successivamente, ha precisato che gli interessati coinvolti, anche sulla base delle dichiarazioni di SIAG, sono stati 5 (v. notifica del 21 aprile 2021, integrazione del 19 ottobre 2021 e nota di SIAG del 11 giugno 2021).

Con riferimento alle misure adottate per porre rimedio alla violazione dei dati personali e a quelle adottate per attenuare i possibili effetti negativi della stessa nei confronti degli interessati, l’Azienda sanitaria ha rappresentato che:

a) “la SIAG ha avviato un indagine con il fornitore dell'infrastruttura del Fascicolo Sanitario onde andare a rimuovere la vulnerabilità informatica”;

b) “alla luce della comunicazione di SIAG […] la vulnerabilità segnalata è stata già risolta intorno alle ore 19,15 del 6 aprile scorso.” (v. notifica del 21 aprile 2021 e nota del 14 maggio 2021).

Per quanto attiene alle misure adottate per prevenire simili violazioni in futuro, l’Azienda sanitaria ha dichiarato che “il fornitore ha segnalato che la vulnerabilità è stata risolta entro le 24 ore dalla prima segnalazione (06 aprile 2021 intorno alle 19.15)” e, successivamente, che “la SIAG ha dichiarato di aver adottato le misure necessarie per evitare il ripetersi di episodi analoghi” (v. notifica del 21 aprile 2021 e integrazione del 19 ottobre 2021).

Sulla base di quanto sopra rappresentato, con nota del 1° marzo 2022 (prot. 13133), questo Ufficio ha effettuato una notifica di violazione di cui all’art. 166, comma 5, del Codice alla Provincia autonoma di Bolzano in quanto è stato rilevato che il trattamento di dati personali in esame è stato effettuato in maniera non conforme al principio di “integrità e riservatezza” (art. 5, par. 1, lett. f), del Regolamento), non adottando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (art. 32 del Regolamento) e adeguate, fin dalla progettazione dei trattamenti effettuati nell’ambito del FSE, ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati, in violazione dell’art. 25 del Regolamento, e omettendo altresì di notificare al Garante la violazione dei dati personali occorsa, in violazione dell’art. 33, par. 1, del Regolamento.

Con nota del 29 marzo 2022 (prot. n. 279657), la Provincia ha fatto pervenire le proprie memorie difensive nell’ambito delle quali ha rappresentato, in particolare, che:

“l’accesso non autorizzato ai documenti sanitari di alcuni assistiti, oggetto della violazione di dati personali notificata in data 21.04.2021 dall’Azienda Sanitaria dell’Alto Adige (di seguito “ASDAA”), è stato determinato da una vulnerabilità del servizio relativo al Fascicolo Sanitario Elettronico (di seguito “FSE”), il cui sviluppo è gestito da Dedalus Italia Spa”;

“tale episodio afferisce quindi pacificamente all’implementazione tecnica dello strumento FSE che – come affermato dalla stessa ASDAA in sede di notifica - è stata affidata da quest’ultima a Informatica Alto Adige Spa (di seguito “SIAG”) e a Dedalus Italia Spa, individuate ex art. 28 del Regolamento, rispettivamente responsabile e sub -responsabile del trattamento afferente alla fornitura delle componenti software di Xvalue in aggiornamento tecnologico, nonché manutenzione evolutiva della piattaforma X1.V1 per la realizzazione del FSE”;

“al fine di chiarire ulteriormente il ruolo dell’Amministrazione provinciale pare utile soffermarsi sul ruolo svolto dall’ASDAA, quale ente strumentale della Provincia Autonoma di Bolzano (di seguito “PAB”), anche alla luce del disposto di cui all´art. 12 del decreto-legge 18 ottobre 2012, n. 179, per cui “Il FSE è istituito dalle regioni e province autonome”, e del policentrismo decisionale tipico di PAB. Il riferimento alla “provincia autonoma” corrisponde infatti ad una competenza di carattere politico, riconducibile genericamente alla PAB. Pertanto, quando il legislatore indica che il FSE è istituito dalle province autonome, nella nozione di Provincia autonoma sono compresi non solo l’Amministrazione provinciale ma anche gli enti strumentali, in particolar modo quelli preposti appunto alla sanità (rif: delibera n. 4830 del 18.12.2006, legge provinciale 5 marzo 2001, n. 7 e legge provinciale 21 aprile 2017, n. 3 in cui viene affermato che “L’Azienda Sanitaria dell’Alto Adige, di seguito denominata Azienda Sanitaria, è un ente strumentale della Provincia dotato di personalità giuridica pubblica e di autonomia gestionale”). Il riferimento normativo all'"istituzione" del FSE richiama espressamente le finalità collegate con tale istituzione ("Il FSE è istituito... a fini di: ..."), ove ad ogni finalità corrisponde una pluralità di soggetti decidenti diversi e quindi una pluralità di titolari. In altre parole, il trattamento riferito all’istituzione del FSE va valorizzato alla luce del collegamento logico-funzionale con le finalità elencate dall'art. 12, comma 2. La competenza istitutiva in questione non si traduce quindi in una titolarità di tutti i trattamenti svolti a mezzo del FSE in capo all’Amministrazione provinciale. In tal senso depone anche la scelta operata dal legislatore al comma 4 e seguenti del citato articolo, in cui le finalità di trattamento per quanto attiene al contenuto del FSE e quindi all’uso di tale strumento vengono attribuite ex lege a titolari determinati. La titolarità dei trattamenti afferenti, invece, al “contenitore” FSE, tanto nella sua fase istitutiva che operativa, si ritiene debba invece essere determinata, per quanto riguarda la PAB, avendo riguardo agli atti che concretamente regolano i rapporti tra gli enti a vario titolo coinvolti, non essendovi una disposizione giuridica che regola e chiarifica, neppur indirettamente, tale aspetto”;

“l’ASDAA, SIAG e la PAB, hanno stipulato l’accordo “per l’affidamento degli incarichi di realizzazione dei progetti per la sanità altoatesina e per l’attivazione dei servizi ad essi inerenti nell’ambito del progetto CRO/FESR 3-1d-142” (allegato 1). Tale accordo, a pagina 1, individua l’ASDAA quale “titolare del sistema ICT della sanità altoatesina e competente nel suo ambito della progettazione, acquisizione e successiva gestione e manutenzione del sistema ICT, delle applicazioni informatiche implementate e dei servizi inerenti”. L’accordo, precisa inoltre - pagina 2 punto iii) – che “ASDAA come ente strumentale della Provincia dell’Alto Adige intende implementare al proprio sistema ICT per la Sanità Alto Atesina il Software denominato Piattaforma X1V1 in attuazione del riuso sopra menzionato”;

“proprio nella nomina a responsabile del trattamento conferita da ASDAA nei confronti di Dedalus si trova la conferma che SIAG agiva "per conto di" ASDAA, quando aveva concluso un contratto con Dedalus proprio per la manutenzione evolutiva della piattaforma X1.V1”;

“l’Amministrazione provinciale, pur avendo affidato in un periodo successivo (in particolare nel corso del 2020) l’incarico per ulteriori sviluppi a SIAG (attraverso la propria Ripartizione Informatica), che si è poi affidata nuovamente all’ulteriore responsabile Dedalus Italia SpA (proprio in ragione dei rapporti già in essere nel 2017 e disciplinati dall’ASDAA), non ha concluso un contratto quale titolare del trattamento, ma quale soggetto che, in virtù della collaborazione prevista negli accordi sottoscritti tra le parti nonché nella delibera della Giunta provinciale sopra citata (n. 949 del 18.9.2018), svolge compiti di natura organizzativa e di supporto, anche economico, rispetto al progetto. Resta inteso che, l’ASDAA, risulta l’ente che persegue le finalità i cui trattamenti trovano espressione anche nel FSE e che esercita le prerogative del titolare del trattamento”;

“della rimozione della vulnerabilità informatica si è infatti occupata, immediatamente, Dedalus Spa su segnalazione di SIAG. L’intervento di Dedalus Spa è quindi da ricondursi ad attività svolte per conto del titolare, ASDAA”;

“che si tratti di una vulnerabilità afferente all’applicativo FSE (service provider), emerge chiaramente anche dalla segnalazione inoltrata dal cittadino (Sig. XY) che ha sfruttato la falla di sicurezza. Egli elenca puntualmente i passaggi eseguiti per accedere a dati sanitari di altri assistiti, che presuppongono una corretta autentificazione al servizio MyCivis. La vulnerabilità è quindi sfruttabile solo previa autentificazione (allegato 8). Si specifica inoltre che, come da analisi eseguite da parte di SIAG, la vulnerabilità sfruttata dal (Sig.XY) (in qualità di vero e proprio attaccante), richiede approfondite conoscenze tecniche e non è un’azione che rientra nelle possibilità di utenti con conoscenze informatiche di base e non evolute. Preme sottolineare che si tratta quindi di un hackeraggio mirato di un sistema informatico che ha richiesto il possesso di conoscenze tecniche molto specifiche e per cui il (Sig. XY) è stato denunciato alle autorità competenti in data 09.04.2021 da parte di SIAG, come da evidenza documentale da questa allegata”;

“a parere di chi scrive risulta quindi pacifico che il perimetro di titolarità dell’ASDAA si estenda anche ai profili applicativi del FSE (per i quali ha infatti incaricato Dedalus Spa) e quindi all´id patient, non essendo infatti limitato all’identificazione dell’assistito al momento dell’erogazione delle prestazioni sanitarie ovvero all’associazione dei metadati a documenti sanitari presenti nel FSE”;

Inoltre, nel documento “Piano di progetto per la realizzazione del Fascicolo Sanitario Elettronico - Provincia Autonoma di Bolzano”, allegato 3 alle predette memorie difensive, è indicato che:

“il progetto FSSE-AA persegue l’evoluzione e l’estensione del FSE nella Provincia, attraverso un Programma che definisce e pianifica delle attività che saranno realizzate dalla Provincia, dall’Azienda Sanitaria dell’Alto Adige (di seguito anche ASDAA, ovvero SABES, ovvero Azienda) e dalle strutture sanitarie e sociosanitarie pubbliche e private del territorio, in coerenza al “Regolamento in materia di FSE” nazionale” (allegato 3 - Piano di progetto per la realizzazione del Fascicolo Sanitario Elettronico Provincia Autonoma di Bolzano)”;

“il progetto FSSE-AA si realizza estendendo l’impianto SIS-FSE-ePRE (Sistema Informativo Sanitario - FSE - Prescrizione Elettronica) sviluppato dall’incarico affidato dalla Ripartizione 9 Informatica della Provincia alla Informatica Alto Adige S.p.A.”;

“le attività di progetto da un punto di vista organizzativo e operativo sono incentrate sui due attori principali, in primis la Provincia e poi l’ASDAA, che perseguiranno congiuntamente il completamento e l’evoluzione del Sistema Informativo Provinciale della Sanità, anche sulla base delle nuove esigenze e funzioni determinate dall’istituzione del FSE provinciale come richiesto dalla L. n° 221/2012 e dalle sue successive modificazioni (L. n° 98/2013)”;

“la titolarità e la programmazione delle attività di progetto FSSE-AA sono in capo alla Ripartizione Salute della Provincia. A tale organizzazione riporta la struttura operativa tecnica di progetto costituita da SIAG che ha il compito della realizzazione ed attuazione sul territorio del progetto. (…) Lato ASDAA, gli interventi IT, di creazione del Dossier Sanitario Elettronico (DSE) e di alimentazione del FSE, sono declinati nel “Piano per lo sviluppo strategico delle tecnologie informatiche dell’ASDAA””;

“per quanto riguarda il controllo e di monitoraggio del progetto, così come per le altre iniziative IT, la competenza è dell’IT governance board della Provincia”;

“l’autenticazione al sistema degli operatori sanitari e sociosanitari del sistema sanitario provinciale, oltre che gli assistiti, avviene nelle modalità previste dall’art. 64 del “Codice dell’Amministrazione Digitale”. L’accesso è veicolato dalla Rete Civica dell’Alto Adige (il portale della Pubblica Amministrazione) nell’area dei servizi eGovernment”;

“sul portale provinciale dalla Rete Civica dell’Alto Adige, nell’area dei servizi eGovernment, entro luglio 2017 saranno integrati i servizi: - Gestione del consenso; - Consultazione FSE; -Gestione oscuramenti documenti; - Consultazione accessi. (…) l’accesso al sistema di FSE avverrà tramite portale web della Rete Civica dell’Alto Adige nell’area dei servizi eGovernment. Il cittadino (...) sarà in grado di: - ottenere una lista di documenti ed informazioni ad esso associata, che soddisfano specifici criteri di ricerca (le ricerche saranno filtrate in base al ruolo dell'utente richiedente); - selezionare un documento e visualizzare il contenuto secondo specifici profili di visualizzazione”;

“le funzioni di alimentazione, ricerca, recupero e aggiornamento dei documenti saranno garantite dall’infrastruttura FSSE-AA. Le interfacce esporranno tutte le necessarie operazioni di ricerca, recupero, creazione ed aggiornamento. Analoghe capability saranno esposte anche tramite front-end web. L’accesso alle singole capability sarà consentito in base al tipo ed al ruolo dell’utente del sistema”;

“inoltre per il sistema FSSE-AA si effettueranno verifiche periodiche sulle credenziali di autorizzazione e sui profili di autorizzazione e, in generale, sul processo di sicurezza adottato. Al fine di scongiurare il rischio di accessi abusivi al FSE e garantire esattezza e continuità nella fruibilità dei dati, la Provincia avviserà tempestivamente il Garante di eventuali violazioni in conformità a quanto richiesto dallo schema di DPCM allegato alle line guida di marzo 2014”.

Infine, con riferimento ai ruoli assunti dai diversi soggetti coinvolti nel trattamento, la società SIAG, con nota del 30 marzo 2022 (prot. n. 408), ha inviato le proprie memorie difensive in riscontro alla notifica di violazione di cui all’art. 166, comma 5, del Codice, effettuata dall’Ufficio nell’ambito della medesima istruttoria, rappresentando che:

“la filiera per la precisione è la seguente: ASDAA (ossia l’Azienda Sanitaria dell’Alto Adige) – SIAG – DEDALUS. SIAG è responsabile di trattamento rispetto ad ASDAA, DEDALUS lo è rispetto a SIAG”;

“a sua volta DEDALUS si colloca rispetto a SIAG nel ruolo di responsabile del trattamento, è cioè responsabile del responsabile, come da contratto ex art. 28 GDPR”;

“SIAG è responsabile del trattamento per ASDAA (agisce infatti “per conto dell’Azienda Sanitaria…”); in tale ruolo, SIAG ha concluso un contratto con DEDALUS; tale contratto determina il trattamento di dati personali; pertanto ASDAA designa DEDALUS quale responsabile del trattamento”.

2. Esito dell’attività istruttoria.

Preso atto di quanto rappresentato nella documentazione in atti e nelle memorie difensive, si osserva che:

ai sensi del Regolamento si considerano “dati relativi alla salute” i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute (art. 4, par. 1, n. 15, del Regolamento). Il considerando n. 35 del Regolamento precisa poi che i dati relativi alla salute “comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria”; “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari”;

il Regolamento prevede che i dati personali siano essere “trattati in maniera da garantire un’adeguata sicurezza (…) compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)” (art. 5, par. 1, lett. f) del Regolamento). Il Regolamento prevede inoltre che il titolare del trattamento, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, debba mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (art. 32 del Regolamento);

pur considerando che i molteplici trattamenti effettuati nell’ambito del FSE ricadono nella titolarità di più soggetti che perseguono finalità diverse, si rileva che le attività di trattamento con riferimento alle quali si è verificata la violazione rientrano nella sfera di titolarità della Provincia autonoma di Bolzano e non anche della Azienda sanitaria. Nello specifico, infatti, la violazione non risulta essere stata determinata da un’errata identificazione dell’assistito al momento dell’erogazione delle prestazioni sanitarie ovvero da una non corretta associazione dei metadati ai documenti sanitari presenti nel FSE (attività di trattamento di cui l’Azienda è titolare), bensì da un non corretto funzionamento del sistema che consente l’accesso ai documenti contenuti nel FSE della Provincia Autonoma di Bolzano, che ricade appunto sotto la titolarità di quest’ultima. Ciò risulta evidente anche da quanto indicato nella documentazione in atti e in particolare modo nel “Piano di progetto per la realizzazione del Fascicolo Sanitario Elettronico - Provincia Autonoma di Bolzano”. In tale documento è evidenziato infatti che “la titolarità e la programmazione delle attività di progetto FSSE-AA sono in capo alla Ripartizione Salute della Provincia”, che “per quanto riguarda il controllo e di monitoraggio del progetto, così come per le altre iniziative IT, la competenza è dell’IT governance board della Provincia” e che “le funzioni di alimentazione, ricerca, recupero e aggiornamento dei documenti saranno garantite dall’infrastruttura FSSE-AA. Le interfacce esporranno tutte le necessarie operazioni di ricerca, recupero, creazione ed aggiornamento”; la violazione risulta, infatti, essere stata determinata da una vulnerabilità dell’applicativo FSE che consentiva a un soggetto autenticato al portale MyCivis -di cui la predetta Provincia è titolare- di visualizzare, selezionare e aprire uno o più documenti di un altro assistito, anche in assenza di delega, semplicemente modificando il parametro patient_id -contenente il codice fiscale- presente all’interno dell’URL utilizzato per mostrare l’elenco dei documenti disponibili all’interno del FSE e, pertanto, nel perimetro di titolarità della citata Provincia. Tale circostanza integra una violazione dei dati personali (art. 4, punto 12, del Regolamento) che la Provincia autonoma di Bolzano avrebbe dovuto notificare al Garante in quanto, consentendo un accesso non autorizzato ai dati personali degli assistiti conservati all’interno del FSE, presentava un rischio per i diritti le libertà degli interessati; tale mancata notifica integra gli estremi di una violazione degli obblighi di cui all’art. 33, par. 1, del Regolamento; al riguardo, si evidenzia che anche il predetto “Piano di progetto per la realizzazione del Fascicolo Sanitario Elettronico - Provincia Autonoma di Bolzano” prevede che “al fine di scongiurare il rischio di accessi abusivi al FSE e garantire esattezza e continuità nella fruibilità dei dati, la Provincia avviserà tempestivamente il Garante di eventuali violazioni in conformità a quanto richiesto dallo schema di DPCM allegato alle line guida di marzo 2014”.

i trattamenti effettuati nel contesto in esame richiedono l’adozione dei più elevati standard di sicurezza al fine di non compromettere la riservatezza, l’integrità e la disponibilità dei dati personali di centinaia di migliaia di interessati. Ciò, tenendo altresì conto delle finalità dei trattamenti e della natura dei dati personali trattati, appartenenti a categorie particolari. Su tale base, gli obblighi di sicurezza imposti dal Regolamento richiedono l’adozione di rigorose misure tecniche e organizzative, includendo, oltre a quelle espressamente individuate dall’art. 32, par. 1, lett. da a) a d), tutte quelle necessarie ad attenuare i rischi che i trattamenti presentano;

spetta al titolare del trattamento “mettere in atto misure adeguate ed efficaci [e…] dimostrare la conformità delle attività di trattamento con il […] Regolamento, compresa l’efficacia delle misure” adottate (cons. 74 del Regolamento), anche qualora si avvalga di un responsabile per lo svolgimento di alcune attività di trattamento, al quale deve impartire specifiche istruzioni, anche sotto il profilo della sicurezza (cons. 81 e art. 32, parr. 1, lett. d), e 4, del Regolamento). Infatti, il titolare rimane responsabile dell’attuazione delle misure tecniche e organizzative adeguate a garantire e essere in grado di dimostrare che il trattamento è effettuato in conformità al Regolamento (artt. 5, par. 2, e 24 del Regolamento; cfr. “Guidelines 7/2020 on the concepts of controller and processor in the GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, in particolare, par. 2.1.4, punto 41);

le modalità di accesso ai documenti contenuti nel FSE degli assistiti della Provincia Autonoma di Bolzano non risultavano pertanto conformi alle disposizioni di cui ai richiamati artt. 5, par. 1, lett. f), e 32 del Regolamento che stabilisce che il titolare e il responsabile del trattamento debbano mettere in atto misure per “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (par. 1, lett. b)) e che nel “valutare l’adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2);

in base al principio della “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del Regolamento), il titolare del trattamento deve adottare misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati (art. 5 del Regolamento) e deve integrare nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati. Tale obbligo si estende anche ai trattamenti svolti per mezzo di un responsabile del trattamento. Infatti, le operazioni di trattamento effettuate da un responsabile dovrebbero essere regolarmente esaminate e valutate dal titolare per garantire che continuino a rispettare i principi e permettano al titolare di adempiere gli obblighi previsti dal Regolamento (cfr. “Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate il 20 ottobre 2020 dal Comitato europeo per la protezione dei dati, spec. punti 7 e 39). Per tali ragioni, le predette modalità di accesso si pongono anche in contrasto con i principi della “protezione dei dati fin dalla progettazione” di cui all’art. 25 del Regolamento. La Provincia ha pertanto omesso di mettere in atto, fin dalla progettazione dei trattamenti effettuati nell’ambito del FSE, misure tecniche e organizzative adeguate, volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati, in violazione dell’art. 25 del Regolamento.

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare nel corso dell’istruttoria ˗ e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante” ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si rileva l’illiceità del trattamento di dati personali effettuato dalla Provincia autonoma di Bolzano nei termini di cui in motivazione, in violazione degli artt. artt. 5, par. 1, lett. f), 25, 32 e 33 del Regolamento del Regolamento.

In tale quadro, considerato che sono state adottate misure volte a superare le vulnerabilità sopra descritte non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

4. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice).

La violazione degli artt. 5, par. 1, lett. f), 25, 32 e 33 del Regolamento, causata dalla condotta posta in essere dalla Provincia autonoma di Bolzano, è soggetta all’applicazione della sanzione amministrativa pecuniaria ai sensi dell’art. 83, par. 4 e 5, del Regolamento.

Si consideri che il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, del Regolamento, alla luce degli elementi previsti all’art. 85, par. 2, del Regolamento in relazione ai quali si osserva che:

l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione da parte dell’Azienda Sanitaria della Provincia Autonoma di Bolzano (art. 83, par. 2, lett. h), del Regolamento);

il trattamento in esame riguarda dati idonei a rilevare informazioni sulla salute di 5 soggetti che sono stati esposti a possibili accessi illeciti per circa tre mesi (da gennaio al 6 aprile 2021) e, sulla base di quanto dichiarato dalla Provincia, non si sono registrate ulteriori conseguenze per gli interessati e i dati illegittimamente visionati non sono stati utilizzati per altri scopi o diffusi, né risultano esservi evidenze di ripercussioni consistenti in un danno fisico, materiale o immateriale agli interessati (art. 83, par. 2, lett. a) e g), del Regolamento);

la Provincia ha dimostrato un elevato grado di cooperazione adoperandosi al fine di introdurre, anche nella concomitanza del contesto emergenziale- misure idonee a superare le vulnerabilità sopra evidenziate (art. 83, par. 2, lett. c), d) e f), del Regolamento);

gli interessati coinvolti sono stati edotti della violazione occorsa da parte di SIAG (a mezzo e-mail in data 14.05.2021) (art. 83, par. 2, lett. c), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 5, lett. a), del Regolamento, nella misura di euro 30.000 (trentamila) per la violazione degli artt. 5, par. 1, lett. f), 25, 32 e 33 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del Regolamento del Garante n. 1/2019, anche in considerazione della tipologia di dati personali oggetto di illecito trattamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara l’illiceità del trattamento di dati personali effettuato dalla Provincia autonoma di Bolzano per la violazione degli artt. 5, par. 1, lett. f), 25, 32 e 33 del Regolamento nei termini di cui in motivazione.

ORDINA

ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Provincia autonoma di Bolzano, codice fiscale 00390090215, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 30.000 (trentamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate nel presente provvedimento; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla Provincia autonoma di Bolzano, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 30.000 (trentamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 23 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei
Top
Rispondi

Torna a “Forum su Privacy e Sicurezza”