Il data breach del gestionale diventa un boomerang per il fornitore del servizio

Se il Comune ha strutturato bene l’accordo con il responsabile esterno del servizio, scegliendolo tra soggetti qualificati, in caso di accesso abusivo al sistema informativo municipale, ne risponderà solo il soggetto privato. In particolare, se l’amministrazione ha formato il proprio personale e agevolato il corretto trattamento dei dati personali con istruzioni e buone pratiche operative.

Lo ha chiarito il Garante per la protezione dei dati personali con l'ordinanza ingiunzione n. 107, del 24 marzo 2022. Un giornalista è riuscito ad entrare senza titolo nella piattaforma utilizzata dalla polizia locale del Comune di Genova per la gestione delle contravvenzioni stradali e per questo motivo l'Autorità ha avviato una istruttoria che si è conclusa con l'applicazione di una sanzione a carico del fornitore esterno del servizio. Il Comune di Genova, specifica l'ordinanza, ha evidenziato che l' accesso abusivo al sistema è stato determinato da una serie di circostanze tecniche non adeguatamente presidiate dal responsabile esterno del trattamento che era stato nominato ai sensi dell'art. 28 del Regolamento europeo sulla protezione dei dati personali. In particolare, il sistema non obbligava gli utenti a modificare la password dopo il primo accesso. E già questo fattore di rischio può essere considerato un inadempimento contrattuale rispetto ai necessari principi di accountability e privacy by design e by default , specifica l'ordinanza. Inoltre, la piattaforma delle multe era disponibile anche su un protocollo non sicuro e la tracciabilità dei log di sistema presentava alcune criticità . All'esito dell'istruttoria sono risultate evidenti le responsabilità del fornitore del servizio . L'art. 32 del Regolamento pone in capo sia al titolare che al responsabile esterno l' obbligo dell' adozione delle necessarie misure tecniche ed organizzative , compresa una poco conosciuta procedura periodica di verifica. Taluni obblighi, specifica l'Autorità, sono posti direttamente anche a carico dello stesso responsabile il quale, in base anche alle competenze tecniche specifiche, deve collaborare, anche manifestando un'autonomia propositiva, nell'adozione di misure adeguate e nella verifica sistematica dell'efficacia delle stesse, soprattutto nel caso in cui fornisca servizi a una pluralità di titolari del trattamento che coinvolgono un numero elevato di interessati, come nel caso in esame. La società, proprio in ragione della sua esperienza nel settore, era tenuta a verificare costantemente l'efficacia delle misure poste a presidio della piattaforma fornita alla polizia locale del Comune di Genova per la gestione delle contravvenzioni, così come chiaramente anche disciplinato nel provvedimento sindacale di nomina, quale responsabile del trattamento, del XX. Risulta invece accertato che alcuni soggetti non autorizzati hanno avuto la possibilità di accedere alla citata piattaforma. Pur essendo, in sintesi, emerso che tale accesso è avvenuto a causa di una fuoriuscita di informazioni riservate credenziali da parte di personale interno del corpo di polizia locale del Comune di Genova, la società avrebbe comunque dovuto adottare misure tecniche e organizzative volte ad assicurare che le password dei soggetti autorizzati rispettassero criteri di qualità e fossero obbligatoriamente modificate al primo utilizzo. Inoltre, è emerso che il servizio in questione era disponibile anche su protocollo http, ossia tramite un protocollo di rete che non garantisce una comunicazione sicura sia in termini di riservatezza e integrità dei dati scambiati che di autenticità del sito web visualizzato. Risulta altresì accertato che, a causa di un errore umano, la società non disponeva dei log del server contenenti fra l'altro gli indirizzi IP degli accessi al sistema ScatWeb, del periodo in cui è avvenuta la violazione dei dati personali in esame XX - XX . Pertanto, risulta accertata la mancata adozione, da parte della società, di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, in violazione degli artt. 5 par. 1 lett. f , e 32 del Regolamento . Per completezza, conclude l'interessante provvedimento, nessuna misura sanzionatoria può essere adottata nei confronti del Comune di Genova che ha formalizzato correttamente l'atto di nomina del responsabile esterno avvalendosi di un soggetto con documentata esperienza tecnica di settore formando il proprio personale anche con istruzioni e linee guida specifiche.

Ordinanza ingiunzione del Garante Privacy del 24 marzo 2022, n. 107