GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Provvedimento su data breach
Registro dei provvedimenti n. 3 del 10 gennaio 2019
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
NELLA riunione odierna, in presenza del dott. XX, presidente, della dott.ssa XX, vicepresidente, della dott.ssa XX e della prof.ssa XX, componenti, e del dott. XX, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);
VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. n. 101 del 10 agosto 2018, di seguito “Codice”);
ESAMINATA la documentazione in atti;
VISTI gli atti d’ufficio e le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa XX;
PREMESSO
1. La violazione del sistema informatico.
1.1 A seguito della notizia, apparsa sulla stampa nei primi giorni del mese di febbraio 2018, relativa ad un attacco informatico al sito web del partito democratico di XX (www.partitodemocratico.fi.it), che ha comportato la violazione dei dati personali di cittadini iscritti al partito medesimo, l’Autorità, con nota del 7 febbraio 2018, ha chiesto di essere informata in ordine all’accaduto, anche al fine di conoscere quali iniziative fossero state intraprese per garantire la sicurezza dei sistemi informativi ed evitare il ripetersi di accadimenti similari.
Con le note del 14 e 22 febbraio 2018 e, da ultimo, a conferma di quanto precedentemente dichiarato, il 13 dicembre 2018, il Partito democratico - coordinamento cittadino di XX (di seguito PD XX), in qualità di contitolare del trattamento dei dati personali (quale articolazione territoriale del Partito Democratico nazionale, titolare del trattamento), ha fornito alcune delucidazioni, anche allegando una relazione tecnica predisposta dal dott. XX, rappresentante legale di XX, che gestisce il sito sopracitato. In particolare, il PD XX ha rappresentato:
a) di essere venuto a conoscenza dell’attività di hackeraggio a danno del dominio www.partitodemocratico.fi.it in data 5 febbraio 2018 a seguito di una segnalazione da parte del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (C.N.A.I.P.I.C.) che aveva individuato la presenza su twitter di un messaggio proveniente da un’organizzazione dedita all’hackeraggio di strutture informatiche (denominata “XX” del gruppo “XX”) in cui venivano riportati i nominativi di iscritti al partito democratico XX;
b) che i dati oggetto della violazione riguardano circa 600 nominativi di iscritti al PD XX negli anni 2014 e 2015 e concernono oltre al nome e al cognome, la data di nascita e l’indirizzo (ivi compreso l’indirizzo e.mail);
c) di avere, in pari data, presentato denuncia presso la Polizia Postale di XX;
d) che i primi attacchi sono avvenuti nel corso della giornata del 4 febbraio originati da indirizzi IP appartenenti ad aree geografiche diverse (Bangkok, Svezia e Seychelles) e che i molteplici tentativi di accesso, non riusciti, erano mirati ad ottenere l’autorizzazione come amministratore e, in particolare, “a scaricare un backup del Dump del database (attività fallita in quanto i backup dei siti in questione sono presenti in altre directory del server)”; l’attacco è proseguito tramite la tecnica del “SQL injection” ma non ha implicato le credenziali di autenticazione (“nessuna password infatti è stata rotta”); i dati sottratti erano presenti nel database sopra citato e, più precisamente, nella parte riservata alla gestione degli iscritti da parte dei diversi circoli territoriali per il rinnovo delle iscrizioni;
e) che la procedura di iscrizione al partito prevede che i dati personali degli iscritti siano raccolti dai circoli territoriali e quindi caricati sul database che è stato oggetto di attacco informatico; ciascun circolo territoriale può visualizzare la parte di database relativa ai propri iscritti e modificarli in caso di rinnovo dell’iscrizione al Partito, mentre il Coordinamento del Partito democratico cittadino non ha mai avuto credenziali di autenticazione o di accesso al sito; soltanto il dott. XX, peraltro responsabile della comunicazione del PD XX, “quale titolare dell’account admin, aveva i poteri necessari per attivare/disattivare gli account dei circoli”;
f) di avere immediatamente provveduto a mettere in sicurezza tutti i domini che si riferiscono al PD XX (partitodemocratico.fi.it, XX,XX,festadellunita.fi.it,XX), i cui “spazi web non contengono più archivi nominativi del Partito democratico”; inoltre, le tabelle contenenti i dati personali sono state svuotate e i backup on line sono stati cancellati, il disco da cui i backup on line sono stati cancellati è stato risanato (in modo che non sia possibile recuperare i file cancellati) e le procedure di login sono state bloccate;
g) che “i dati degli iscritti sono ora accessibili esclusivamente all’interno delle reti intranet delle sedi territoriali (cittadine, regionali o nazionali) con accesso protetto da login e password e, come ulteriore misura di sicurezza, è stata predisposta la limitazione dell’accesso al server solo ad IP dichiarati per un determinato sito web”.
1.2. Con successive note del 2 luglio e 28 settembre 2018, in riscontro ad una ulteriore richiesta di chiarimenti formulata da questa Autorità in ordine ai rapporti intercorrenti con XX e alle modalità con le quali è stata resa l’informativa al trattamento dei dati personali ai sensi dell’art. 13 del Codice in materia di protezione dei dati personali (a decorrere dal 25 maggio 2018 art. 13 del Regolamento (UE) 2016/679) e acquisito il relativo consenso, il PD XX ha precisato che:
a) non vi è stata alcuna designazione della predetta società quale responsabile del trattamento e che il rapporto è intercorso unicamente con il dott. XX che, “in qualità di iscritto e di responsabile della comunicazione del Coordinamento cittadino, si è avvalso”, sin dal 6 dicembre 2001 (data di registrazione del dominio partitodemocratico.fi.it a mezzo della predetta società) “dell’infrastruttura (i server innanzitutto) della società medesima di cui è procuratore (…) svolgendo funzioni analoghe ad un amministratore di sistema;
b) i dati degli iscritti non sono stati conferiti a soggetti terzi o comunque a soggetti esterni all’organizzazione del Coordinamento;
c) l’informativa, completa del riferimento alle finalità previste dallo statuto associativo per le quali i dati risultano effettivamente raccolti ed utilizzati, è stata resa oralmente a ciascun iscritto al momento stesso dell’iscrizione e prima della sottoscrizione del relativo modulo;
d) il consenso è stato acquisito per iscritto all’atto della sottoscrizione della predetta scheda di iscrizione (di cui è stata allegata copia).
Con successiva nota del 13 dicembre 2018 PD XX ha ulteriormente confermato che le attività attualmente svolte da XX sono “riconducibili, esclusivamente, alla gestione degli spazi web e dei DNS di puntamento”, mentre la stessa non ha accesso diretto ai dati personali degli iscritti.
2. Le valutazioni dell’Autorità.
Alla luce delle risultanze istruttorie e delle dichiarazioni rese dal titolare del trattamento (di cui lo stesso risponde ai sensi dell’art. 168 del Codice), tenuto conto che l’attacco informatico in questione si è verificato prima dell’applicabilità del Regolamento (UE) 2016/679 e che, pertanto, la normativa di riferimento è il d.lgs. n. 196/2003, non ancora modificato dal d.lgs. n 101/2018, l’Autorità formula le considerazioni di seguito indicate.
2.1. In relazione all’articolazione dei rapporti interni ed esterni al PD XX, si rileva che, ai fini del rispetto della normativa in materia di protezione dei dati personali, occorre individuare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali degli iscritti e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento (artt. 4, comma 1, lett. f) e g) , 28 e 29 del Codice e, a decorrere dal 25 maggio 2018, dagli artt. 1, 24, 26 e 28 del Regolamento).
In particolare, l’identificazione del titolare deve avvenire tenendo conto della sussistenza in capo allo stesso di un effettivo potere decisionale in ordine alle finalità, alle modalità del trattamento e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Tale potere si estrinseca, tra l’altro, nella facoltà di designare uno o più soggetti - persone fisiche o giuridiche – quali responsabili del trattamento (art. 29 del Codice e, a decorrere dal 25 maggio 2018, art. 28 del Regolamento).
Nel caso in esame, il PD XX ha affermato che, quale articolazione territoriale del PD nazionale, si pone, unitamente a quest’ultimo, quale contitolare del trattamento in quanto condivide con il PD nazionale le finalità e i mezzi del trattamento dei dati personali degli iscritti (come si evince dall’informativa pubblicata sul sito www.pdtoscana.it, nella quale viene menzionato un unico indirizzo di contatto per l’esercizio dei diritti degli interessati riconosciuti dal Codice e dal Regolamento). Nella medesima informativa si fa peraltro riferimento alla facoltà del titolare di avvalersi, “di volta in volta”, per il trattamento dei dati dei simpatizzanti e di coloro che hanno regolari contatti con l’associazione, delle articolazioni competenti per territorio in qualità di responsabili ai sensi dell’art. 28 del Regolamento.
2.2 Con specifico riferimento alla figura del responsabile del trattamento, si osserva che, ai sensi dell’art. 29 del Codice (ora, art. 28 del Regolamento) lo stesso deve essere individuato tra soggetti che per esperienza, capacità ed affidabilità fornisca idonee garanzie in ordine al rispetto delle disposizioni del Codice, ivi compreso il profilo relativo alla sicurezza e che lo stesso è tenuto ad effettuare le operazioni di trattamento nel rispetto delle istruzioni impartite analiticamente e per iscritto dal titolare.
In proposito, il PD XX ha affermato che il sito che è stato oggetto di intrusione informatica si è avvalso dell’infrastruttura della società XX e che la sua gestione e manutenzione era affidata esclusivamente al dott. XX il quale, “in possesso dei requisiti di carattere soggettivo previsti dal par. 4.1 del provvedimento generale dell’Autorità del 27 novembre 2008 (doc. web 1577499), avrebbe svolto le funzioni di amministratore di sistema”
Ciò posto, questa Autorità rileva che:
a) il titolare del trattamento avrebbe dovuto provvedere ad individuare XX quale responsabile del trattamento dei dati personali degli iscritti al PD XX ai sensi dell’art. 29 del Codice e che la mancata designazione della predetta società in tal senso ha configurato l’illiceità del trattamento medesimo in ragione dell’avvenuta comunicazione dei dati stessi a un soggetto terzo, in mancanza del consenso degli interessati (art. 26 del Codice);
b) alla luce degli elementi allo stato acquisiti, la predetta designazione appare tuttora necessaria a garantire il rispetto della normativa in materia di protezione dei dati personali qualora l’attività effettuata dalla predetta società – anche indipendentemente dalla gestione degli archivi degli iscritti al partito - comporti un trattamento di dati personali.
Peraltro, con riferimento al nuovo regime normativo, si ricorda che a decorrere dal 25 maggio 2018, data di effettiva applicazione del Regolamento (UE) 2016/679, ciascun titolare del trattamento, in ossequio al principio di responsabilizzazione di cui all’art. 24, è tenuto a valutare autonomamente la conformità dei trattamenti che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia ed individuando misure a protezione dei dati sin dalla fase di progettazione dei sistemi informativi con cui si realizzano i trattamenti (art. 25 Regolamento). Ciò anche in riferimento ai ruoli specifici che nelle operazioni di trattamento vengono svolte dai vari soggetti “autorizzati”, ivi compresi quelli preposti ai ruoli di amministratore di sistema.
TUTTO CIO’ PREMESSO, IL GARANTE:
ai sensi dell’art. 58 del Regolamento (UE) 2016/679 rileva l’illiceità del trattamento posto in essere dal Partito democratico - coordinamento cittadino di XX in vigenza del d.lgs. n. 196/2003 nei termini di cui al par. 2.2. lett. a) e si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per l’eventuale contestazione delle sanzioni amministrative di cui all’art. 162, comma 2-bis del Codice.
Ai sensi dell’art. 78 del Regolamento(UE) 2016/679, nonché dell’art. 152, comma 1-bis del Codice, avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 10 gennaio 2019
Fonte: Autorità Garante