Provvedimento del 29 aprile 2026 [10263964]

Ascolta

Stampa Stampa

Trasforma contenuto in PDF

[doc. web n. 10263964]

Provvedimento del 29 aprile 2026

Registro dei provvedimenti
n. 303 del 29 aprile 2026

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il dott. Luigi Montuori, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, Regolamento generale sulla protezione dei dati (di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO il regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.garanteprivacy.it, doc. web n. 9107633 (di seguito “reg. del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del reg. del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali (doc. web n. 1098801);

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’attività istruttoria

Nell’ambito del programma di verifiche sui gestori di identità digitale SPID (anche con riferimento ad altri servizi fiduciari offerti dai medesimi soggetti) deciso dal Garante con deliberazione n. XX del XX (doc. web n. 9862660), l’Autorità ha effettuato specifici controlli presso il gestore Lepida S.c.p.A. (di seguito, Lepida o Società), che hanno comportato lo svolgimento di accertamenti ispettivi, nonché richieste di informazioni, ai sensi degli art. 157 e 158 del Codice.

Nel corso degli accertamenti ispettivi condotti il XX, XX e XX, è emerso, in particolare, che:

- “Lepida, in qualità di società in house della Regione Emilia-Romagna e di altri Enti pubblici situati in Emilia-Romagna, fino al XX gestiva un sistema di identità federata denominato FedERa (Federazione degli Enti dell'Emilia-Romagna per l’Autenticazione), nell’ambito del quale sono state rilasciate circa un milione di identità. Nel XX la Società, dopo essere stata accreditata da AgID per operare come gestore dell’identità digitale SPID, è stata autorizzata a utilizzare identità pregresse FedERa per rilasciare identità SPID. Tale facoltà è stata resa disponibile agli utenti in possesso di un’identità FedERa fino al XX, momento in cui è stato definitivamente dismesso il sistema FedERa”;

- “Gli operatori di Lepida, nella propria Area Riservata, a cui accedono esclusivamente tramite le proprie credenziali SPID con autenticazione di livello 2, hanno a disposizione la lista degli utenti che hanno effettuato richiesta di un’Identità Digitale. […] Gli operatori di Lepida hanno inoltre la possibilità di visionare la documentazione presentata nell’invio della richiesta, e validarla al fine di attivare l’Identità Digitale”;

- “la Società mette a disposizione degli operatori degli sportelli LepidaID un applicativo denominato “Backoffice LepidaID” che consente loro di effettuare le attività di riconoscimento de visu dei richiedenti dell’identità LepidaID e di fornire assistenza agli utenti già in possesso di un’identità LepidaID (es. in caso di password scaduta)”;

- “Gli operatori di una o più sedi del gestore di identità hanno funzioni di amministrazione delle identità digitali di tutti gli utenti SPID rilasciate da Lepida, indipendentemente dalla sede da cui operano. Gli amministratori hanno funzioni di amministrazione del sistema quindi viene garantito loro l’accesso alle funzioni necessarie per la configurazione e gestione del sistema”;

- Lepida ha rilasciato, nel corso del tempo, oltre 1,5 milioni di identità digitali (di seguito, identità LepidaID) ed ha attivato circa 1.800 sportelli (di seguito, sportelli LepidaID), presso cui sono abilitati oltre 7.000 operatori;

- con riferimento alle attività di identificazione a vista in presenza con pregressa registrazione del richiedente, nei vademecum che la Società mette a disposizione degli sportelli LepidaID per istruire gli operatori, è precisato che:

- “l’operatore deve verificare i documenti caricati a sistema dal cittadino (documento di identità e tessera sanitaria) al momento del riconoscimento e la corrispondenza dell'identità con quella dichiarata sul sistema;

- qualora l’operatore valuti la non conformità dei documenti, chiede all’utente di caricare nuovamente i documenti corretti; se la postazione è dotata di un dispositivo di scansione, l’operatore stesso può provvedere a caricare i documenti corretti tramite la funzione “Carica documento”. I documenti ricaricati devono essere della stessa tipologia di quelli riportati sul modulo di adesione;

- al termine della procedura di attivazione, l’operatore deve avere cura di eliminare le scansioni (o foto) dei documenti dalla propria postazione e dai dispositivi utilizzati per la scansione”;

- con riferimento alle attività di identificazione a vista in presenza in modalità assistita, nei vademecum che Lepida mette a disposizione degli sportelli LepidaID per istruire gli operatori, è precisato, tra le altre cose, che l’operatore:

- effettua le scansioni del documento di identità e della tessera sanitaria, le carica a sistema e verifica che le stesse siano complete (fronte e retro), nei formati indicati […]

- Al termine della procedura, tutta la documentazione scaricata dall’operatore in locale, inerente il supporto alla richiesta (documento di identità e tessera sanitaria del cittadino, modulo di adesione ed eventuale altra documentazione personale), deve essere immediatamente rimossa dai dispositivi utilizzati dall’operatore stesso”;

- nel corso dell’accesso all’applicazione web “Backoffice LepidaID - Operatore” mediante l’utenza di un operatore con i “ruoli di “OPERATORE” e di “OPERATORE_REGISTRAZIONE_ASSISTITA””, effettuato presso una farmacia quale responsabile del trattamento per le attività di identificazione de visu dei richiedenti le identità LepidaID, è stato constatato che è possibile: “effettuare l’attivazione delle identità LepidaID che hanno effettuato la procedura di registrazione sul sito web della Società dedicato al servizio LepidaID e richiesto l’identificazione de visu presso uno sportello LepidaID, previa verifica manuale dell’identità del richiedente, della validità del codice fiscale e della sua congruenza con i dati anagrafici del richiedente (tramite il servizio online dell’Agenzia delle entrate), nonché dell’assenza di segnalazioni di furto o smarrimento del documento d’identità (tramite il servizio online CRIMNET del Ministero dell’interno); consultare le informazioni personali (nome, cognome, codice SPID, username/indirizzo e-mail, numero di cellulare, estremi del documento d’identità, comune, provincia e regione di domicilio) di un qualsiasi utente in possesso di identità LepidaID (indipendentemente dalle modalità di identificazione), previo inserimento di uno o più criteri di ricerca (es. intervallo temporale della richiesta dell’identità; modalità di identificazione; stato dell’identità; cognome e nome, codice fiscale, username o codice SPID dell’utente; sportello LepidaID che ha effettuato l’attivazione dell’identità; comune, provincia e regione di domicilio); effettuare la gestione delle identità LepidaID che hanno richiesto l’identificazione de visu presso un qualsiasi sportello LepidaID, incluse la richiesta di caricamento di documenti, il caricamento di documenti, l’invio di SMS o di e-mail; estrarre copia e visualizzare la documentazione (modulo di adesione, tessera sanitaria e documento d’identità) fornita dai soggetti in possesso di un’identità LepidaID (indipendentemente dal suo stato) rilasciata con identificazione de visu presso un qualsiasi sportello LepidaID o dai richiedenti l’identità LepidaID, previa presa in carico dell’utente; la visualizzazione della predetta documentazione è possibile unicamente a seguito del download della stessa sulla postazione di lavoro utilizzata dall’operatore e, quindi, in caso di mancata cancellazione da parte dell’operatore, copia della predetta documentazione rimane salvata all’interno della postazione di lavoro; consultare le transazioni effettuate, a partire dal XX, da un qualsiasi utente in possesso di identità LepidaID (indipendentemente dal suo stato), previo inserimento del suo cognome e nome o del suo codice fiscale; consultare le operazioni effettuate da un operatore di un qualsiasi sportello LepidaID, previo inserimento del suo cognome e nome o del suo codice fiscale; aggiungere o rimuovere i codici fiscali omocodici per consentire ai soggetti a cui tali codici sono attribuiti di richiedere un’identità LepidaID. […] la Società fornisce istruzioni agli operatori degli sportelli LepidaID in merito alla necessità di “eliminare definitivamente nel più breve tempo possibile dalla propria postazione di lavoro e dai dispositivi utilizzati per le scansioni dei documenti dei titolari di identità, dopo l’utilizzo per la finalità operativa sul singolo utente””;

- con riferimento al profilo delle banche dati e delle altre fonti autoritative esterne interrogate per la verifica dell’identità dei soggetti richiedenti l’identità digitale SPID, “gli operatori che effettuano le attività di identificazione in presenza o da remoto effettuano verifiche sulla correttezza dei dati anagrafici e del codice fiscale del richiedente tramite il servizio online reso pubblicamente disponibile dall’Agenzia delle entrate, nonché sull’esistenza di segnalazioni di furto o smarrimento del documento d’identità del richiedente tramite il servizio online “CRIMNET” reso pubblicamente disponibile dal Ministero dell’interno”. Al riguardo, il manuale operativo, nella versione del XX, precisa che “Le verifiche si basano sulle fonti autoritative quali ad esempio: - Il servizio dell’Agenzia delle Entrate per la validità dei codici fiscali - Crimnet messo a disposizione dal Ministero dell’Interno - Il sistema pubblico SCIPAFI, una volta disponibile”. Sempre a questo proposito, nel corso del menzionato accesso effettuato presso la farmacia, è stato riscontrato che l’applicativo rende disponibile all’operatore le verifiche affinché “la tessera sanitaria sia integra e in corso di validità attraverso una verifica sul sito dell’Agenzia delle Entrate […]” e “il documento di identità sia integro e in corso di validità e che non sia rubato o smarrito utilizzando il sito del Ministero dell’Interno Crimnet […]”;

- inoltre, “nella cartella “/data/registro_transazioni” sono conservati i file contenenti le informazioni sulle transazioni effettuate dalle identità LepidaID a partire dal XX”;

- infine, nella “Relazione trattamento dati personali”, nella versione del XX messa a disposizione degli utenti tramite il sito web dedicato al servizio LepidaID, viene riportato che “L’ottica del riutilizzo delle identità pregresse di FedERa e le funzioni di Identity Provider SPID, svolte da Lepida su mandato dei soci, pongono la stessa società in condizioni di contitolarità dei trattamenti di dati personali afferenti a tale servizio, ai sensi e per gli effetti di cui all’art. 26 del Regolamento UE n. 679/2016. […] gli Enti soci e Lepida hanno disciplinato la contitolarità in uno specifico accordo ex art. 26 del Regolamento UE 2016/679”. Analogamente, nell’”Informativa sul trattamento dei dati personali resa ai sensi dell’art. 13 del Regolamento europeo n. 679/2016” allegata a tale documento, viene riportato che “Ai sensi dell’art. 13 del Regolamento europeo n. 679/2016, LepidaScpA e gli Enti della CNER, agiscono in qualità di Contitolari del trattamento relativamente alle utenze Federa tramutate in SPID, ai sensi e per gli effetti di cui all’art. 26 del Regolamento UE n. 679/2016; LepidaScpA assume il ruolo di Titolare dei trattamenti di dati personali relativi alle nuove utenze SPID.

Con nota del XX, Lepida, nel fornire i log di tracciamento delle operazioni effettuate dagli operatori di tutti gli sportelli LepidaID mediante l’applicazione web “Backoffice LepidaID - Operatore” relative alla “visualizzazione e estrazione della documentazione prodotta dagli utenti (effettuate da parte di operatori di uno sportello LepidaID diverso da quello coinvolto nel processo di attivazione dell’identità)”, ha aggiunto che, con riferimento alle operazioni relative alla consultazione delle operazioni svolte dagli operatori, “Non è prevista una modalità di tracciamento della sola attività di consultazione effettuata da parte degli operatori sulle identità presenti sul sistema. Sono presenti come evidenziato le tracciature nel caso di attività di presa in carico e gestione delle identità stesse da parte degli operatori”. Inoltre, ha specificato di aver “ritenuto opportuno aggiornare i contenuti delle informative e dell’Allegato tecnico, anche rispetto a quanto evidenziato relativamente alla fase - ormai conclusa - della contitolarità limitata alle sole identità pregresse promananti dal sistema di autenticazione denominato FedERa (Federazione degli Enti dell'Emilia-Romagna per l'Autenticazione)”, allegando una versione aggiornata della “Relazione trattamento dati personali”, in cui ha specificato che “il perimetro della suddetta contitolarità è limitato alle sole identità pregresse promananti dal sistema di autenticazione denominato FedERa (Federazione degli Enti dell'Emilia-Romagna per l'Autenticazione). D’altra parte, per i trattamenti di dati personali effettuati per le finalità di attribuzione dell’identità digitale e di fruizione dei servizi erogati online dai “Fornitori di servizi” tramite il Sistema Pubblico per la gestione dell’Identità Digitale (SPID), Lepida Scpa agisce in qualità di autonomo titolare”, nonché allegando una nuova informativa che elimina ogni riferimento alla contitolarità nei trattamenti di dati personali effettuati nell’ambito del rilascio di identità LepidaID a partire da identità pregresse FedERa.

Dall’esame dei log di tracciamento forniti dalla Società, relativi alle operazioni effettuate a partire da XX, l’Ufficio, con nota del XX, ha constatato che:

- le informazioni sulle transazioni effettuate da circa 10.000 utenti in possesso di un’identità digitale LepidaID sono state consultate da più di 3.000 operatori (alcuni operatori hanno consultato tali informazioni anche più volte nel corso del tempo in relazione a uno stesso utente; 166 operatori hanno consultato le informazioni sulle transazioni effettuate da 10 o più utenti);

- con riferimento alle operazioni di estrazione di copia dei documenti d’identità e delle tessere sanitarie, i documenti di circa 4.500 utenti sono stati estratti da circa 1.800 operatori di sportelli LepidaID diversi da quelli presso cui è stata effettuata l’attivazione delle relative identità digitali LepidaID (57 operatori hanno effettuato l’estrazione dei documenti di 10 o più utenti).

A questo riguardo, con nota del XX, Lepida ha rappresentato che:

- “l’accreditamento di Lepida come IDP SPID fu per l’amministrazione regionale elemento di valorizzazione dell’esperienza pluriennale maturata nella gestione dell’identità di cui al sistema di autenticazione denominato FedERa. Tale sistema prevedeva una presenza diffusa e capillare di sportelli principalmente presso i comuni, come punto di riferimento per l’utenza. La riproposizione in LepidaID di tale modello di presenza e assistenza di prossimità rispose a ragioni di contrasto al digital divide e di inclusione quali elementi indefettibili di cittadinanza digitale. […] Le funzionalità di consultazione delle informazioni personali degli utenti, di consultazione delle transazioni effettuate dagli stessi, e di estrazione di copia dei documenti d’identità, delle tessere sanitarie e dei moduli di adesione, rientravano in una logica di gestione delle identità e di prima risposta all’utente attivato, che per scelta e/o abitudine era portato a rivolgersi agli sportelli fisici”;

- “È in corso di revisione il processo di supporto agli utenti a mezzo degli sportelli fisici distribuiti sul territorio e di profilazione delle diverse figure di operatori. […] La succitata revisione del processo contempla una maggiore aderenza al principio di minimizzazione dei dati e, quindi, di privacy by design e by default, introducendo le seguenti misure: A. vengono limitate le azioni di assistenza sugli sportelli fisici. Gli sportelli del territorio potranno effettuare solo azioni di supporto quali: a.1 aiuto alla compilazione del modulo di LepidaID Modulo di richiesta revoca/sospensione/riattivazione che deve essere inoltrato al servizio di Lepida per la riattivazione dell’utenza. a.2 visualizzazione dello stato dell’utenza, in particolare per le utenze attivate potranno essere visualizzati solo i seguenti dati: nome, cognome, CF, stato dell’utenza (attivo/revocato). Inoltre B. [… su alcune tipologie di operatori preposti alle attività di riconoscimento:] b.1 Viene disabilitata la funzione “Prendi in carico” per ogni identità in stato post attivazione (ATTIVA, SOSPESA, REVOCATA, INVIATA MAIL DI SBLOCCO). La funzione “Prendi in carico” permetteva di accedere a funzioni per la gestione sull’utente (menu azioni disponibili) e scaricare documenti di identità, tessera sanitaria, modulo di adesione. Con la disabilitazione suindicata, per gli operatori sopra elencati non è più possibile visualizzare o scaricare informazioni sulle identità con stato post attivazione. […] In particolare il processo verrà attuato secondo le seguenti modalità: L’utente alla fine della registrazione riceve una mail che riporta anche il codice identificativo LepidaID. L’utente procede con la scelta dello sportello fisico dove recarsi. L’utente si presenta presso lo sportello con il codice LepidaID oltre ai documenti di riconoscimento e tessera sanitaria usati per la registrazione. L’OPERATORE potrà prendere in carico la richiesta solo inserendo il codice LepidaID ricevuto dall’utente”.

In data XX Lepida ha notificato al Garante, ai sensi dell’art. 33 del Regolamento, la violazione dei dati personali occorsa nell’ambito dei trattamenti effettuati da un Comune in qualità di suo responsabile del trattamento, rilevata il XX, rappresentando, in particolare, che:

- “In costanza di uno di tali audit riferiti all’attività di uno specifico operatore LepidaID è emersa una violazione di dati personali, […] occorsa nell’ambito dei servizi correlati all’applicazione web “Backoffice LepidaID - Operatore”. Nel corso dell’audit sopra citato un operatore ha avuto accesso ai documenti scaricabili da apposita sezione dell’applicativo (ovvero documento di riconoscimento, codice fiscale e modulo di adesione a LepidaID) di 258 utenti, senza alcuna correlazione ad attività di identificazione ai fini del rilascio dell’identità SPID o per funzioni di assistenza ad esse correlate. Lo stesso autore della violazione ha rappresentato di aver effettuato l’accesso per mera curiosità e che non ha, in nessun caso, diffuso i dati, nel rispetto del “segreto d’ufficio” cui ha riferito di essere tenuto”;

- “I dati sono stati acceduti da un solo operatore di sportello. Seppure il comportamento ha certamente tutti i connotati della dolosità, gli intenti perseguiti dal trasgressore non sono di particolare portata offensiva”;

- “Per quel che concerne la specifica fattispecie per cui si procede, Lepida ha provveduto a disabilitare immediatamente l’operatore che ha commesso la violazione di dati personali. Sono state previste, altresì, numerose modifiche alla piattaforma applicativa “Backoffice LepidaID - Operatore””;

- “la Società ha provveduto a comunicare all’ente la circostanza che un suo operatore aveva effettuato accessi non autorizzati a dati di utenti LepidaID, nonché a presentare, in data XX, una denuncia-querela alla Procura della Repubblica” (dichiarazione resa nel corso dell'accertamento ispettivo del XX).

In una successiva nota del XX, Lepida ha rappresentato, in particolare, che, con riferimento sia alla consultazione delle transazioni effettuate da 10 o più utenti che all’estrazione di documenti di 10 o più utenti, sono stati effettuati audit su un campione degli operatori coinvolti da cui sarebbe emerso, in particolare, che “l’attività di download del documento era riconducibile ad attività di assistenza”, per fattispecie come, ad esempio, “scadenza del documento, modifica di mail o numero cellulare [… o] problemi legati all’accesso”, aggiungendo, con riferimento alle ulteriori misure in corso di predisposizione, che “Si procederà alla disattivazione di operatori che non effettuano attivazioni da più di 6 mesi. Sono in corso di implementazione o programmati i controlli illustrati nella comunicazione del XX”.

Nel corso degli accertamenti ispettivi condotti il XX, è stato rilevato, in particolare, che:

- l’assenza, tra quelli inviati al Garante con la nota del XX, di log di tracciamento delle operazioni, effettuate prima del XX, di consultazione delle informazioni sulle transazioni effettuate dagli utenti (nello specifico, prima del XX) e di estrazione di copia dei documenti d’identità e delle tessere sanitarie (nello specifico, prima del XX) “è dovuta all’assenza di tracciamento delle operazioni di consultazione delle transazioni e di estrazione dei documenti, funzionalità all’epoca già disponibili”;

- le funzionalità di consultazione delle transazioni effettuate dagli utenti, di visualizzazione e estrazione della documentazione prodotta dagli utenti, nonché di consultazione delle operazioni svolte dagli operatori, erano messe a disposizione di tutti gli operatori abilitati (oltre 7.000), nell’ambito dell’applicazione web “Backoffice LepidaID – Operatore”;

- con riferimento alle misure descritte nella nota del XX, volte ad assicurare la conformità dei trattamenti effettuati mediante le funzionalità disponibili nell’ambito dell’applicazione web “Backoffice LepidaID - Operatore”, “in data XX la Società ha completato e rilasciato in ambiente di produzione gli interventi di disabilitazione – per gli operatori [… preposti alle attività di riconoscimento]”, mentre “è ancora in corso di progettazione e sviluppo l’intervento che prevede l’inserimento, da parte dell’operatore dello sportello LepidaID, del codice identificativo LepidaID necessario per prendere in carico le richieste di attivazione delle identità digitali”;

- “la Società è in procinto di informare gli sportelli LepidaID, responsabili del trattamento, interessati dalle attività anomale rilevate in relazione alle operazioni di consultazione delle transazioni e di estrazione dei documenti, anche al fine di verificare il rispetto delle istruzioni impartite”; attività di comunicazione poi completate nel mese di XX (come da riscontri forniti successivamente).

In data XX, nel corso degli accertamenti ispettivi svolti presso un Comune in qualità di responsabile del trattamento per conto della Società per le attività di rilascio delle identità LepidaID, è emerso, in particolare, che:

- effettuando un accesso all’applicazione web “Backoffice LepidaID - Operatore” mediante l’utenza di un operatore, è possibile: “effettuare l’attivazione delle identità LepidaID che hanno effettuato la procedura di registrazione sul sito web di Lepida dedicato al servizio LepidaID e richiesto l’identificazione de visu presso uno sportello LepidaID; consultare le informazioni personali (nome, cognome e codice fiscale) di un qualsiasi utente in possesso di identità LepidaID in uno stato diverso da “RICHIESTA” (indipendentemente dalle modalità di identificazione), previo inserimento di uno o più criteri di ricerca (es. intervallo temporale della richiesta dell’identità; modalità di identificazione; stato dell’identità; cognome e nome, codice fiscale, username o codice SPID dell’utente; sportello LepidaID che ha effettuato l’attivazione dell’identità; comune, provincia e regione di domicilio); consultare le informazioni personali (nome, cognome, codice SPID, codice fiscale, username/indirizzo e-mail, numero di cellulare, comune, provincia e regione di domicilio) di un qualsiasi utente in possesso di identità LepidaID nello stato “RICHIESTA” (indipendentemente dalle modalità di identificazione), previo inserimento di uno o più criteri di ricerca (es. intervallo temporale della richiesta dell’identità; modalità di identificazione; stato dell’identità; cognome e nome, codice fiscale, username o codice SPID dell’utente; sportello LepidaID che ha effettuato l’attivazione dell’identità; comune, provincia e regione di domicilio); effettuare la gestione delle identità LepidaID che hanno richiesto l’identificazione de visu presso un qualsiasi sportello LepidaID, incluse la richiesta di caricamento di documenti, il caricamento di documenti, l’invio di SMS o di e-mail; estrarre copia e visualizzare la documentazione (modulo di adesione, tessera sanitaria e documento d’identità) fornita dai richiedenti l’identità LepidaID con modalità di identificazione de visu presso uno sportello LepidaID, previa presa in carico dell’utente; la visualizzazione della predetta documentazione è possibile unicamente a seguito del download della stessa sulla postazione di lavoro utilizzata dall’operatore e, quindi, in caso di mancata cancellazione da parte dell’operatore, copia della predetta documentazione rimane salvata all’interno della postazione di lavoro”;

- con riferimento ad alcuni accessi rilevati, due operatori hanno dichiarato che, “in passato, [avevano] utilizzato le funzionalità di consultazione delle transazioni e di estrazione dei documenti degli utenti LepidaID ai fini della gestione di richieste di assistenza pervenute dagli utenti”;

- “gli operatori del Comune preposti alle attività di identificazione dei richiedenti le identità LepidaID partecipano alle attività di formazione erogate da Lepida e ricevono periodicamente comunicazioni informative”.

Con nota del XX, Lepida ha rappresentato che, con riferimento all’“intervento che prevede l’inserimento, da parte dell’operatore dello sportello LepidaID, del codice identificativo LepidaID necessario per prendere in carico le richieste di attivazione delle identità digitali”, “Il rilascio in ambiente di produzione dell’intervento è previsto per il XX”. Successivamente, con nota del XX, nel precisare che “il rilascio in produzione [precedentemente menzionato] è avvenuto in data XX, anticipando i tempi comunicati”, la Società ha rappresentato, in particolare, che:

- con riferimento alle ulteriori attività di audit nei confronti degli operatori che hanno svolto operazioni di consultazione delle transazioni degli utenti LepidaID “Nel corso di 1 audit è emerso consultazione per finalità non legate al trattamento rilascio identità e operazioni connesse a assistenza per LepidaID. In tale caso l’operatore, un farmacista, con l’utente che richiedeva un tampone covid ha utilizzato il documento presente su LepidaID per riconoscimento in quanto l’utente era sprovvisto del documento. […] la Società ha rilevato un livello basso di gravità della violazione […]. Considerato anche che gli intenti perseguiti dall'autore non sono di particolare portata offensiva e sembrerebbero orientati a attività con utente presente senza utilizzo o trattenimento delle stesse informazioni. Infatti, l’operatore ha effettuato accesso a dati che, in ogni caso, avrebbe trattato per adempiere alle proprie mansioni di farmacista mediante esibizione del documento da parte dell’utente stesso, purtuttavia accedendo ad una fonte non preposta. Pertanto, sugli interessati non sono prefigurabili impatti di natura rilevante. Lepida ha provveduto a sospendere immediatamente l’operatore che ha commesso la violazione di dati personali”;

- con riferimento alle ulteriori attività di audit nei confronti degli operatori che hanno svolto un elevato numero di operazioni di estrazione dei documenti degli utenti LepidaID, “In 4 audit gli operatori hanno confermato che l’attività di download del documento era riconducibile ad attività di assistenza”, mentre “In 1 audit è emerso che il download è stato effettuato, da un operatore di uno sportello presso un Comune, non per finalità correlabili a rilascio identità o assistenza. L’autore […] dichiara di non ricordare le specifiche motivazioni di ciascun accesso, pur confermando che la finalità era correlata ad un’attività lavorativa da espletare con urgenza. […] la Società ha rilevato un livello basso di gravità della violazione […]. Considerato anche che gli intenti perseguiti dal trasgressore non sono di particolare portata offensiva e sembrerebbero orientati a attività di contatto dello stesso senza utilizzo o trattenimento delle stesse informazioni per altre finalità. Infatti, l’operatore ha effettuato accesso a dati che, in ogni caso, avrebbe trattato per adempiere alle proprie mansioni di impiegato comunale, purtuttavia accedendo ad una fonte non preposta. Pertanto, sugli interessati non sono prefigurabili impatti di natura rilevante. Lepida ha provveduto a sospendere immediatamente l’operatore che ha commesso la violazione di dati personali”. La Società ha successivamente dichiarato di aver “provveduto a comunicare all’ente la circostanza che un suo operatore aveva effettuato accessi non autorizzati a dati di utenti LepidaID” (dichiarazione resa nel corso dell'accertamento ispettivo del XX);

- con riferimento alle comunicazioni con i responsabili del trattamento relativi agli sportelli LepidaID interessati dalle attività anomale emerse a seguito di audit, ha inviato specifiche note ai Comuni in questione, e ha aggiunto che “sta procedendo all’invio della comunicazione “Servizio LepidaID - Comunicazione al Responsabile del Trattamento in merito agli adempimenti di protezione dei dati personali in costanza delle operazioni finalizzate al rilascio e gestione delle identità digitali LepidaID” a tutti i responsabili del trattamento nell’ambito del servizio LepidaID al fine di richiamare l’attenzione sulle misure tecniche e organizzative e sulle attività di monitoraggio delle istruzioni e operato dei dipendenti”.

Nel corso degli accertamenti ispettivi condotti il XX, è stato rilevato che:

- “in esito alle ulteriori attività di audit svolte dalla Società, non sono finora emersi nuovi casi di accesso non autorizzato ai dati personali degli utenti LepidaID. Gli unici casi finora rilevati dalla Società sono quelli descritti nella nota del XX”;

- con riferimento alla conservazione delle informazioni sulle transazioni effettuate dagli utenti del servizio LepidaID, in relazione alla quale risultano accertati tempi di conservazione pari a un arco di tempo superiore a 24 mesi, “la Società non ha ancora attivato meccanismi di cancellazione automatica delle informazioni sulle transazioni al superamento del termine di 24 mesi e […], comunque, le informazioni in tal modo conservate non sono trattate dalla Società per finalità ulteriori a quelle previste dalla disciplina di settore. […] la Società ha avviato un’attività di analisi per la realizzazione dei citati meccanismi di cancellazione automatica, facendo riserva di fornire informazioni in merito alle tempistiche di attuazione di tale intervento”.

Con nota del XX, Lepida ha rappresentato, in particolare, che:

- “sta svolgendo l’analisi per la definizione dei tempi di conservazione delle informazioni presenti su LepidaID. […] Lepida ScpA, a seguito dell’analisi svolta, ha ritenuto ventiquattro mesi il tempo idoneo per il mantenimento dei dati personali presenti nel registro delle transazioni, come indicato dall’Art.29 del “REGOLAMENTO RECANTE LE MODALITÀ ATTUATIVE PER LA REALIZZAZIONE DELLO SPID (articolo 4, comma 2, DPCM 24 ottobre 2014)”. L’ avvio del processo è previsto entro la fine dell’anno corrente”.

Infine, con nota del XX, in riscontro alla richiesta di informazioni di questo Ufficio del XX, Lepida ha rappresentato, in particolare:

- di aver posto in essere interventi volti a dare piena attuazione alle indicazioni in materia di conservazione delle password, contenute nelle Linee Guida Funzioni Crittografiche – Conservazione delle Password, adottate con provvedimento del Garante n. 594 del 7 dicembre 2023 (doc. web n. 9962283) e con decreto del direttore generale dell'Agenzia per la cybersicurezza nazionale prot. n. XX del XX;

- con riferimento allo stato di avanzamento del già prospettato intervento di limitazione dei tempi di conservazione delle informazioni relative alle transazioni effettuate dalle identità LepidaID, che “L’attività di progettazione della procedura di cancellazione, avviata nel XX, si è conclusa in data XX”.

In relazione alle verifiche compiute, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio, con nota del XX, ha notificato a Lepida l’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori di cui all’art. 58, par. 2, del Regolamento, avendo accertato, nella vicenda in esame, la sussistenza di violazioni della disciplina rilevante in materia di protezione dei dati personali.

Nello specifico, è stato accertato che i trattamenti di dati personali connessi alla gestione delle identità LepidaID sono stati effettuati:

a) con riferimento all’accesso, da parte degli operatori degli sportelli LepidaID, a dati personali e copie di documenti degli utenti del servizio LepidaID: in violazione dei principi di minimizzazione dei dati e di integrità e riservatezza di cui all’art. 5, par. 1, lett. c) e f), del Regolamento, degli obblighi di sicurezza di cui all’art. 32 del Regolamento, nonché dei principi di privacy by design e by default di cui all’art. 25 del Regolamento;

b) con riferimento alla conservazione, presso gli sportelli LepidaID, dei documenti dei richiedenti l’identità digitale LepidaID: in violazione dei principi di limitazione della conservazione e di integrità e riservatezza di cui all’art. 5, par. 1, lett. e) e f), del Regolamento, degli obblighi di sicurezza di cui all’art. 32 del Regolamento, nonché dei principi di privacy by design e by default di cui all’art. 25 del Regolamento;

c) con riferimento alle modalità con le quali venivano effettuate verifiche presso banche dati e altre fonti autoritative: in violazione del principio di integrità e riservatezza di cui all’art. 5, par. 1, lett. f), del Regolamento, degli obblighi di sicurezza di cui all’art. 32 del Regolamento, nonché dei principi di privacy by design e by default di cui all’art. 25 del Regolamento;

d) con riferimento alla conservazione delle informazioni sul tracciamento delle transazioni effettuate con l’identità LepidaID: in violazione dei principi di limitazione della conservazione e di integrità e riservatezza di cui all’art. 5, par. 1, lett. e) e f), del Regolamento, degli obblighi di sicurezza di cui all’art. 32 del Regolamento, nonché dei principi di privacy by design e by default di cui all’art. 25 del Regolamento;

e) con riferimento alla trasparenza in relazione al ruolo rivestito dalla Società: in violazione degli obblighi di trasparenza di cui all’art. 13, par. 1, lett. a), del Regolamento.

Con la medesima nota, sono state notificate alla predetta Società le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), invitandolo a far pervenire scritti difensivi o documenti ed eventualmente a chiedere di essere sentito da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

In data XX, a seguito di concessione di proroga richiesta dalla Società stessa, Lepida ha inviato i propri scritti difensivi, mentre in data XX si è tenuta la relativa audizione, perfezionata e integrata in data XX.

2. La normativa in materia di protezione dei dati personali e la disciplina di settore applicabile

Ai sensi dell’art. 5, par. 1, lett. c), e) e f), del Regolamento, i dati personali devono essere trattati nel rispetto dei principi di minimizzazione dei dati, di limitazione della conservazione e di integrità e riservatezza.

Inoltre, il titolare del trattamento deve assicurare il rispetto del principio di privacy by design e privacy by default di cui all’art. 25 nonché gli obblighi di sicurezza di cui all’art. 32 del Regolamento, mentre, sotto lo specifico profilo della trasparenza, deve fornire all’interessato le informazioni relative al trattamento, nel momento in cui i dati personali sono ottenuti, tra cui anche “l'identità e i dati di contatto del titolare del trattamento” (art. 13, par. 1, lett. a), del Regolamento), peraltro “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro” (art. 12, par. 1, del Regolamento).

Con riferimento alla disciplina di settore, si evidenzia che il sistema SPID è disciplinato, a monte, dall’art. 64 del d.lgs. 7 marzo 2005, n. 82, e, sulla base di esso, dal d.P.C.M. 24 ottobre 2014.

Sulla base dell’art. 4, comma 2, del predetto d.P.C.M., l’Agenzia per l’Italia digitale (di seguito, AgID) ha adottato, con propri regolamenti, le “regole tecniche” e le “modalità attuative” per la realizzazione dello SPID.

Con riferimento al profilo dell’accesso alle informazioni e ai documenti raccolti nel corso dell’attività volta al rilascio dell’identità digitale, l’art. 13 (“Conservazione e registrazione dei documenti”) del regolamento recante le modalità attuative stabilisce che “Al fine della conservazione, il gestore predispone e formalizza un processo di conservazione atto a garantire l’integrità, la disponibilità e la protezione delle informazioni conservate, siano esse analogiche o digitali. Tale processo deve garantire che l’accesso alle informazioni conservate sia limitato esclusivamente a soggetti appositamente designati, per la gestione di motivate richieste da parte dell’utente ovvero per le attività svolte in sede di vigilanza o da parte dell’autorità giudiziaria. Ogni accesso deve essere rilevato, riscontrabile nel tempo, consentire di accertare quando e quali soggetti hanno acceduto alla specifica informazione e la causale dell’accesso […]”.

Con riferimento al profilo dell’accesso alle informazioni relative alle transazioni effettuate dagli utenti SPID, è previsto che:

- “Le tracciature devono essere mantenute nel rispetto del codice della privacy sotto la responsabilità titolare del trattamento dell’Identity Provider. e l’accesso ai dati di tracciatura deve essere riservato a personale incaricato. Al fine di garantire la confidenzialità potrebbero essere adottati meccanismi di cifratura dei dati o impiegati sistemi di basi di dati (DBMS) che realizzano la persistenza cifrata delle informazioni. Per il mantenimento devono essere messi in atto meccanismi che garantiscono l’integrità e il non ripudio” (par. 4.3 – “Mantenimento tracciature”, del regolamento recante le regole tecniche);

- “[…] Le tracciature devono avere caratteristiche di riservatezza, inalterabilità e integrità e sono conservate adottando idonee misure di sicurezza ai sensi dell'articolo 31 del decreto legislativo 30 giugno 2003, n. 196, sotto la responsabilità del titolare del trattamento; l’accesso ai dati è riservato a personale espressamente autorizzato e incaricato del trattamento dei dati personali. Devono essere utilizzati meccanismi di cifratura. […] Analogo registro dovrà essere tenuto dal gestore delle identità digitali, secondo modalità definite nelle regole tecniche di cui all’articolo 4, comma 3 del DPCM” (art. 29 – “Tracciatura e conservazione della documentazione di riscontro”, del regolamento recante le modalità attuative).

Con riferimento al profilo dei tempi di conservazione delle informazioni relative alle transazioni effettuate dagli utenti SPID, è previsto che:

- “Ai fini della tracciatura l’Identity Provider dovrà mantenere un Registro delle transazioni contenente i tracciati delle richieste di autenticazione servite negli ultimi 24 mesi” (par. 4.1 – “Tracciature identity provider”, del regolamento recante le regole tecniche);

- “Il comma 2 dell’articolo 13 del DPCM obbliga i fornitori di servizi alla conservazione per ventiquattro mesi delle informazioni necessarie a imputare alle singole identità digitali le operazioni effettuate sui propri sistemi. […] L’insieme delle Registrazioni costituisce il Registro delle transazioni del fornitore del servizio. […] Analogo registro dovrà essere tenuto dal gestore delle identità digitali, secondo modalità definite nelle regole tecniche di cui all’articolo 4, comma 3 del DPCM” (art. 29 – “Tracciatura e conservazione della documentazione di riscontro”, del regolamento recante le modalità attuative).

3. Esito dell’attività istruttoria

Prima di esaminare nel dettaglio le fattispecie oggetto di contestazione da parte dell’Autorità, occorre richiamare quanto eccepito in termini generali da Lepida, nei propri scritti difensivi, in merito alla circostanza che si sarebbe “chiaramente ingenerato nella Società […] un legittimo affidamento in merito alla circostanza per cui i processi (sin dall’inizio) adottati nel contesto del processo del rilascio dell’identità digitale LepidaID fossero scevri da eventuali contestazioni” sulla base delle verifiche poste in essere dall’AgID finalizzate anche all’accreditamento.

Al riguardo, si fa presente che, fermi restando i compiti svolti dall’AgID ai fini di accreditamento e di vigilanza (cfr. art. 4 del d.P.C.M. 24 ottobre 2014), i gestori di identità digitali, in ogni caso, sono tenuti all’obbligo di rispettare la normativa in materia di protezione dei dati personali, in merito alla quale fungono da autonomi titolari dei relativi trattamenti e, dunque, nel rispetto del principio di accountability, sono tenuti a mettere in atto le misure tecniche e organizzative adeguate per assicurarne la conformità al Regolamento (artt. 5, par. 2, e 24 del Regolamento; cfr. altresì l’art. 7, comma 9, del d.P.C.M. 24 ottobre 2014 che mantiene ferme tali responsabilità in capo ai gestori).
Inoltre, sempre in termini generali, nel corso dell’audizione, Lepida ha rappresentato che “la recente sentenza della CGUE resa nella causa C-768/21 afferma che, “in caso di constatazione di una violazione di dati personali, l’autorità di controllo non è tenuta ad adottare una misura correttiva, in particolare una sanzione amministrativa pecuniaria, ai sensi di tale articolo 58, paragrafo 2, qualora un siffatto intervento non sia appropriato, necessario o proporzionato al fine di porre rimedio all’inadeguatezza constatata e garantire il pieno rispetto di tale regolamento”, e che “non è escluso che, in via eccezionale e tenuto conto delle circostanze particolari del caso concreto, l’autorità di controllo possa omettere di adottare una misura correttiva nonostante sia stata constatata una violazione di dati personali. Ciò potrebbe verificarsi, in particolare, qualora la violazione constatata non sia persistita, ad esempio qualora il titolare del trattamento, che aveva, in linea di principio, attuato misure tecniche e organizzative adeguate ai sensi dell’articolo 24 del RGPD, abbia adottato, non appena ne sia venuto a conoscenza di tale violazione, le misure appropriate e necessarie affinché detta violazione cessasse e non si ripeta””.

Al riguardo, si ritiene che le conclusioni cui è giunta la Corte di giustizia UE nella menzionata pronuncia non siano trasponibili al caso di specie, nella misura in cui essa attiene a una differente e specifica vicenda che ha coinvolto un determinato interessato – che al riguardo aveva avanzato un reclamo all’Autorità territorialmente competente – mentre, nel caso di specie, si è in presenza della progettazione e impostazione predefinita di un trattamento che coinvolge più di un milione di interessati e che li ha potenzialmente esposti al rischio di accesso e utilizzo non autorizzato dei propri dati personali (e delle copie dei documenti di identità) da parte di una platea di oltre 7.000 operatori. Peraltro, si ricorda che la menzionata pronuncia non esclude la responsabilità del titolare del trattamento verso cui è diretta, ma al contrario la conferma, limitandosi solo a individuare quelle condizioni in presenza delle quali l’Autorità di controllo potrebbe non dover necessariamente adottare un provvedimento correttivo.

3.1. L’accesso, da parte degli operatori degli sportelli LepidaID, a dati personali e copie di documenti degli utenti del servizio LepidaID

Nel corso dell’istruttoria è stato accertato che, a partire dall’avvio dei trattamenti effettuati nell’ambito del servizio SPID erogato da LepidaID, e fino all’individuazione delle misure indicate nella nota del XX e alla loro successiva e progressiva adozione – avvenuta in data XX con riferimento alla disabilitazione della gran parte delle funzionalità messe a disposizione degli operatori e di seguito elencate; in data XX con riferimento all’introduzione della misura che prevede l’inserimento, da parte dell’operatore dello sportello LepidaID, del codice identificativo LepidaID necessario per prendere in carico le richieste di attivazione delle identità digitali – la Società consentiva a tutti gli operatori (per un totale di oltre 7.000 soggetti, abilitati a effettuare attività nell’ambito della gestione dell’identità digitale LepidaID), compresi quelli degli sportelli LepidaID abilitati allo svolgimento delle operazioni di riconoscimento de visu dei richiedenti, di consultare, mediante l’applicativo “Backoffice LepidaID – Operatore”, le informazioni relative a tutti gli utenti in possesso di tale identità digitale (per un totale di oltre 1,5 milioni di identità LepidaID rilasciate), nonché di estrarre copia della documentazione prodotta in sede di richiesta (comprese le copie di tessera sanitaria e documento di identità).

In particolare, è stato verificato che all’operatore era consentito, tra le altre cose:

- consultare le informazioni personali (nome, cognome, codice SPID, username/indirizzo e-mail, numero di cellulare, estremi del documento d’identità, Comune, Provincia e Regione di domicilio) di un qualsiasi utente in possesso di identità LepidaID (indipendentemente dalle modalità di identificazione), previo inserimento di uno o più criteri di ricerca (ad esempio, l’intervallo temporale della richiesta dell’identità; le modalità di identificazione; lo stato dell’identità; cognome e nome, codice fiscale, username o codice SPID dell’utente; lo sportello LepidaID che ha effettuato l’attivazione dell’identità; Comune, Provincia e Regione di domicilio);

- estrarre copia e visualizzare la documentazione (modulo di adesione, tessera sanitaria e documento d’identità) fornita dai soggetti in possesso di un’identità LepidaID (indipendentemente dal suo stato) rilasciata con identificazione de visu presso un qualsiasi sportello LepidaID o dai richiedenti l’identità LepidaID – la visualizzazione della predetta documentazione era possibile unicamente a seguito del download della stessa sulla postazione di lavoro utilizzata dall’operatore e, quindi, in caso di mancata cancellazione da parte dell’operatore, copia della predetta documentazione rimaneva salvata all’interno della postazione di lavoro – senza peraltro che gli fosse richiesto di indicare la causale dell’accesso;

- consultare le transazioni effettuate, a partire dal XX, da un qualsiasi utente in possesso di identità LepidaID (indipendentemente dal suo stato), previo inserimento del suo cognome e nome o del suo codice fiscale;

- consultare le operazioni effettuate da un operatore di un qualsiasi sportello LepidaID, previo inserimento del suo cognome e nome o del suo codice fiscale.

Per effetto delle misure descritte, è stato riscontrato che, nel corso del tempo, più di 3.000 operatori (alcuni dei quali hanno consultato tali informazioni anche più volte nel corso del tempo in relazione a uno stesso utente) hanno consultato le informazioni sulle transazioni effettuate da circa 10.000 utenti in possesso di un’identità digitale LepidaID, mentre circa 1.800 operatori di sportelli LepidaID (diversi da quelli presso cui è stata effettuata l’attivazione delle relative identità digitali LepidaID) hanno estratto copia dei documenti d’identità e delle tessere sanitarie di circa 4.500 utenti in possesso di un’identità digitale LepidaID.

Tali accessi erano stati resi possibili dall’assenza di misure volte a limitare le operazioni di consultazione di informazioni e documenti ai soli casi previsti dalla disciplina SPID e da parte dei soli operatori appositamente designati, nonché di quelle volte a verificare a posteriori, anche a campione, la liceità e la correttezza delle attività svolte dagli operatori medesimi.

A riprova di ciò, a valle dei controlli effettuati dalla Società nei confronti degli sportelli LepidaID, propri responsabili del trattamento, in seguito agli accertamenti ispettivi, sono emersi diversi casi di accessi non autorizzati da parte di operatori, che hanno condotto la Società a disabilitarli immediatamente.

In particolare, in uno di questi casi, a seguito della scoperta che uno specifico operatore aveva scaricato, dall’apposita sezione dell’applicativo, i documenti di 258 utenti, senza alcuna correlazione ad attività di identificazione ai fini del rilascio dell’identità SPID o per funzioni di assistenza ad esse correlate ma solo “per mera curiosità”, la Società ha provveduto a effettuare la notifica all’Autorità della violazione dei dati personali, ai sensi dell’art. 33 del Regolamento, e a depositare apposita denuncia-querela presso la Procura della Repubblica competente.

Negli scritti difensivi Lepida ha argomentato che “l’asserita inadeguatezza – riscontrata dall’Autorità – circa le misure di sicurezza poste da Lepida a garanzia del Servizio deve essere valutata in concreto, soffermandosi sulle violazioni realmente verificatesi – tenuto conto dell’elevatissimo numero di identità digitali rilasciate dalla Società (quantitativo che attualmente supera le 1.750.000 unità) - e non su delle mere ipotesi di violazioni suscettibili di violare i dati personali trattati. […] Tali complessive circostanze [(ossia le verifiche poste in essere dalla Società a seguito di quanto emerso nel corso degli accertamenti ispettivi)] appalesano, da un lato, l’evidente buona fede e l’accountability di Lepida, la quale, proattivamente, ha compiuto uno sforzo enorme per condurre le descritte puntuali analisi finalizzate a verificare eventuali violazioni nel trattamento dei dati personali degli utenti; dall’altro che, seppur a fronte dell’elevato numero di identità digitali rilasciate e di operatori coinvolti, le misure tecniche ed organizzative poste da Lepida a tutela del Servizio – contrariamente al ragionamento ipotetico dell’Autorità – si sono concretamente dimostrate adeguate al caso di specie. […] D’altronde non potrebbe essersi altrimenti considerato che, come ampiamente documentato, dalle puntuali verifiche effettuate, e pur a fronte delle numeriche testé evidenziate, sono emerse solo tre anomalie”. Inoltre, nel corso dell’audizione, Lepida ha aggiunto che “è stato rilevato un solo caso patologico, ove sono emerse responsabilità personali da parte dell’operatore coinvolto, che hanno condotto la Società ad effettuare la notifica di violazione dei dati personali all’Autorità nonché a sporgere denuncia-querela all’autorità giudiziaria. La stragrande maggioranza dei casi di accesso rilevati mediante analisi dei log riguardava attività post-rilascio e attività di assistenza; Lepida ha inoltre svolto una serie di audit legati alle risultanze emerse dalle attività ispettive svolte dall’Autorità e, anche sulla base dei rilievi ivi emersi, ha adottato ulteriori misure migliorative” (descritte nel par. 3.2 del presente provvedimento).

Al riguardo, si rende necessario sottolineare che sono emersi tre casi di accesso e utilizzo dei dati personali al di fuori delle finalità per le quali erano stati raccolti e conservati – uno dei quali con profili critici rispetto alla condotta dell’operatore – con riferimento alle sole attività di audit sollecitate dall’Autorità stessa nel corso degli accertamenti ispettivi e basate su alcuni indicatori di anomalia in quel momento ritenuti significativi (come il maggior numero di estrazioni di documenti di identità, o il maggior numero di consultazioni delle transazioni riferite a una pluralità di utenti, ecc.). Il che, quindi, non esclude che altre condotte non autorizzate possano essere state poste in essere da parte di altri operatori, che potrebbero aver sfruttato le possibilità di accesso offerte dall’applicativo anche solo a livello episodico e non necessariamente in modo massivo.

È, pertanto, accertato che tali modalità di funzionamento dell’applicativo “Backoffice LepidaID – Operatore” hanno permesso l’accesso a informazioni e documenti di qualsiasi utente e richiedente l’identità LepidaID, da parte di qualunque operatore degli sportelli LepidaID dislocati sull’intero territorio nazionale, non necessario rispetto alle finalità connesse al rilascio di identità digitali.

In merito alle finalità sottese alla scelta di rendere accessibili agli operatori di sportello LepidaID le informazioni sui titolari di identità LepidaID, negli scritti difensivi la Società ha sottolineato la circostanza secondo cui queste riguardano anche quelle “di garantire assistenza e supporto in relazione al Servizio medesimo”, oltre che dai verbali degli accertamenti effettuati, e ha dichiarato che il trattamento in esame non deve intendersi “limitato al mero rilascio dell’identità digitale”, ma deve considerare anche “l’ulteriore (essenziale) componente dell’attività di assistenza e supporto all’utenza resa da parte degli Operatori. Tale componente […] è sempre stata presa espressamente in considerazione da Lepida […] sin dalla fase di progettazione del trattamento di specie, anche in considerazione del carattere di necessità che la finalità assistenziale ha rivestito soprattutto nella fase pandemica”.

Al riguardo, si osserva che l’attribuzione, in maniera indistinta, a tutti gli operatori fisici abilitati a effettuare l’identificazione dei richiedenti, della funzione di assistenza in favore di tutti gli utenti presenti sul territorio nazionale – peraltro in un contesto caratterizzato dalla mancanza di controllo diretto della Società sugli operatori stessi (essendo questi in servizio presso i propri responsabili del trattamento, come Comuni, farmacie, CAF o associazioni), sulle loro postazioni di lavoro e sui dispositivi in uso (trattandosi di quelli utilizzati da questi ultimi nell’ambito della propria autonoma attività lavorativa) – non risulta una misura proporzionata alla finalità perseguita, in aperto contrasto con i principi di privacy by design e by default che, al contrario, postulano la selettività dell’accesso sia rispetto alle persone autorizzate che alla profondità. Peraltro, l’asserito affidamento agli operatori degli sportelli delle predette attività di assistenza non risulta documentato e non emerge dalla disciplina dei rapporti esistenti tra Lepida e i responsabili del trattamento.

Ciò, in contrasto con la menzionata disciplina SPID – in quanto veniva consentito a un numero indefinito di operatori di accedere a informazioni personali non necessarie rispetto alle finalità connesse al rilascio di identità digitali – ha dunque comportato la violazione dei principi di minimizzazione e di integrità e riservatezza dei dati personali degli utenti, esponendoli a rischi di trattamenti non autorizzati da parte degli operatori medesimi. Rischi per i diritti e le libertà fondamentali degli interessati che risultano ulteriormente elevati a causa della possibilità, riconosciuta ai medesimi operatori degli sportelli LepidaID, di estrarre copie dei documenti di identità degli interessati, il cui utilizzo non appropriato, da parte di terzi, potrebbe dare luogo truffe o comportamenti illeciti.

Infatti, in violazione anche dei principi di privacy by design e by default, l’attribuzione a tutti gli operatori di profili di autorizzazione con ampi privilegi, in termini di funzionalità e visibilità sui dati, in assenza di effettive esigenze di operatività, può determinare situazioni in cui un qualsiasi operatore è in grado di effettuare accessi anche a prescindere dalla comprovata sussistenza di ragioni legittime (quali, ad esempio, le richieste provenienti dall’interessato, dall’autorità giudiziaria o dall’autorità di vigilanza) – che comunque sarebbero dovute essere rappresentate dall’operatore accedente, in conformità con quanto previsto dalla menzionata disciplina SPID, e contestualmente registrate nei file di log. Ciò fino all’adozione delle misure, volte a mitigare i menzionati rischi, indicate nella nota del XX e nelle note e dichiarazioni successive.

Pertanto, si conferma che, fino al momento dell’effettiva adozione delle predette misure, le modalità di accesso all’applicativo “Backoffice LepidaID – Operatore” non risultavano adeguate a garantire, fin dalla progettazione e per impostazione predefinita, né la minimizzazione dei dati né un livello di sicurezza adeguato al rischio, non essendo in grado di assicurare su base permanente la riservatezza dei dati personali trattati, comportando in questo modo la violazione dell’art. 5, par. 1, lett. c) e f), e degli artt. 25 e 32 del Regolamento.

3.2. La conservazione, presso gli sportelli LepidaID, dei documenti dei richiedenti l’identità digitale LepidaID

Nel corso dell’istruttoria è stato accertato che, con particolare riferimento al rilascio dell’identità digitale LepidaID mediante identificazione a vista in presenza, sono previste due modalità di acquisizione dei dati e dei documenti dei richiedenti, che comportano la memorizzazione degli stessi sulla postazione di lavoro utilizzata: una modalità con pregressa e autonoma registrazione, da parte del richiedente medesimo, sul sito web https://id.lepida.it, e una modalità c.d. assistita, con registrazione presso l’operatore che effettua l’identificazione.

Nel primo caso all’operatore dello sportello LepidaID, al momento dell’identificazione del richiedente l’identità digitale LepidaID, è richiesto di verificare la documentazione (modulo di adesione, tessera sanitaria e documento d’identità) fornita all’atto della registrazione, scaricandola, per impostazione predefinita, sulla postazione di lavoro utilizzata. I documenti in tal modo rimangono conservati all’interno della postazione di lavoro, salvo l’intervento dell’operatore che deve provvedere alla loro cancellazione.

Nel secondo caso, all’operatore dello sportello LepidaID, al momento dell’identificazione del richiedente l’identità digitale LepidaID, è richiesto, per impostazione predefinita, di effettuare la scansione della documentazione (tessera sanitaria e documento d’identità) presentata dal richiedente e di caricarla dalla postazione di lavoro nell’applicativo “Backoffice LepidaID – Operatore”. Anche in questo caso, i documenti rimangono conservati all’interno della postazione di lavoro, salvo l’intervento dell’operatore che deve provvedere alla loro cancellazione.

In relazione a tali modalità di acquisizione della documentazione, la Società ha rappresentato di aver fornito apposite istruzioni agli operatori degli sportelli LepidaID per invitare i medesimi a eliminare definitivamente e nel più breve tempo possibile, dalla propria postazione di lavoro e dai dispositivi utilizzati, i file contenenti le copie per immagine dei documenti prodotti dai richiedenti un’identità digitale LepidaID.

Tuttavia, come peraltro riscontrato nel corso degli accertamenti ispettivi presso uno sportello LepidaID tali specifiche istruzioni non costituiscono misure adeguate a mitigare i rischi per i diritti e le libertà fondamentali degli interessati connessi alla conservazione, anche accidentale, delle copie dei predetti documenti presso le postazioni di lavoro in uso presso gli sportelli LepidaID (soprattutto con riferimento al documento di identità e alla tessera sanitaria).
Infatti, in caso di mancata tempestiva cancellazione delle copie di tali documenti, la loro memorizzazione su una postazione di lavoro ad uso promiscuo, o comunque non dedicata alle attività di identificazione dei richiedenti le identità LepidaID, può comportare rischi specifici per gli interessati, soprattutto in considerazione del contesto in cui gli operatori si trovano a svolgere le attività in esame (es. farmacie, Comuni e CAF), in cui risulta difficile per la Società comprovare il rispetto delle istruzioni impartite dalla medesima, con particolare riferimento alla necessità di assicurare un adeguato livello di riservatezza ai dati personali in tal modo trattati.

Sul punto, Lepida, negli scritti difensivi, ha evidenziato che “aveva previsto una retention specifica per la Documentazione e, proprio sulla scorta di tale definizione, aveva impartito specifiche istruzioni agli Operatori al fine di rendere tale indicazione effettiva”.

Al riguardo, si ritiene tuttavia che tale misura, per quanto corretta, fosse di per sé insufficiente a prevenire in maniera adeguata i rischi da utilizzi impropri delle copie dei documenti riversati sui dispositivi in uso.

Infatti, in fase di progettazione del trattamento, i predetti rischi si sarebbero potuti mitigare adottando misure quali, ad esempio: con riferimento alla modalità con previa registrazione, la previsione della sola visualizzazione dei documenti da parte dell’operatore, tramite l’applicativo, senza che sia necessario scaricarli sulla postazione di lavoro; con riferimento alla modalità assistita, l’introduzione di accorgimenti volti ad assicurarsi che, in relazione a ciascuna attività di rilascio di identità LepidaID, l’operatore sia effettivamente consapevole della necessità di cancellare, in maniera definitiva, le copie dei predetti documenti dalla postazione di lavoro e che comprovi l’avvenuta operazione di cancellazione.

In argomento, nei propri scritti difensivi, Lepida ha affermato che “non dispone di un controllo sulle postazioni utilizzate dagli Operatori, che consentirebbe di effettuare delle azioni concrete (es: cancellazioni automatizzate della Documentazione “scaricata”) che prescindano dall’effettiva diligenza di questi ultimi. Tale premessa comporta, pertanto, l’ovvia necessità di “affidarsi” alla buona fede e alla diligenza, appunto, degli Operatori, impartendo loro, anche attraverso la nomina ex art. 28 GDPR dei soggetti convenzionati e la nomina ex art. 29 GDPR dei singoli Operatori, chiare istruzioni in tema di cancellazione ed affiancando le stesse a specifiche sessioni di formazioni in grado di appalesare i rischi connessi ad un’eventuale omessa cancellazione. Tutte azioni / misure concretamente adottate da Lepida […] ma aprioristicamente ritenute inidonee dal Garante Privacy. Garante che, in via contraddittoria, ritiene comunque accettabili delle soluzioni che, al pari di quanto previsto dalla Società, “legano” la cancellazione dei dati alla solerzia degli Operatori”.

Al riguardo, si rappresenta che le misure indicate dall’Autorità nel corso dell’istruttoria, al contrario di quanto affermato dalla Società, contribuiscono a rafforzare il livello di sicurezza del trattamento da operazioni non autorizzate nella misura in cui un avviso da parte del sistema impegnerebbe l’operatore a effettuare un’azione positiva, fornendo indicazioni sulla condotta corretta da tenere. Laddove, invece, quest’ultimo avesse intenzioni malevole, dovrebbe espressamente disattendere l’indicazione impartita, ponendo quindi in essere, volontariamente, una condotta in violazione della stessa. In ogni caso, anche in ipotesi di mera dimenticanza dovuta a inconsapevolezza, tale misura potrebbe evitare forme di conservazione prolungata, riducendo i rischi di accessi non autorizzati causati dall’esposizione dei dati ivi conservati.

L’esigenza di elevare il livello di sicurezza, mediante misure volte a prevenire i rischi descritti, è stata confermata dalla stessa Lepida che, negli scritti difensivi, ha rappresentato di essersi “prontamente attivata al fine di intervenire in una fase di processo addirittura precedente rispetto a quella dell’eventuale conservazione dei Documenti, proprio con l’intento di evitare, in primo luogo, una consultazione non autorizzata e, a fortiori, una conservazione ingiustificata. In dettaglio, a far data dal XX, si prevede che l’Operatore possa accedere ai Documenti solo per il tramite di un c.d. spidcode che deve essere al medesimo fornito direttamente dal richiedente; in tal modo sarà possibile scongiurare l’ipotesi di accesso non autorizzato ai dati personali. Per quanto specificamente attiene alle misure inerenti alla conservazione dei Documenti, Lepida ha optato per l’introduzione di un c.d. viewer, mediante il quale consentire agli Operatori la mera consultazione dei Documenti nel contesto di LepidaID, inibendo a monte qualunque possibilità di download degli stessi. […] Considerato che nello specifico ambito della procedura di rilascio dell’identità digitale in modalità assistita è fatta salva la possibilità per l’Operatore di caricare a sistema i documenti del richiedente – attività che, evidentemente, richiede il preventivo salvataggio della scansione sul dispositivo utilizzato – sono stati introdotti dei messaggi informativi che ricordano agli Operatori la necessità di cancellare definitivamente dal personal computer e dai dispositivi utilizzati per le scansioni tutti i documenti/dati personali forniti dall’utente, svuotando anche il cestino. Tali elementi verranno espressamente presi in considerazione anche in sede di audit sui vari sportelli al fine di verificarne l’effettiva attuazione. Si aggiunga che da XX è stata prevista una c.d. “ripresa” formativa nei riguardi di tutti gli Operatori”.

Pertanto, si conferma che Lepida, fino all’intervento divenuto operativo a partire dal XX, non aveva adottato, fin dalla progettazione e per impostazione predefinita, misure adeguate a ridurre adeguatamente i rischi connessi alla conservazione, nelle postazioni di lavoro in uso presso gli sportelli LepidaID, per un periodo superiore rispetto alle finalità di identificazione e rilascio delle identità LepidaID, dei documenti dei richiedenti tali identità digitali, comportando in questo modo la violazione dell’art. 5, par. 1, lett. e) e f), e degli artt. 25 e 32 del Regolamento.

3.3. Le modalità con le quali venivano effettuate verifiche presso banche dati e altre fonti autoritative

Nel corso dell’istruttoria è stato accertato che, al momento dell’identificazione del richiedente a vista sia in presenza che da remoto, l’operatore preposto è tenuto a effettuare una “verifica manuale dell’identità del richiedente, della validità del codice fiscale e della sua congruenza con i dati anagrafici del richiedente (tramite il servizio online dell’Agenzia delle entrate), nonché dell’assenza di segnalazioni di furto o smarrimento del documento d’identità (tramite il servizio online CRIMNET del Ministero dell’interno)”, senza che tali verifiche riguardino la validità dei documenti d’identità (attualmente possibile per patente e passaporto) e della tessera sanitaria, nonché la congruità del relativo numero con il codice fiscale attraverso il sistema SCIPAFI, messo a disposizione dal Ministero dell’economia e delle finanze ai sensi dell’art. 30-ter, comma 5, lett. b-bis), del d.lgs. 13 agosto 2010, n. 141.

Inoltre, il messaggio che l’applicativo “Backoffice LepidaID – Operatore” rende disponibile all’operatore al momento dell’effettuazione dei controlli presso le banche dati e le altre fonti autoritative competenti, fa riferimento a verifiche affinché “la tessera sanitaria sia integra e in corso di validità attraverso una verifica sul sito dell’Agenzia delle Entrate”, in luogo del predetto sistema SCIPAFI (infatti, presso i sistemi offerti dall’Agenzia delle entrate è possibile solamente effettuare verifiche concernenti il codice fiscale di un soggetto e la sua corrispondenza con i suoi dati anagrafici).

Premesso che lo stesso manuale operativo prevede il ricorso al sistema SCIPAFI (peraltro, senza indicare per quali tipologie specifiche di controlli) solamente “una volta disponibile”, si osserva che l’assenza, fin dalla progettazione e per impostazione predefinita, di adeguate verifiche automatizzate innalza sensibilmente i rischi connessi alle attività rilascio di identità digitali; tanto più in un contesto, quale quello del caso di specie, in cui le operazioni di identificazione de visu (in presenza o da remoto) sono materialmente effettuate da un numero elevato di persone autorizzate, che, nella maggior parte dei casi, non sono sottoposte a un controllo immediato da parte della Società (ad esempio, operatori delle farmacie o dei CAF).

In proposito, Lepida, negli scritti difensivi, ha sostenuto che “L’Autorità, valicando i propri compiti, svolge una valutazione circa l’adeguatezza dei processi in essere presso Lepida finalizzati a verificare la correttezza delle Informazioni fornite dagli utenti che richiedono l’attivazione di un’identità digitale, contestando profili di ipotetica debolezza di un processo rimesso alla valutazione dell’AGID”. Inoltre, “il ricorso al sistema SCIPAFI – per le funzionalità stesse della banca dati - non avrebbe comunque consentito di ricondurre il codice fiscale riportato dal richiedente al documento di identità dal medesimo fornito ma ai soli passaporto o patente. Nel caso di LepidaID, ai fini della richiesta di identità digitale, il 92% dei richiedenti utilizza la carta d’identità; ne deriva l’ovvia evidenza per cui adottare un sistema che comunque non avrebbe consentito tale tipo di verifica avrebbe comportato solo un ingiustificato aggravio di costi di implementazione per Lepida, in aperto contrasto rispetto al principio di accountability e alle prescrizioni dell’art. 32 GDPR”, considerato altresì che “non risulta sussistente alcun obbligo formale di adottare sistemi di verifica automatizzati (carenti all’epoca dei fatti e successivamente implementati dalla Società […])”.

Al riguardo, si osserva anzitutto che quanto contestato dall’Autorità attiene all’adeguatezza delle misure adottate al fine di assicurare sia l’esattezza dei dati che la liceità e correttezza dei trattamenti effettuati nell’ambito delle attività di rilascio dell’identità digitale, per cui si tratta di attività pienamente rientrante nei compiti e nei poteri che il Regolamento (spec. artt. 57 e 58) assegna all’Autorità medesima. Sotto questo punto di vista, si ritiene che, in un contesto come quello in cui Lepida rilascia identità digitali, caratterizzato dall’esternalizzazione di tali operazioni in capo a centinaia di responsabili del trattamento e, concretamente, a migliaia di persone autorizzate che non hanno un legame diretto con la Società, l’assenza di controlli automatizzati presso le banche dati autoritative (in particolare, non solo per quanto riguarda passaporti e patenti, ma anche tutte le tessere sanitarie) innalza, in ogni caso, i rischi di condotte omissive da parte di singoli operatori infedeli ovvero semplicemente meno attenti. Proprio in un siffatto contesto l’adozione di modalità automatizzate di controllo consente di mitigare, per impostazione predefinita, i predetti rischi, limitando la discrezionalità di operatori che potrebbero sfuggire alla supervisione della Società.

In ogni caso, negli scritti difensivi Lepida ha rappresentato di aver proceduto con la progressiva adozione di misure tecniche e organizzative idonee a superare i rilievi formulati, completata il XX in relazione ai controlli automatizzati su SCIPAFI, con conseguenti ricadute sulle procedure di rilascio e revoca delle identità LepidaID, dando altresì atto, nel corso dell’audizione, di essere in procinto di attivare un “processo di verifica della corrispondenza del numero di tessera sanitaria con il codice fiscale, il cui rilascio è previsto entro il mese di XX”.

Pertanto, si conferma che Lepida, fino al momento dell’effettiva realizzazione degli interventi suindicati, non aveva adottato, fin dalla progettazione e per impostazione predefinita, misure adeguate al fine di verificare, presso le banche dati e altre fonti autoritative messe a disposizione in favore dei gestori di identità digitali ai sensi della normativa di settore, le informazioni fornite dagli interessati all’atto della richiesta dell’identità SPID, sia con riferimento alle modalità non automatizzate di effettuazione di tali verifiche (in quanto rimesse a operazioni condotte manualmente dall’operatore preposto), che con riferimento alle tipologie di informazioni sottoposte a verifica (quali quelle concernenti i documenti di identità e la tessera sanitaria), comportando in questo modo la violazione dell’art. 5, par. 1, lett. f), e degli artt. 25 e 32 del Regolamento.

3.4. La conservazione delle informazioni sul tracciamento delle transazioni effettuate con l’identità LepidaID

Nel corso dell’istruttoria è stato accertato che Lepida conservava i log delle transazioni effettuate tramite le identità LepidaID a partire dal XX, avendo dichiarato, nel corso dell’accertamento ispettivo svolto il XX, di non aver ancora attivato meccanismi di cancellazione automatica di tali informazioni al raggiungimento del termine di 24 mesi e di aver appena avviato un’attività di analisi al riguardo; ciò, non assicurando, fin dalla progettazione e per impostazione predefinita, misure adeguate per garantire la limitazione della conservazione. Come sopra rilevato, tali log erano peraltro messi a disposizione, in consultazione, agli operatori degli sportelli LepidaID.

Nelle note del XX e del XX Lepida ha comunque aggiunto, tra le altre cose, di aver impostato a 24 mesi i tempi di conservazione dei dati personali all’interno del registro delle transazioni, in conformità con quanto previsto dalla normativa SPID, di aver concluso il XX la progettazione della procedura di cancellazione e di aver pianificato la sua definitiva realizzazione entro il mese di XX.

Negli scritti difensivi Lepida ha dichiarato che “Dal dato letterale della previsione richiamata [(cioè del regolamento AgID recante le regole tecniche)], risulta, quindi, chiaro che l’Agenzia abbia imposto agli identity provider l’adozione di un retention period – per quanto attiene alle transazioni – non inferiore ai 24 mesi, nulla disponendo in merito ad un’eventuale conservazione superiore. Per di più, […] sono intervenute ulteriori indicazioni da parte delle diverse agenzie competenti”, relative ad ambiti più generali quali la sicurezza dei software e il ricorso a servizi cloud.

Al riguardo, corre l’obbligo di precisare che la menzionata normativa SPID parla espressamente di un periodo di conservazione pari esattamente agli “ultimi 24 mesi”, senza alcun riferimento alla possibilità che i log siano conservati per un periodo superiore. Tale lasso temporale è stato ritenuto congruo dal regolatore, in quanto bilanciamento tra esigenze di sicurezza e diritto alla riservatezza, e a nulla valgono, nel caso di specie, le indicazioni contenute in altri documenti che fanno riferimento ad ambiti differenti. Inoltre, si ricorda che nella nota del XX la stessa Società aveva confermato che, “a seguito dell’analisi svolta, ha ritenuto ventiquattro mesi il tempo idoneo per il mantenimento dei dati personali presenti nel registro delle transazioni, come indicato dall’Art.29 del “REGOLAMENTO RECANTE LE MODALITÀ ATTUATIVE PER LA REALIZZAZIONE DELLO SPID (articolo 4, comma 2, DPCM 24 ottobre 2014)””.

Pertanto, si conferma che Lepida, a partire dal XX e fino alla realizzazione degli interventi comunicati con le note del XX e del XX, aveva conservato le informazioni sulle transazioni effettuate dalle identità LepidaID per un periodo temporale superiore ai 24 mesi previsti dalla disciplina SPID (almeno fino al mese di XX), in violazione dell’art. 5, par. 1, lett. e), del Regolamento, con la conseguenza di renderli altresì disponibili con tale profondità temporale agli operatori degli sportelli LepidaID (cfr. par. 3.1 del presente provvedimento).

Con riferimento a tale profilo, negli scritti difensivi Lepida ha comunque rappresentato di aver previsto “in via ulteriormente migliorativa, […] dal XX, la messa in produzione di un job, in funzione ogni giorno, deputato alla cancellazione – fatta salva la sussistenza di motivi che giustifichino la conservazione - delle transazioni antecedenti i 24 mesi dalla data corrente”.

Con riferimento all’aspetto dell’adozione di misure adeguate ad assicurare la disponibilità, l’integrità e il non ripudio di tali dati (quali il versamento di tali log all’interno di un sistema di conservazione a norma), in conformità con quanto previsto dalla menzionata disciplina di settore, negli scritti difensivi Lepida ha sottolineato che “sin dal maggio XX […] riversa su “ParER” (Polo archivistico dell’Emilia-Romagna) i registri delle transazioni, ai quali è altresì applicata una marca temporale”.

Alla luce di ciò, si ritiene che Lepida, con riferimento alle modalità di conservazione delle informazioni sulle transazioni effettuate mediante identità LepidaID, abbia adottato misure adeguate ad assicurare la disponibilità, l’integrità e il non ripudio di tali dati, per cui si dispone l’archiviazione del procedimento concernente la violazione dell’art. 5, par. 1, lett. f), e degli artt. 25 e 32 del Regolamento in relazione a tale condotta.

3.5. La trasparenza con riferimento al ruolo rivestito da Lepida

Nel corso dell’istruttoria è stato accertato che Lepida, con riferimento ai trattamenti di dati personali effettuati nell’ambito della gestione delle identità LepidaID rilasciate a partire da identità pregresse FedERa, si era qualificata contitolare del trattamento, ai sensi dell’art. 26 del Regolamento, unitamente agli Enti che compongono il Community Network dell’Emilia-Romagna (CNER).

Tale rappresentazione – di cui si trova traccia nella “Relazione trattamento dati personali” fino a quel momento resa disponibile mediante il sito web dedicato al servizio LepidaID, nonché nell’allegata informativa resa ai sensi dell’art. 13 del Regolamento – ha erroneamente indotto gli interessati a ritenere che, oltre alla Società, anche gli Enti della CNER, agendo “in qualità di contitolari del trattamento relativamente alle utenze FedERa tramutate in SPID”, potessero determinare finalità e mezzi ed effettuare il relativo trattamento, ovvero rivestire il ruolo di gestori delle predette identità.

Ciò in contrasto con quanto previsto dalla disciplina di settore, in base alla quale unicamente la Società riveste la qualifica di gestore dell’identità digitale, accreditato presso AgID, e pertanto soggetto autorizzato ad assumere la qualità di titolare del trattamento connesso al rilascio e alla gestione dell’identità SPID – come peraltro riconosciuto nella stessa informativa acquisita nell’accertamento ispettivo del XX, in relazione alle identità LepidaID non rilasciate a partire da identità pregresse FedERa.

In seguito, con la menzionata nota del XX, la Società ha fornito una versione aggiornata della citata relazione e dell’unita informativa, con la quale si è qualificata come unico titolare del trattamento in relazione al rilascio e alla gestione di tutte le identità LepidaID.

Al riguardo, si osserva che la mancata chiarezza con cui venivano esposte le informazioni agli interessati prima dell’aggiornamento comunicato con la nota del XX, con specifico riferimento a un elemento rilevante quale l’identificazione del titolare del trattamento, costituisce di per sé un elemento di criticità rispetto a quanto prescritto dal Regolamento in merito alla necessità che queste siano rese in forma trasparente e intelligibile e con un linguaggio semplice e chiaro (art. 12, par. 1), considerato che il principio di trasparenza “riguarda, in particolare, l'informazione degli interessati sull'identità del titolare del trattamento” (cons. 39), soprattutto in quelle “situazioni in cui la molteplicità degli operatori coinvolti e la complessità tecnologica dell'operazione fanno sì che sia difficile per l'interessato comprendere se, da chi e per quali finalità sono raccolti dati personali che lo riguardano” (cons. 58).

Ad ogni modo, la correzione alla relazione e all’informativa apportata nel corso dell’istruttoria costituisce un elemento da tenere in considerazione ai fini della valutazione della condotta.

Pertanto, si conferma che Lepida, fino al momento dell’aggiornamento comunicato con la nota del XX, aveva fornito agli interessati informazioni non corrette sulla titolarità dei trattamenti di dati personali effettuati in relazione alle identità LepidaID rilasciate a partire da identità pregresse FedERa, in violazione degli obblighi di trasparenza di cui all’art. 13, par. 1, lett. a), del Regolamento.

4. Conclusioni

Alla luce del complesso delle valutazioni sopra richiamate, le dichiarazioni rese dal titolare del trattamento negli scritti difensivi, seppure meritevoli di considerazione ai fini della valutazione della condotta, consentono solo in parte di superare i principali rilievi notificati dall’Ufficio con l’atto di avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento e risultano insufficienti a consentire l’archiviazione del presente procedimento, nel suo complesso, ai sensi dell’art. 14, comma 1, del reg. del Garante n. 1/2019, non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.

In tale quadro, confermando taluni rilievi notificati dall’Ufficio con la nota del XX, si rileva che, nella vicenda in esame, nell’ambito della configurazione, realizzazione e messa a disposizione del servizio LepidaID, Lepida ha posto in essere la violazione di:

a) art. 5, par. 1, lett. c) e f), e artt. 25 e 32 del Regolamento in relazione all’accesso, da parte degli operatori degli sportelli LepidaID, a dati personali e copie di documenti degli utenti del servizio LepidaID (cfr. par. 3.1 del presente provvedimento);

b) art. 5, par. 1, lett. e) e f), e artt. 25 e 32 del Regolamento in relazione alla conservazione, presso gli sportelli LepidaID, dei documenti dei richiedenti l’identità digitale LepidaID (cfr. par. 3.2 del presente provvedimento);

c) art. 5, par. 1, lett. f), e artt. 25 e 32 del Regolamento in relazione alle modalità con le quali venivano effettuate verifiche presso banche dati e altre fonti autoritative (cfr. par. 3.3 del presente provvedimento);

d) art. 5, par. 1, lett. e), del Regolamento in relazione ai tempi di conservazione delle informazioni sul tracciamento delle transazioni effettuate con l’identità LepidaID (cfr. par. 3.4 del presente provvedimento);

e) art. 13, par. 1, lett. a), del Regolamento in relazione alla trasparenza con riferimento al ruolo rivestito dalla Società (cfr. par. 3.5 del presente provvedimento).

Per le ragioni precedentemente esposte, si dispone, invece, l’archiviazione del procedimento concernente la violazione dell’art. 5, par. 1, lett. f), e degli artt. 25 e 32 del Regolamento in relazione alle modalità di conservazione delle informazioni sul tracciamento delle transazioni effettuate con l’identità LepidaID (cfr. par. 3.4 del presente provvedimento).

Infine, considerato che sono state adottate misure volte a superare le criticità sopra descritte, non ricorrono i presupposti per l’adozione delle misure correttive di cui all’art. 58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i), e 83 del Regolamento; art. 166, comma 7, del Codice)

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del reg. del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria, inflitta in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate nel par. 4 del presente provvedimento è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

Con specifico riguardo alla natura, alla gravità e alla durata delle violazioni, al carattere doloso o colposo delle stesse nonché alle categorie di dati personali interessate (art. 83, par. 2, lett. a), b) e g), del Regolamento), occorre considerare che:

- le violazioni connesse all’accesso, da parte degli operatori degli sportelli LepidaID, a dati personali e copie di documenti degli utenti del servizio LepidaID, nonché alla conservazione di queste ultime presso i medesimi sportelli, hanno sottoposto i dati personali di oltre 1,5 milioni di interessati (tutti i possessori di identità LepidaID) al rischio di trattamenti non autorizzati da parte di circa 7.000 operatori;

- le tipologie di dati personali oggetto del trattamento descritto comprendono i dati anagrafici e di contatto e, soprattutto, le copie dei documenti di identità e delle tessere sanitarie;

- in concreto, rispetto alle predette attività di audit effettuate – peraltro, a seguito degli accertamenti ispettivi effettuati dall’Autorità – sono emersi tre casi di accessi al di fuori delle finalità connesse alla gestione delle identità LepidaID, uno dei quali è stato oggetto di notifica della violazione dei dati personali all’Autorità e di denuncia-querela all’autorità giudiziaria in relazione alla condotta tenuta dall’operatore coinvolto;

- la Società aveva progettato e impostato il trattamento oggetto di contestazione in ragione di un “modello di presenza e assistenza di prossimità”, vagliato dall’AgID quale soggetto deputato all’accreditamento e alla vigilanza, al fine di porre un’azione “di contrasto al digital divide e di inclusione quali elementi indefettibili di cittadinanza digitale […], a maggior ragione in tempi di pandemia, in cui le richieste di attivazione e assistenza raggiunsero numeri di enorme rilevanza”;

- la Società ha dichiarato non esserci stato alcun pregiudizio per gli interessati, derivante dalle modalità con cui veniva effettuato il trattamento.

Alla luce di tali circostanze, si ritiene che, nel caso di specie, il livello di gravità delle violazioni commesse dal titolare del trattamento sia alto (Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR, adottate dal Comitato il 23 maggio 2023, punto 60).

In senso favorevole al titolare occorre considerare che, ai sensi dell’art. 83, par. 2, lett. c), e) e f), del Regolamento, la Società – che non ha commesso precedenti violazioni pertinenti – ha adottato numerose misure volte a rendere i trattamenti conformi alla disciplina in materia di protezione dei dati personali, sia nel corso degli accertamenti ispettivi che durante il prosieguo dell’istruttoria (e descritte diffusamente nel presente provvedimento), fornendo un elevato livello di cooperazione all’Autorità e provvedendo altresì a effettuare la notifica della violazione dei dati personali di cui all’art. 33 del Regolamento non appena ha avuto contezza dell’episodio da cui ha avuto origine. Inoltre, con specifico riferimento alla violazione di cui alla lett. e) del par. 4 del presente provvedimento, occorre tenere conto che le informazioni non corrette in merito alla titolarità dei trattamenti effettuati in relazione alle identità LepidaID rilasciate a partire da identità pregresse FedERa erano destinate a una porzione ridotta di interessati rispetto all’intera platea di utenti in possesso di identità LepidaID.

Per contro, si è tenuto conto, ai sensi dell’art. 83, par. 2, lett. d), del Regolamento, del grado di responsabilità del titolare del trattamento tenendo conto delle misure tecniche e organizzative messe in atto ai sensi degli artt. 25 e 32 del medesimo Regolamento.

Infine, per quanto concerne altri fattori attenuanti applicabili alle circostanze del caso, ai sensi dell’art. 83, par. 2, lett. k), del Regolamento e dell’art. 166, comma 7, secondo periodo, del Codice, ai sensi del quale, nella determinazione della sanzione, il Garante tiene conto anche di eventuali campagne di comunicazione istituzionale volte alla promozione della consapevolezza del diritto alla protezione dei dati personali, realizzate dal trasgressore anteriormente alla commissione della violazione, occorre considerare che, come anche evidenziato da Lepida a integrazione del verbale di audizione, la stessa è impegnata da tempo nella attività di promozione, divulgazione e valorizzazione della tutela dei dati personali, sia nell’ambito della comunità dei propri enti soci (oltre 440 enti pubblici tra cui Regione Emilia-Romagna, i Comuni, le Unioni di comuni, le Aziende sanitarie, le Asp e altri enti del territorio), sia nel più ampio contesto economico e sociale del territorio, compresa l’organizzazione di due eventi pubblici di formazione e confronto tra l’Autorità e i Responsabili della protezione dei dati a seguito dell’entrata in vigore del Regolamento.

In ragione dei suddetti elementi, valutati nel loro complesso – tenuto conto del fatturato come emergente in base al bilancio di esercizio per l’anno XX (ultimo disponibile) e della natura di Lepida, società in house partecipata interamente dalla Regione Emilia-Romagna e da altri enti pubblici – si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 100.000,00 (centomila) per la violazione dell’art. 5, par. 1, lett. c), e) e f), dell’art. 13, par. 1, lett. a), e degli artt. 25 e 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del reg. del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito internet del Garante.

Ciò in considerazione del fatto che il trattamento dei dati personali raccolti nell’ambito del rilascio e della gestione dell’identità LepidaID ha riguardato un elevato numero di interessati (in un numero pari a oltre 1,5 milioni di persone).

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO, IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. a), del Regolamento, l’illiceità dei trattamenti di dati personali effettuati da Lepida S.c.p.A., descritta nei termini di cui in motivazione, consistente nella violazione dell’art. 5, par. 1, lett. c), e) e f), dell’art. 13, par. 1, lett. a), e degli artt. 25 e 32 del Regolamento;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i), e 83 del Regolamento, nonché dell’art. 166 del Codice, a Lepida S.c.p.A., in persona del legale rappresentante pro-tempore, con sede legale in via della Liberazione 15/D, 40128 Bologna, C.F. 02770891204, di pagare la somma di euro 100.000,00 (centomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 100.000,00 (centomila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. 689/1981;

DISPONE

a) ai sensi dell’art. 14, comma 1, del reg. del Garante n. 1/2019, l’archiviazione, nei termini di cui in motivazione, della contestazione per la violazione dell’art. 5, par. 1, lett. f), e degli artt. 25 e 32 del Regolamento, limitatamente con riferimento al profilo concernente le modalità di conservazione delle informazioni sul tracciamento delle transazioni effettuate con l’identità LepidaID;

b) ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del reg. del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

c) ai sensi dell’art. 154-bis, comma 3, del Codice e dell’art. 37 del reg. del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

d) ai sensi dell’art. 17 del reg. del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 aprile 2026

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Montuori

Scheda

Doc-Web
10263964

Data
29/04/26

Argomenti

Misure di sicurezza Pubblica Amministrazione Archivi e banche dati Conservazione di dati Informativa Password Enti pubblici Firma digitale Data breach SPID Minimizzazione

Tipologie

Ordinanza ingiunzione o revoca

Seguici su Basic

Selettore lingua

Garante per la protezione dei dati personali

I miei diritti

Imprese ed enti

Servizi online

Podcast

GGpdp5SearchToggleBar

Menù di navigazione

Provvedimento del 29 aprile 2026 [10263964]

g-docweb-display Portlet