[doc. web n. 9003263]

Ordinanza ingiunzione nei confronti di Lombardia Informatica S.p.A. - 15 marzo 2018

Registro dei provvedimenti
n. 156 del 15 marzo 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, componente e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che l’Ufficio del Garante, con atto n. 25155/102061 del 30 agosto 2016 (notificato il 20 settembre 2016 a tutti i destinatari), che qui deve intendersi integralmente riportato, ha contestato a Lombardia Informatica S.p.A., in persona del legale rappresentante pro-tempore, con sede in Milano, via Torquato Taramelli n. 26, C.F. 05017630152, la violazione delle disposizioni di cui agli artt. 19, comma 3, 33 e 162, comma 2-bis, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”); rilevato che con il medesimo atto l’Ufficio ha individuato la Regione Lombardia, in persona del legale rappresentante pro-tempore, con sede in Milano, piazza Città di Lombardia n. 1, C.F. 80050050154, quale soggetto obbligato in solido per la contestata violazione, ai sensi dell’art. 6, comma 2, della legge n. 689/1981; 

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

- il 4 novembre 2015 l’Ufficio del Garante, Dipartimento libertà pubbliche e sanità, ha inviato una richiesta di informazioni alla società Lombardia Informatica, dopo aver appreso da alcune notizie stampa che il portale www.muta.servizirl.it, gestito dalla medesima società per l’erogazione di servizi connessi con le funzionalità del ”Modello unico di trasmissione degli atti”, avrebbe consentito, attraverso semplici interrogazioni, di visionare i dati personali di qualunque cittadino previo inserimento del relativo codice fiscale;

- il 6 novembre 2015 la Regione Lombardia comunicava al Garante un evento di violazione di dati personali avvenuto fra il 31 ottobre e il 4 novembre 2015 con riferimento alla Banca dati anagrafica delle persone fisiche e giuridiche dell’Ente. Nella comunicazione si rappresentava che “il giorno 31/10 si è rilevato un utilizzo improprio di una funzionalità del servizio (inserendo il codice fiscale venivano proposti i dati anagrafici […]); tale funzionalità è stata disabilitata il giorno stesso. Successivamente, sono state avviate ulteriori verifiche che hanno evidenziato delle ricerche anomale di codici fiscali” e che “la violazione dei dati è avvenuta accedendo ad un Web Service, con accesso limitato ad alcuni operatori, esposto su internet”;

- successivamente perveniva all’Autorità una relazione della società Lombardia Informatica nella quale si rappresentava, con riferimento alla precedente comunicazione di data breach inviata dalla Regione Lombardia, che “nella giornata di sabato 31 ottobre 2015, nel corso delle normali attività di monitoraggio, Lombardia Informatica ha avuto evidenza di un utilizzo improprio delle funzionalità "precompila dati" nell'ambiente di produzione. Nella stessa giornata Lombardia Informatica ha provveduto a disattivare la funzione "precompila dati". Questo comporta che attualmente gli utenti, per compilare la domanda, sono obbligati ad inserire manualmente tutte le informazioni suddette. Contestualmente sono state attivate ulteriori verifiche, riguardanti il periodo Ottobre-Novembre 2015 dalle quali sono emersi degli accessi anomali all'ambiente di test, ossia una serie di ricerche di codici fiscali (circa 60), a distanze temporali ravvicinate l'una dall'altra, in un periodo in cui non erano previste attività di test da parte di fornitori esterni. A fronte di tale evidenza, nella giornata del 4 Novembre 2015, si è provveduto a chiudere l'ambiente di test e disabilitare la funzione precompila dati nell'ambiente di validazione. Le verifiche si sono protratte oltre il giorno 4 Novembre evidenziando che gli accessi anomali nell'ambiente di test non risultano essere stati circa 60, come precedentemente comunicato a codesta Autorità, nel modulo di Data Breach inviato il giorno 6 Novembre da parte di Regione Lombardia, ma si sono limitati a circa 15 codici fiscali e tra questi 2 minori probabilmente riconducibili ad attività di test eseguite presumibilmente da parenti degli stessi, identificati tra i fornitori degli Enti locali. I dati personali coinvolti sono riferiti ai dati anagrafici (Nome, Cognome, Data di nascita, Luogo di nascita e Residenza) di persone fisiche”;

- in una successiva nota, inviata da Lombardia informatica a seguito di ulteriore richiesta di elementi da parte dell’Ufficio, si rappresentava che per accedere, tramite Internet, alle funzionalità di precompilazione dei dati era necessario inserire nel browser una specifica url (Universal Resource Locator) del portale, la quale poteva essere individuata anche attraverso strumenti e conoscenze tecniche specifiche e che “solo gli operatori tecnici coinvolti nella fase di validazione, che erano in possesso del modulo contenente la url, erano in grado di ricavare tali elementi senza doversi autenticare preventivamente all'applicazione”.

- con nota del 12 aprile 2016 il Dipartimento libertà pubbliche e sanità, comunicando alle parti la conclusione dell’istruttoria svolta, evidenziava che “risulta accertato, in primo luogo, che gli utenti registrati alla piattaforma Muta hanno avuto la possibilità di accedere a dati personali relativi a soggetti terzi tramite la funzione "precompila dati" del modello di dichiarazione unica ambientale. Tale funzione, a fronte dell'inserimento di un codice fiscale, forniva alcuni dati personali (nome, cognome, data di nascita e indirizzo di residenza, anche di minori), relativi all'interessato. In proposito, si evidenzia che i soggetti pubblici possano trattare i dati personali, diversi da quelli sensibili e giudiziari, pertinenti e non eccedenti per lo svolgimento delle proprie funzioni istituzionali e che la comunicazione a soggetti terzi e la diffusione di tali dati sia ammessa unicamente quando prevista da una norma di legge o di regolamento (artt. 18, 19, comma 3, e 162, comma 2-bis, del Codice). Deve, pertanto, ritenersi — allo stato della documentazione esaminata, della normativa vigente e tenuto conto delle dichiarazioni fornite — che la funzionalità della piattaforma di servizi on line "Muta" sopra descritta abbia determinato una comunicazione di dati personali, diversi da quelli sensibili e giudiziari, a soggetti terzi da parte della Regione Lombardia, per il tramite di Lombardia informatica S.p.A., in assenza di un'idonea base normativa e, dunque, in violazione di quanto previsto dall'art. 19, comma 3, del Codice”. Nella nota si rappresentava inoltre che “risulta parimenti accertata la comunicazione dei dati personali sopra richiamati a soggetti terzi attraverso la url di test ricavabile dal modello di dichiarazione unica ambientale utilizzato in fase di validazione del servizio [...]. Ancorché, infatti, tale url fosse "mascherata all'interno del modulo PDF utilizzato in fase di validazione", "riservata e conosciuta ai soli operatori tecnici autorizzati dalla Regione Lombardia" e, pertanto, non conoscibile a chiunque, tuttavia, laddove richiamata facendo uso di un programma applicativo (client soap), era possibile, previo inserimento di un codice fiscale, accedere ai predetti dati anagrafici di persone fisiche in assenza di un sistema di autenticazione informatica. Sotto questo ultimo profilo, pertanto, deve inoltre rilevarsi l'omissione delle misure minime di sicurezza di cui all'art. 33 e ss. del Codice, poiché è stato consentito il trattamento di dati personali con strumenti elettronici da parte di incaricati (individuati negli operatori tecnici autorizzati), in assenza del superamento di una procedura di autenticazione (cfr. in particolare, art. 34, comma 1, lett. a) del Codice e la regola 1 dell'Allegato B al Codice, recante il Disciplinare tecnico in materia di misure minime di sicurezza)”;

RILEVATO che con il citato atto del 30 agosto 2016  sono state contestate a Lombardia Informatica, ai sensi dell’art. 162, comma 2-bis, le violazioni delle disposizioni di cui agli artt. 19, comma 3, 33 del Codice e della regola n. 1 del disciplinare tecnico di cui al relativo allegato B), per aver, nella gestione della piattaforma “Modello unico di trasmissione degli atti” – MUTA, comunicato dati personali degli interessati in assenza di idoneo presupposto normativo e consentito l’accesso alla predetta piattaforma in assenza di una idonea procedura di autenticazione; rilevato che, con il medesimo atto, la Regione Lombardia è stata individuata quale soggetto obbligato in solido al pagamento della sanzione, ai sensi dell’art. 6, comma 2, della legge n. 689/1981;

VISTO il rapporto redatto dall’Ufficio ai sensi dell’art. 17 della legge n. 689/1981, dal quale risulta che Lombardia Informatica non ha provveduto al pagamento in misura ridotta della sanzione relativa alla comunicazione di dati personali in assenza di idoneo presupposto normativo (mentre per la violazione relativa alla mancata adozione delle misure minime di sicurezza non è previsto il pagamento in misura ridotta);

LETTI le memorie difensive e il verbale di audizione della società Lombardia Informatica, che qui si intendono integralmente riportati e che, in sintesi, osservano che:

-  “l'Autorità ha contestato a Lombardia Informatica S.p.A. la violazione per trattamento illecito di dati di cui all'art. 167, che caratterizza nella sua formulazione: Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvio che sia a Lombardia Informatica S.p.A. sia a Regione Lombardia non si può imputare un trattamento al fine di trarne profitto. Nel caso di specie manca per l'appunto la finalità costituita dal profitto o quantomeno dalla volontà di arrecare un danno ad altri, attraverso l'illecito trattamento del dato”;

- "appare invece del tutto disattesa la circostanza che Regione Lombardia abbia predisposto una semplificazione telematica, afferente il deposito delle istanze sottese al "Modello Unico per la Trasmissione Atti - Autorizzazione Unica Ambientale, in forza del complesso panorama normativo in merito alla semplificazione amministrativa di cui al Decreto-legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35, Circolare regionale del 05/08/13 n° 19, D.g.r. 16 maggio 2014 n. X/1840, nonché nel D.P.R. 59/2013, trovando quindi applicazione nell'art. 19 del d.lgv. 196/2003, 3° comma”;

- “il servizio era protetto da misure atte a riconoscere l'utente nella fase di autenticazione al sistema, non lasciando l'interrogazione degli elementi, contenuti nella piattaforma, sottesa ad un libero accesso”; 

- “la presente difesa desidera ribadire, anche in questa fase, che l'accesso al database, contenente i dati comuni degli utenti, non è stato interrogato attraverso la piattaforma MUTA-AUA ma attraverso un'azione delittuosa — in corso di indagine da parte della Procura di Milano”;

- “in data 4 novembre 2015 una fonte di stampa descriveva la complessa procedura con cui utilizzando prima l’indirizzo […] poi l'indirizzo […] riservato strettamente agli sviluppatori esterni e accreditata di MUTA-AUA, con cui è stato possibile, digitando un codice fiscale, risalire all'intestatario dello stesso e ai suoi dati di residenza. La citata procedura non passava attraverso il servizio telematico posto da Regione Lombardia e per essa Lombardia Informatica S.p.A., regolarmente progettato e pubblicato on line, ma attraverso l'infedeltà di uno sviluppatore chiamato a proteggere la risorsa tecnologica affidatagli”;

- “l'accertamento delle violazioni contestate formalmente alla Società in data 20 settembre 2016 è stato effettuato dal Garante, anche ai sensi dell'articolo 14 della legge n. 689/1981, in data 12 aprile 2016. La medesima disposizione, però, stabilisce che, nelle ipotesi in cui non sia avvenuta la contestazione immediata della violazione tanto al trasgressore quanto alla persona che sia obbligata in solido al pagamento della somma dovuta per la violazione stessa, gli estremi della violazione debbono essere notificati agli interessati residenti nel territorio della Repubblica entro il termine di novanta giorni dall'accertamento. La norma in questione, inoltre, specifica che l'obbligazione di pagare la somma dovuta per la violazione si estingue per la persona nei cui confronti è stata omessa la notificazione nel termine prescritto. Orbene, appare evidente che, nell'ipotesi (che pare fondata) in cui possa considerarsi la nota adottata dal Garante in data 12 aprile 2016 (e comunicata alla Società in pari data) equivalente all'atto di accertamento ex articolo 14 della legge n. 689/1981, il procedimento sanzionatorio e l'atto che lo conclude non sembrano regolari e legittimi. Secondo tale prospettiva esegetica, infatti, la contestazione operata con la nota prot. n. 25155/102061 del 30 agosto 2016 (notificata alla Società il successivo 20 settembre 2016) avrebbe dovuto essere notificata, al più tardi, entro il giorno 11 luglio 2016”.

RITENUTO che, le osservazioni difensive sopra richiamate non consentono di escludere la responsabilità di Lombardia Informatica in ordine alle violazioni contestate, per le seguenti ragioni:

- quanto alla comunicazione di dati in assenza di idoneo presupposto normativo, è emerso dall’istruttoria che la società ha consentito ai soggetti terzi registrati alla piattaforma MUTA di accedere alla funzione di precompilazione dei moduli e, attraverso di essa, venire a conoscenza dei dati personali di alcuni soggetti che  erano presenti negli archivi anagrafici della Regione;

- le norme citate dalla difesa appaiono connesse all’ introduzione di una procedura semplificata di deposito delle istanze inerenti l’autorizzazione unica ambientale, semplificazione che non ha formato oggetto di contestazione da parte dell’Ufficio;

- al contrario, nessuna delle norme richiamate consente di ritenere lecita la comunicazione dei dati personali a soggetti terzi, attraverso le modalità emerse nel corso dell’istruttoria;

- quanto alla omessa adozione delle misure minime di sicurezza in materia di autenticazione informatica, a nulla rileva l’osservazione difensiva in base alla quale l’accesso al sistema e l’interrogazione relativa ai dati degli interessati sia avvenuta a seguito di un atto illecito, giacché il Codice, agli artt. 31 e 33, impone di adottare le misure minime di sicurezza proprio al fine di prevenire il rischio di accessi non autorizzati o di trattamenti non conformi agli scopi della raccolta;

- con l’adozione di una idonea procedura di autenticazione al sistema basata sull’assegnazione di un codice identificativo univoco e di una parola chiave, non solo si sarebbe scoraggiato ogni tentativo di indebito accesso ai dati personali contenuti nella piattaforma, ma sarebbe stato comunque possibile identificare l’autore delle intrusioni al sistema regionale, allo stato rimasto ignoto;

- quanto alla censura in ordine alla notifica della contestazione delle violazioni amministrative, avvenuta, secondo la difesa, oltre il termine di 90 giorni stabilito dall’art. 14 della legge n. 689/1981, si deve evidenziare che l’ultimo atto istruttorio, necessario per conoscere la distribuzione delle responsabilità nel trattamento di dati in argomento, è costituito dalla richiesta di informazioni dell’8 luglio 2016, in ordine alla designazione di Lombardia Informatica quale responsabile del trattamento e alle correlate attribuzioni, e dal conseguente riscontro del 15 luglio 2016, con il quale la Regione Lombardia ha trasmesso l’atto di designazione, quale responsabile ex art. 29 del Codice, di Lombardia Informatica, il documento riepilogativo dell’ambito del trattamento della società e le istruzioni di dettaglio per lo svolgimento del proprio incarico. Sulla scorta delle informazioni assunte l’Ufficio ha individuato Lombardia Informatica quale responsabile delle violazioni contestate e la Regione Lombardia quale obbligato in solido al pagamento della sanzione ai sensi dell’art. 6, comma 2, della legge n. 689/1981;

- la notifica della contestazione delle violazioni amministrative, avvenuta, come dichiarato anche dalla difesa il 20 settembre 2016 sia per Lombardia Informatica che per la Regione Lombardia, è quindi avvenuta nel rispetto dei termini stabiliti dall’art. 14 della legge n. 689/1981;

RILEVATO, quindi, che Lombardia Informatica, sulla base delle considerazioni sopra richiamate, risulta aver commesso, in qualità di responsabile del trattamento, ai sensi degli artt. 4, comma 1, lett. g), e 29 del Codice, la violazione delle disposizioni previste dagli artt. 19, comma 3, 33, 34 e 162, comma 2-bis, del Codice e dalla regola n. 1 del disciplinare tecnico di cui all’allegato B) del medesimo Codice, per aver:

- consentito ai soggetti terzi registrati alla piattaforma MUTA di accedere alla funzione di precompilazione dei moduli e, attraverso di essa, venire a conoscenza dei dati personali di alcuni soggetti che erano presenti negli archivi anagrafici della Regione; 

- consentito ai predetti soggetti di accedere alla piattaforma MUTA senza aver superato una procedura di autenticazione al sistema;

VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni di cui all’art. 167 del Codice, tra le quali figura anche l’art. 19, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro; vista la medesima norma, che punisce l’omessa adozione delle misure minime di sicurezza di cui agli artt. 33 e ss. del Codice, con il pagamento di una somma da diecimila euro a centoventimila euro;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a) in ordine all’aspetto della gravità con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, la violazione non risulta connotata da elementi specifici;

b) ai fini della valutazione dell’opera svolta dall’agente, deve essere valutata favorevolmente la circostanza che Lombardia Informatica abbia, non appena rilevate le anomalie presenti nella piattaforma MUTA, impedito ulteriori comunicazioni di dati personali attraverso l’utilizzo della funzione di precompilazione dei moduli e, successivamente, dato pieno adempimento alle prescrizioni impartite dal Garante in materia di misure minime di sicurezza;

c) circa la personalità dell’autore della violazione, deve essere considerata la circostanza che Lombardia Informatica non risulta gravata da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;

d) in merito alle condizioni economiche dell’agente, sono state prese in considerazione le informazioni reddituali relative all’anno 2016;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di:

- euro 20.000 (ventimila), per la violazione di cui agli artt. 19, comma 3, e 162, comma 2-bis, del Codice;

- euro 20.000 (ventimila), per la violazione di cui agli artt. 33, 34, e 162, comma 2-bis, del Codice;

RITENUTO di dover individuare, ai sensi dell’art. 6, comma 2, della legge n. 689/1981, la Regione Lombardia quale obbligato in solido con l’autore della violazione al pagamento della somma da questo dovuta;

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a Lombardia Informatica S.p.A., in persona del legale rappresentante pro-tempore, con sede in Milano, via Torquato Taramelli n. 26, C.F. 05017630152, e alla Regione Lombardia, in persona del legale rappresentante pro-tempore, con sede in Milano, piazza Città di Lombardia n. 1, C.F. 80050050154, quest’ultima in qualità di obbligato in solido, di pagare la somma di euro 40.000 (quarantamila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

ai medesimi di pagare la somma di euro 40.000 (quarantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 15 marzo 2018

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia