L’Agenzia Regionale per la Protezione Ambientale della Campania (di seguito, “ARPAC” o “Agenzia”) ha denunciato ai Carabinieri e al Garante Privacy l’avvenuta sottrazione di un hard disk che conteneva numerosi dati personali salvati senza alcuna cifratura o tecnica di protezione: in pratica, chi ha sottratto il dispositivo, può ora facilmente disporre dei dati personali in esso contenuti; il Garante ha così ritenuto che, nonostante il furto, la responsabilità del Titolare del trattamento resti evidente per la mancata adozione di regole preventive di sicurezza. Il combinato disposto degli artt. 5 e 32 del Regolamento UE sulla protezione dei dati non lascia scampo: se non proteggi i dati personali, scatta la sanzione.

La vicenda. L’ARPAC ha notificato al Garante Privacy la violazione dei dati personali di cui all’art. 33 del Regolamento, consistente nella perdita di un dispositivo contenente dati personali: più esattamente, la violazione ha riguardato il furto di un hard disk esterno in cui erano contenuti dati personali quali copie di documenti di riconoscimento, documenti di tipo fiscale (CUD, modelli F24 e 730), buste paga, pratiche di rimborso e un elenco contenente dati analitici riferiti a procedimenti giudiziari. Non veniva escluso, inoltre, che il data breach fosse stato doloso (l’hard disk oggetto di sottrazione sarebbe stato, infatti, collegato al server installato in una stanza alla quale poteva accedere qualsiasi dipendente, nonché i dipendenti dell’ARPAC Multiservizi, società in house dell’Agenzia) e si riteneva che la violazione avesse comportato un’illecita sottrazione e possibile divulgazione non autorizzata dei dati contenuti nell’hard disk esterno e, quindi, che essa, in virtù del numero degli interessati, della natura, numero e grado di sensibilità dei dati personali violati potesse determinare un conseguente rischio per le libertà e i diritti degli interessati. La violazione, inoltre, avrebbe compromesso sia la riservatezza dei summenzionati dati che la loro disponibilità, in quanto il salvataggio di backup non era andato a buon fine e di conseguenza i dati erano andati quasi tutti irreparabilmente persi.

Con riferimento alle specifiche situazioni di illiceità richiamate nell’atto notificato dall’ARPAC, l’Ufficio del Garante avviava, quindi (ai sensi dell’art. 166, comma 5, del Codice) un procedimento (per l’adozione dei provvedimenti di cui all’art. 58, par. 2 del Regolamento) nei confronti dell’ARPAC, per la violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento.

L’ARPAC faceva pervenire le proprie memorie difensive (ai sensi dell’art. 166, comma 6, del Codice) rappresentando, in particolare, che:

– all’interno del più generale processo di adeguamento ai principi e alle regole del Regolamento, si è dotata, tra le altre cose, di un sistema di gestione della sicurezza delle informazioni idoneo alla individuazione di eventuali vulnerabilità nell’architettura dei dati di ARPAC nonché, con riferimento alle risorse presenti sulla rete internet, di una serie misure di sicurezza a più livelli (protezione Firewall, misure di sicurezza per le singole postazioni di lavoro, misure di sicurezza per i server);

– con riferimento alla specifica vicenda, il server a cui era collegato l’hard disk sottratto veniva di norma utilizzato come

– tutti gli Interessati individuati (rappresentanti legali di fornitori, dipendenti, loro familiari e collaboratori esterni) sarebbero stati contattati al fine di essere informati “dell’avvenuto furto/smarrimento, a loro tutela”, tramite comunicazioni effettuate via email, “esortando ad attivare ogni eventuale precauzione tesa alla protezione di potenziali conseguenze negative a causa della violazione subita”;

– al fine di mitigare, sotto il profilo organizzativo, ulteriori e potenziali simili episodi, sono state adottate anche particolari misure di sicurezza fisiche; nel contempo, tutto il personale è stato esortato a non utilizzare tutti gli strumenti agenziali informatici e non per scopi personali, come da Regolamento ICT”;

– infine, da ulteriori approfondimenti effettuati, non risultavano verificatesi conseguenze negative, che apparivano del tutto improbabili, relativamente all’eventuale utilizzo improprio dei dati personali sia dei dipendenti che degli esterni.

Esito dell’attività istruttoria: l’art. 5, par. 1, lett. f), del Regolamento pone il principio di integrità e riservatezza, ai sensi del quale i dati personali sono “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”. In attuazione di tale principio, il successivo art. 32 stabilisce che “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento” (par. 1) e che “Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (par. 2).

Il caso in trattazione attiene, quindi, a una violazione di dati personali, intendendosi per essa una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (art. 4, n. 12), del Regolamento), essendosi realizzata “una illecita sottrazione e possibile divulgazione non autorizzata dei dati contenuti nell’hard disk esterno”, come notificata da parte dell’ARPAC all’Autorità ai sensi dell’art. 33 del Regolamento.

Rispetto al citato quadro giuridico, è emerso come la segnalata violazione dei dati personali sia stata resa possibile in ragione dell’assenza delle misure necessarie per garantire un livello di sicurezza adeguato al rischio, richieste dall’art. 32 del Regolamento. Invero, dalla documentazione in atti risulta che non fossero stati adottati:

– accorgimenti necessari a consentire la continuità, su base permanente, e il ripristino della disponibilità dei dati personali sottratti, essendo stato riconosciuto, da parte dell’ARPAC, come le operazioni di backup non abbiano dato buon esito e, quindi, i dati siano andati quasi tutti irreparabilmente persi;

– tecniche in grado di assicurare la non identificabilità degli interessati ai quali i dati personali contenuti nel dispositivo si riferivano, per limitare il rischio della loro consultazione da parte di soggetti non debitamente autorizzati (come la pseudonimizzazione o la cifratura dei dati), tenuto anche conto che, presso il locale in cui era custodito il dispositivo sottratto, poteva accedere qualsiasi dipendente;

– procedure idonee a testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Quanto addotto dal titolare del trattamento negli scritti difensivi pertiene le misure adottate successivamente all’episodio che ha causato la perdita dell’hard disk, o comunque in corso di predisposizione in quel periodo: tali iniziative, seppur meritevoli di considerazione, non eliminano però il fatto che, nel momento in cui si è verificata la perdita del dispositivo contenente i dati personali, non fossero state adottate misure tecniche e organizzative adeguate per assicurare la protezione da trattamenti non autorizzati o illeciti o dalla perdita, e per garantire un livello di sicurezza adeguato al rischio.

Per tali ragioni, sulla base degli elementi acquisiti e dei fatti emersi nell’ambito dell’attività istruttoria, risulta accertato che l’ARPAC, in relazione ai fatti in esame al momento della perdita dell’hard disk, si è resa responsabile della violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento.

Conclusioni: si rileva l’illiceità del trattamento di dati personali effettuato da ARPAC, per non aver adottato misure tecniche e organizzative adeguate per assicurare la protezione da trattamenti non autorizzati o illeciti o dalla perdita, e per garantire un livello di sicurezza adeguato al rischio, in violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento. La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5 del Regolamento: si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 8.000,00 (ottomila) per la violazione degli artt. 5, par. 1, lett. f), e 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1 del Regolamento, effettiva, proporzionata e dissuasiva. Tenuto conto che la violazione è emersa in occasione di una condotta presumibilmente criminosa che potrebbe presentare aspetti di carattere penale, stante peraltro la denuncia presentata dall’Agenzia alle autorità competenti, si ritiene altresì che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del regolamento del Garante n. 1/2019.

Per approfondimenti: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9538748