Il 24 gennaio 2023 la Regione Molise ha notificato al Garante per la protezione dei dati personali un data breach che ha riguardato il Portale regionale del Fascicolo Sanitario Elettronico (FSE).
La violazione dei dati personali si è verificata in quanto un utente con ruolo di “assistito” è stato in grado di effettuare una ricerca relativa ad altri cittadini presenti in Anagrafe Regionale del Molise, sfruttando una vulnerabilità del sistema attraverso una manipolazione intenzionale della URL.
In particolare, i dati personali illecitamente consultati dal soggetto terzo si riferivano a 7 interessati e riguardavano: dati anagrafici, dati di residenza e domicilio, dati relativi alla assistenza sanitaria (ASL di appartenenza, distretto di appartenenza, medico di base, esenzioni), documenti e referti sanitari (come referti di laboratorio e specialistici).
Nel corso dell’attività istruttoria, l’Autorità ha accertato che la violazione era stata provocata da un bug di sicurezza nel sistema di autenticazione con cui si accedeva al Fascicolo Sanitario Elettronico della Regione Molise.
Il Garante privacy ha così adottato tre provvedimenti irrogando una sanzione di 10 mila euro ciascuna a:
1) la Regione Molise, in qualità di Titolare del trattamento, in quanto titolare del Portale regionale del FSE;
2) la Società Molise dati, organismo in house providing della Regione Molise, nominato Responsabile del trattamento, in quanto incaricato dell’attività di implementazione tecnica del FSE;
3) l’Engineering ingegneria informatica S.p.A., la società Sub-responsabile del trattamento che aveva sviluppato le componenti tecniche del Portale del FSE, progettato le procedure di identificazione e autenticazione informatica nonché di autorizzazione informatica degli assistiti ai fini della consultazione dei documenti presenti nel FSE.
Con il Provvedimento del 27 novembre 2024 [10095791] - Garante Privacy, il Garante privacy ha innanzitutto precisato che i trattamenti effettuati nel contesto del FSE richiedono l’adozione dei più elevati e rigorosi standard di sicurezza, al fine di non compromettere la riservatezza, l’integrità e la disponibilità dei dati personali di milioni di interessati.
Il Titolare del trattamento è infatti tenuto ad implementare non solo le misure tecniche e organizzative espressamente individuate dall’articolo 32, paragrafo 1, lettera da a) a d), ma anche tutte quelle misure effettivamente necessarie a contenere i rischi derivanti dai trattamenti effettuati.
Il rispetto del principio di protezione dei dati fin dalla progettazione e per impostazione predefinita di cui all’articolo 25 del GDPR, tramite apposite politiche e procedure, è la modalità con cui il Titolare del trattamento deve dare piena applicazione ai principi di protezione dei dati enunciati all’articolo 5 del GDPR.
Ma c’è di più, il Titolare del trattamento deve continuare in qualsiasi momento ad effettuare una valutazione di idoneità dei mezzi e delle misure di sicurezza scelte per contrastare le vulnerabilità rilevate.
Revisioni periodiche delle misure di sicurezza poste a presidio dei dati personali e della procedura per la gestione delle violazioni dei dati sono adempimenti fondamentali per operare in accountability, arginare le violazioni di dati e dimostrare la propria conformità normativa.
Il Garante privacy ricorda peraltro che l’obbligo di mantenere, verificare e aggiornare, ove necessario, il trattamento si applica anche ai sistemi preesistenti. Ciò implica che i sistemi progettati prima dell’entrata in vigore del GDPR devono essere sottoposti a verifiche e manutenzione per garantire l’applicazione di misure e garanzie che mettano in atto i principi e i diritti degli interessati in modo efficace.
La circostanza che, nella realizzazione di un servizio, la catena di fornitura sia lunga e che l’implementazione effettiva delle misure di sicurezza sia affidata ad uno o più soggetti esterni, non fa venir meno la responsabilità del Titolare del trattamento che mantiene un ruolo centrale nella determinazione della finalità e dei mezzi dello stesso.
Anche nel caso in cui le decisioni sui mezzi non essenziali vengano lasciate al Responsabile del trattamento, il Titolare del trattamento deve comunque stabilire determinati elementi nell’accordo sul trattamento dei dati quali, ad esempio, in relazione al requisito della sicurezza, l’istruzione di adottare tutte le misure richieste a norma dell’articolo 32 del GDPR.
In ogni caso, il Titolare del trattamento rimane responsabile dell’attuazione di misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento.
Con il Provvedimento del 27 novembre 2024 [10095761] - Garante Privacy il Garante privacy ha constatato che la Società Molise dati S.p.A. ha omesso, così come previsto nell’atto di nomina a Responsabile del trattamento, di mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, in violazione dell’articolo 32 del GDPR.
La Società Molise dati aveva precisato in fase istruttoria che l’esecuzione delle prestazioni di progettazione e realizzazione tecnica del sistema informatico impiegato per la gestione del FSE erano state affidate a Engineering Ingegneria Informatica S.p.A. e che l’incidente di sicurezza che aveva provocato la perdita di riservatezza dei dati era stato reso possibile esclusivamente da un errore di programmazione commesso dal sub-fornitore nella fase di esecuzione delle operazioni demandategli.
L’Autorità però ha ricordato che, qualora il Sub-responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile del trattamento conserva nei confronti del Titolare l’intera responsabilità dell’adempimento degli obblighi da parte del sub-responsabile che ha nominato. Il Responsabile, infatti, mediante apposita nomina, deve imporre al Sub-responsabile il rispetto di istruzioni ad hoc e prevedere garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate.
Con il Provvedimento del 27 novembre 2024 [10095810] - Garante Privacy, il Garante privacy ha accertato che la vulnerabilità che aveva causato il data breach originava da un errore di codifica del software riconducibile all’operato di Engineering Ingegneria Informatica S.p.A.
A parere dell’Autorità, il Sub-responsabile, nel realizzare e progettare, dal punto di vista tecnico, i sistemi informatici utilizzati nell'ambito del Fascicolo Sanitario Elettronico della Regione Molise, inclusi i sistemi di autenticazione informatica e autorizzazione, avrebbe dovuto, nell’ambito dei doveri di ordinaria diligenza, adottare misure adeguate, e verificarne l’efficacia con l’esecuzione di opportuni casi di test, in modo da limitare l’accesso da parte degli utenti alle sole informazioni che li riguardavano (o che eventualmente erano autorizzati a trattare) e quindi impedire che soggetti terzi potessero, dopo aver superato la procedura di autenticazione informatica, utilizzare funzionalità a cui non erano autorizzati semplicemente modificando alcuni parametri presenti nell'URL.
Alla luce di tali omissioni, il trattamento di dati personali effettuato da Engineering Ingegneria Informatica S.p.A., è stato considerato dal Garante privacy in violazione dell’articolo 32 del GDPR che impone l’adozione di misure di sicurezza adeguate al rischio per i diritti e le libertà delle persone fisiche.