Rome’s University “La Sapienza” ended up in the Italian Data Protection Authority’s sights after having notified a violation of personal data as required by art. 33 of the Regulations. Such violation concerned the disclosure of personal data processed through the University’s platform used for the management of offence reports by employees and third parties within the whistleblowing regime. Following the notification breach, the Authority initiated investigations.  Violations of the measures provided in the Regulations for the protection of personal data were ascertained, with particular emphasis to the provisions relating to the current security measures in force.

IL FATTO

A dicembre 2018, l’Università degli studi di Roma “La Sapienza” notificava al Garante per la protezione dei dati personali un data breach, come previsto dal Regolamento UE 679/2016. In particolare, la violazione denunciata, riguardava i dati di due segnalanti che avevano utilizzato la piattaforma per le segnalazioni resa disponibile dall’Università a dipendenti e terzi, nel rispetto della normativa in materia di c.d. whistleblowing. La normativa in materia di whistleblowing prevede infatti l’obbligo per gli enti, di dotarsi di sistemi adeguati per ricevere eventuali segnalazioni da parte di soggetti che siano venuti a conoscenza di illeciti nell’ambito della propria attività lavorativa. La diffusione accidentale aveva riguardato esclusivamente dati comuni (nome, indirizzo, e-mail); il data breach aveva tuttavia causato l’indicizzazione dei dati su alcuni motori di ricerca (non rendendo pubblico il contenuto della segnalazione).

L’Ateneo aveva provveduto a notificare la violazione al Garante entro le 72 ore dal momento in cui era venuto a conoscenza della violazione (come previsto dalla vigente normativa in materia di protezione dei dati personali). In seguito alla notizia dell’evento, l’Università aveva inoltre posto in essere una serie di misure volte a limitare le conseguenze dannose dell’evento, bloccando l’accesso al portale online, oscurando la pagina web dell’Ateneo e richiedendo ai motori di ricerca di procedere alla rimozione dei dati dai principali motori di ricerca. Prudenzialmente l’Università aveva inoltre notificato il data breach agli interessati coinvolti.

In seguito agli ulteriori accertamenti del Garante è emerso che la diffusione accidentale dei dati era stata causata da un problema tecnico (aggiornamento e modifica di una piattaforma software che ha interferito con l’applicativo usato per le segnalazioni in materia di whistleblowing).

Il Garante ha ritenuto che la violazione di dati personali, seppur accidentale e tempestivamente notificata, ha determinato, in particolare, un trattamento in violazione dell’art. 32 del Regolamento, in assenza di adeguate misure tecniche e organizzative volte a garantire la riservatezza e l’integrità dei dati personali trattati mediante l’applicativo. In merito alla sicurezza del trattamento, l’art. 32 del Regolamento stabilisce che “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” e che “nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare […] dalla divulgazione non autorizzata [… di] dati personali trasmessi, conservati o comunque trattati”.

Nel corso delle indagini il Garante aveva potuto constatare che l’applicativo utilizzato dall’Università per le segnalazioni era un prodotto software disponibile sul mercato che non consentiva personalizzazioni; pertanto l’Ateneo non aveva potuto implementare particolari misure di sicurezza, come l’utilizzo di strumenti di crittografia per il trasporto e la conservazione dei dati. Anche dal punto di vista del controllo accessi, l’applicativo utilizzato era risultato carente. A causa della problematica tecnica verificatasi, i dati identificativi dei segnalanti presenti in alcune delle pagine web dell’applicativo whistleblowing, risultavano indicizzate e liberamente rintracciabili in rete, in assenza di misure tecniche per il controllo accessi. Infine, il fatto che la diffusione dei dati sia stata la conseguenza di un problema tecnico, secondo il Garante non esonera il titolare dall’adottare apposite procedure al fine di testare e valutare regolarmente l’efficacia delle misure tecniche adottate per garantire la sicurezza del trattamento; l’asserita diminuzione temporanea delle misure di sicurezza, non esonera il titolare dal procedere alla verifica dell’efficacia delle misure adottate.

Per tale omissione di adempiere agli obblighi imposti al titolare in materia di sicurezza, il Garante ha rilevato l’illiceità del trattamento dei dati personali effettuato dall’Università degli studi di Roma “La Sapienza”, ingiungendo all’Ateneo il pagamento della somma di 30.000 euro.

PERCHÉ È IMPORTANTE:

Il provvedimento in esame ricorda ai titolari del trattamento l’importanza di porre in essere adeguate misure tecniche per garantire la sicurezza dei dati personali. Il Regolamento non individua a priori le “misure tecniche e organizzative adeguate” ma stabilisce che il livello di sicurezza debba essere adeguato al rischio; tra le misure concrete suggerite dal Regolamento vi sono la pseudonimizzazione e la cifratura dei dati e, in ogni caso, l’obbligo per il titolare di “testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative adottate”.

Pertanto, tutte le attività del titolare che comportino il trattamento di dati personali, con particolare riferimento ai trattamenti svolti in ambiente online, devono essere svolti pianificando preventivamente tutte le misure tecniche e organizzative più opportune, per garantire la sicurezza dei dati e la tutela degli interessati.