Garante per i dati personali - 2/07/2015 - n. 393 Articolo unico1. Ai sensi dell'art. 154, comma 1, lett. c), del Codice, prescrive che le pubbliche amministrazioni di cui all'art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 devono comunicare al Garante, entro quarantotto ore dalla conoscenza del fatto, tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati e che tali comunicazioni debbano essere redatte secondo lo schema riportato nell'Allegato 1 al presente provvedimento e inviate tramite posta elettronica o posta elettronica certificata all'indirizzo: databreach.pa@pec.gpdp.it; 2. Ai sensi dell'art. 154, comma 1, lett. c), del Codice, nelle more della definizione degli «standard di comunicazione e le regole tecniche» da parte dell'Agid ai sensi dell'art. 58, comma 2, del Cad, prescrive alle pubbliche amministrazioni che intendano mettere a disposizione gli accessi alle proprie banche dati alle altre amministrazioni che ne abbiano diritto mediante la cooperazione applicativa di cui all'art. 72, comma 1, lettera e) del Cad l'adozione delle misure necessarie individuate nell'Allegato 2 al presente provvedimento, salvo che le modalita' di accesso alle banche dati siano gia' state oggetto di esame da parte del Garante nell'ambito di specifici provvedimenti; laddove siano gia' state previste modalita' di accesso ai sensi della nuova formulazione del predetto art. 58, comma 2 del Cad, non conformi alle misure gia' individuate dal Garante nel provvedimento del 4 luglio 2013, prescrive che le misure necessarie previste nell'Allegato 2 siano adottate dalle amministrazioni interessate entro e non oltre il 31 dicembre 2015; 3. Ai sensi dell'art. 143, comma 2, del Codice dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. InquadramentoIl d.lgs. n. 82/2005, novellato dal d.lgs. n. 235/2010 e denominato codice dell'amministrazione digitale (di seguito «CAD»), contiene norme relative ai dati delle pubbliche amministrazioni ai fini della condivisione e della fruibilità degli stessi. L'art. 50 del CAD stabilisce che qualunque dato trattato da una pubblica amministrazione è reso accessibile e fruibile alle altre amministrazioni, in funzione dello svolgimento dei compiti istituzionali di quest'ultime. Il provvedimento «misure di sicurezza e le modalità di scambio dei dati personali tra amministrazioni pubbliche» del 2 luglio 2015 ha l'obiettivo di garantire l'esattezza, l'integrità e la disponibilità dei dati personali contenuti nelle banche dati della pubblica amministrazione (di seguito «PA»), al fine di contrastare i rischi di accesso abusivo o non autorizzato o di trattamento non consentito. L'art. 58 comma 2 del CAD prevede che le PA comunichino tra loro attraverso l'istituto della cooperazione applicativa, regolamentata all'art. 72, comma 1, lett. e). Un ruolo di primo piano è rivestito da «l'Agenzia per l'Italia Digitale» (di seguito «Agid») che nel 2017, tramite la Circolare n. 2/17, recante le misure minime di sicurezza ICT per le PA, ha integrato le misure di sicurezza previste nell'allegato 2 del provvedimento in commento. Un'ulteriore previsione contenuta all'interno del provvedimento in esame riguarda l'istituto della violazione dei dati personali cd. data breach che però non trova più applicazione stante l'avvento del Regolamento Generale sulla Protezione dei Dati che ne ha innovato i contenuti. (per maggiori approfondimenti v. art. 33 GDPR). Risulta come le misure prescritte dal Regolamento in termini di sicurezza informatica e le misure descritte dal provvedimento in commento siano in rapporto di genere a specie rispetto al contenuto sia dell'Allegato 2 del provvedimento in esame sia della Circolare Agid n. 2/17. Infatti, l'approccio risk-based del Regolamento non può che essere limitato di fronte alla precisa elencazione delle misure di sicurezza da implementare, definite dal Garante e da Agid. La Circolare e l'allegato 2, inoltre, sembrano rivolgersi a due layer di sicurezza diversi. La circolare prescrive una serie di misure di sicurezza che prescindono dalla comunicazione dei dati personali e pertanto ne costituiscono un prerequisito, mentre, all'interno dell'allegato 2, sono contenute le misure che la PA deve implementare al fine di garantire la sicurezza della trasmissione di dati tra enti e richiamano esplicitamente l'allegato B cod. privacy, non più in vigore e, di conseguenza, soggette ad una doverosa attualizzazione in ottica accountability ex art. 24 GDPR. La convenzioneLa convenzione rappresenta il necessario presupposto giuridico finalizzato alla comunicazione di dati tra pubbliche amministrazioni. Consiste in un atto bilaterale stipulato tra erogatore e fruitore al fine di stabilire le condizioni e le modalità di accesso ai dati. Si nota ictu oculi un possibile parallelismo con la figura del responsabile del trattamento ex art. 28 GDPR, in quanto, tramite uno strumento giuridico, le amministrazioni possono stabilire le garanzie a tutela del trattamento dei dati personali e dell'utilizzo dei sistemi informativi. All'interno della convenzione si dovrà tener conto del contesto nel quale le comunicazioni di dati personali devono essere effettuate al fine di implementare misure di sicurezza tecniche e organizzative ulteriori rispetto a quelle descritte nel provvedimento in commento e che possano essere inserite all'interno della convenzione stessa. Tali ulteriori misure potranno riguardare le modalità di gestione dei profili di autorizzazione, l'implementazione di software per prevenire accessi anomali, l'implementazione di software di operational intelligence al fine di tracciare le operazioni di accesso, come già si è avuto modo di osservare all'interno del provvedimento del Garante relativo alla figura degli amministratori di sistema del 2008. È inoltre richiesto all'erogatore di verificare la base normativa che legittima il fruitore ad accedere alle proprie banche dati e la finalità istituzionale perseguita dal fruitore. Saranno soggetti a tale controllo preliminare anche la natura e la qualità dei dati richiesti, rispettando il principio di minimizzazione e di need to know, di pertinenza e non eccedenza. Il provvedimento indica inoltre come sia preferibile un accesso di tipo booleano, ovvero consistente nel fornire risultati come «vero/falso» o «si/no» per far fronte delle richieste del fruitore (per maggiori approfondimenti relativi ai principi suddetti si veda art. 32 GDPR). Il provvedimento prevede, in ogni caso, la possibilità che, nel rapporto tra erogatore e fruitore, si individuino figure che necessitino di permessi più ampi, relativi alla visualizzazione dei dati dell'erogatore, tenendo in considerazione come il provvedimento specifichi che il risultato di un'interrogazione sui sistemi non dovrà fornire un elenco di soggetti. L'erogatore dovrà inoltre mantenere aggiornato un elenco che contenga al suo interno i dati relativi ai fruitori e alle banche dati a cui possono accedere e verificare, con cadenza periodica annuale, che l'esigenza di interazione con i propri dati sia attuale. Nel caso in cui riscontrasse non conformità rispetto a quanto stabilito nelle convenzioni dovrà procedere all'inibizione degli accessi del fruitore o di singole utenze dello stesso. In ultimo occorre evidenziare come il provvedimento riservi agli erogatori e ai fruitori la possibilità di scegliere la modalità telematica di accesso alle banche dati «rispetto alle finalità, alla natura e alla quantità dei dati, alle caratteristiche anche infrastrutturali e organizzative del fruitore, al volume e alla frequenza dei trasferimenti, al numero di soggetti abilitati all'accesso. Modalità d'accessoIl provvedimento descrive due modalità di accesso ai dati da parte di altre PA, tenendo conto degli obiettivi perseguiti dal CAD e dall'infrastruttura disponibile sul territorio. La prima riguarda l'accesso via web, tramite un sito tematico, la seconda è relativa alla cooperazione applicativa. L'accesso via web viene perimetrato soprattutto per quanto riguarda l'esistenza di profili autorizzativi ben definiti. La gestione diretta delle utenze da parte del fruitore è condizionata dall'obbligo di individuare preventivamente dei soggetti a cui è affidato il compito di accedere materialmente alle banche dati, coordinati da un supervisore e formati adeguatamente. Il provvedimento inoltre prescrive l'organizzazione di un flusso costante tra supervisore, utenti abilitati e risorse umane dell'erogatore al fine di procedere alla tempestiva revisione del profilo autorizzativo e alla disabilitazione delle utenze previa verifiche con cadenza almeno annuale. I servizi di cooperazione applicativa sono predisposti al fine di consentire alle PA di effettuare accessi alle banche dati di altre PA dell'erogatore in modalità web service ovvero da applicazione ad applicazione. Entrambe le PA devono, pertanto, dotarsi di una porta di dominio. All'interno delle «Linee guida per la stesura di convenzioni per la fruibilità di dati delle pubbliche amministrazioni» dell'Agid, emanate del 2013, è predisposto che al fine di utilizzare tale modalità di comunicazione i «web services devono essere integrati soltanto in applicativi che gestiscono procedure amministrative volte al raggiungimento delle finalità istituzionali per le quali è consentita la comunicazione delle informazioni contenute nella banca dati.» Di conseguenza, il rispetto dei principi di minimizzazione, di non eccedenza e di pertinenza è altresì previsto anche nelle linee guida di cui sopra. Per quanto riguarda le modalità di accesso ai dati, Agid impartisce che si faccia «uso del protocollo di comunicazione SOAP (Simple Object Access Protocol), che definisce il tracciato XML dei messaggi (rappresentazione dei dati) e le modalità di invocazione remota dei web services.» Al fine di garantire la sicurezza del trattamento è stabilito nelle linee guida che «la cooperazione applicativa garantisce nativamente, per il tramite dello standard WS-Security, la sicurezza sul messaggio e quella della autenticazione dell'utente che invoca il servizio, grazie all'uso di asserzioni SAML. L'utilizzo di quest'ultimo consente il trasferimento in maniera sicura e conforme agli standard dell'identità dell'utente finale». Relativamente alle modalità di accesso in cooperazione applicativa, il provvedimento sancisce che devono essere prestate idonee garanzie, non diverse da quelle previste per quanto riguarda gli accessi via web. Tale obiettivo può essere raggiunto con misure organizzative quali la redazione di idonee policy di sicurezza che prevedano modalità di gestione delle utenze, la verifica dei profili di autorizzazione degli utenti in relazione ai dati ottenuti dall'erogatore mediante la piattaforma del fruitore e misure l'implementazione di misure di sicurezza tecniche. Gli incaricati che hanno accesso alla banca dati dovranno, in ogni caso, essere tracciabili e individuabili tramite codici identificativi. Misure di sicurezzaL'allegato 2 del provvedimento in esame richiama espressamente l'allegato B del d.lgs. n. 196/2003, abrogato con l'entrata in vigore del d.lgs. n. 101/2018. Le misure contenute nell'allegato B, in ogni caso, rappresentano la base concettuale dalla quale desumere il rispetto del principio di accountability ex art. 24 GDPR e potrebbero essere considerate valide misure di mitigazione dei rischi analizzati, ai sensi dell'art. 32 GDPR. Il provvedimento dettaglia ulteriori misure di sicurezza da implementare nello scambio dati tra pubbliche amministrazioni concernenti diversi aspetti che possono raggrupparsi in tre macro-categorie. La prima e più corposa macro-categoria riguarda la possibilità di controllare le utenze e i relativi profili autorizzativi. La seconda è relativa alla presenza di strumenti di protezione aggiornati allo stato dell'arte. La terza riguarda la possibilità di espletare controlli ex post relativamente alle operazioni intercorse sui sistemi. Nella prima categoria sono raggruppabili le lettere a) («gli accessi alle banche dati avvengano soltanto tramite l'uso di postazioni di lavoro connesse alla rete Ip dell'ente autorizzato o dotate di certificazione digitale che identifichi univocamente la postazione di lavoro nei confronti dell'erogatore, anche attraverso procedure di accreditamento che consentano di definire reti di accesso sicure (circuiti privati virtuali)»); d) («le regole di gestione delle credenziali di autenticazione prevedano, in ogni caso: – l'identificazione univoca di una persona fisica; – processi di emissione e distribuzione delle credenziali agli utenti in maniera sicura seguendo una procedura operativa prestabilita, o di accettazione di forme di autenticazione forte quali quelle che prevedono l'uso di one time password o di certificati di autenticazione (CNS o analoghi); – che le credenziali siano costituite da un dispositivo in possesso ed uso esclusivo dell'incaricato provvisto di pin o una coppia username/password, ovvero da credenziali che garantiscano analoghe condizioni di robustezza»); e) («nel caso le credenziali siano costituite da una coppia username/password, siano adottate le seguenti politiche di gestione delle password: – la password, comunicata direttamente al singolo incaricato separatamente rispetto al codice per l'identificazione (user id), sia modificata dallo stesso al primo utilizzo e, successivamente, almeno ogni tre mesi e le ultime tre password non possano essere riutilizzate; – le password devono rispondere a requisiti di complessità (almeno otto caratteri, uso di caratteri alfanumerici, lettere maiuscole e minuscole, caratteri estesi); – quando l'utente si allontana dal terminale, la sessione deve essere bloccata, anche attraverso eventuali meccanismi di time-out; – le credenziali devono essere bloccate a fronte di reiterati tentativi falliti di autenticazione»); i) («la procedura di autenticazione dell'utente deve essere protetta dal rischio di intercettazione delle credenziali da meccanismi crittografici di robustezza adeguata»); j) («siano introdotti meccanismi volti a permettere il controllo degli accessi al fine di garantire che avvengano nell'ambito di intervalli temporali o di data predeterminati, eventualmente definiti sulla base delle esigenze d'ufficio»); k) («in caso di accessi via web deve essere di regola esclusa la possibilità di effettuare accessi contemporanei con le medesime credenziali da postazioni diverse»). (Per maggiori approfondimenti relativamente alla perimetrazione dei profili autorizzativi e delle utenze si veda art. 32 GDPR). La seconda categoria riguarda la presenza di strumenti di protezione. Alle lettere b), f), g), h), si richiede la presenza di protocolli di sicurezza conformi alla ISO/IEC 9594-8:2014, la presenza di una VPN (Virtual Private Network) e firewall, la presenza di antivirus aggiornati, sistemi crittografici per la protezione delle credenziali e la necessità di aggiornare e rivalutare periodicamente l'adozione degli strumenti di protezione più idonei a garantire la sicurezza dello scambio di dati. La terza categoria di misure di sicurezza riguarda il tracciamento delle operazioni di tutte le utenze, mantenendo il codice identificativo dell'utenza stessa, che sia riferito al singolo utente incaricato del trattamento e che rendano possibile l'identificazione della persona fisica che ha operato tramite l'utenza. Ai controlli è dedicato, inoltre, il p. 6 dell'allegato 2 del provvedimento. È prevista, pertanto, la predisposizione di audit relativamente agli accessi, con l'obbligo di produrre la documentazione relativa che possa accertare che tali audit siano avvenuti e di attenzionare adeguatamente eventuali alert che individuino comportamenti anomali a rischio. Infine, occorre rilevare come le suddette procedure di controllo devono essere effettuate periodicamente. In conclusione, il provvedimento pone in capo all'erogatore il compito di valutare l'introduzione di eventuali ulteriori misure e accorgimenti al fine di salvaguardare la sicurezza dei propri sistemi informativi. L'erogatore potrà chiedere l'inserimento di tali misure all'interno della convenzione. Il provvedimento elenca le misure di sicurezza ulteriori che l'erogatore ha la facoltà di richiedere. La prima riguarda «l'individuazione di tassative modalità di accesso alle banche dati»; segue «la gestione diretta da parte dell'erogatore dei profili di abilitazione, con la conoscenza dei dati identificativi dei soggetti autorizzati all'accesso alla banca dati per la realizzazione delle finalità istituzionali dichiarate nella convenzione». La terza misura individuata dal provvedimento riguarda l'utilizzo di strong authentication per particolari categorie di utenti. Il provvedimento raccomanda di far apparire «nella prima schermata successiva al collegamento con la banca dati [...] le informazioni relative all'ultima sessione effettuata con le stesse credenziali». In ultimo il provvedimento richiama quanto già stabilito per quanto riguarda le misure di sicurezza di cui al p. 5 aggiungendo la possibilità di implementare strumenti «di business intelligence per monitorare gli accessi attraverso i log relativi a tutti gli attuali e futuri applicativi utilizzati da parte dei fruitori, ovvero attraverso specifiche procedure di audit dell'erogatore presso il fruitore.». Provvedimento dell'Autorità n. 260 dell'8 luglio 2021Il Provvedimento fa riferimento a una nota dell'Agenzia per l'Italia Digitale (AgID) del 25 maggio 2021, in cui vengono presentate due Linee guida riguardanti l'interoperabilità e la sicurezza informatica nel contesto delle Pubbliche Amministrazioni. La prima linea guida, “Linee Guida sull'interoperabilità tecnica delle Pubbliche Amministrazioni”, come previsto dall'art. 73, comma 3-ter, lett. b), del Codice dell'Amministrazione Digitale (CAD), riguarda le tecnologie e gli standard che le Pubbliche Amministrazioni devono prendere in considerazione per permettere il coordinamento informativo e informatico dei dati tra amministrazioni a vari livelli, l'Unione Europea, i gestori di servizi pubblici e soggetti privati. La seconda linea guida, “Linee Guida Tecnologie e standard per la sicurezza dell'interoperabilità tramite API dei sistemi informatici”, sempre riferendosi all'art. 73, comma 3-ter, lett. b), del CAD, si focalizza su come garantire la sicurezza delle transazioni digitali tra e verso le Pubbliche Amministrazioni che utilizzano Application Programming Interfaces (API) per connettere i loro sistemi informatici. Entrambe le Linee guida sono destinate alle entità di cui all'art. 2, comma 2, del CAD (pubbliche amministrazioni, gestori di servizi pubblici e società a controllo pubblico), ma sono rivolte anche ai soggetti privati che devono interoperare con la Pubblica Amministrazione per l'accesso a dati e/o servizi tramite sistemi informatici. Nel definire il Modello di Interoperabilità della PA (ModI) e le interazioni tramite API, gli schemi di Linee guida intendono promuovere un modello organizzativo che individua i ruoli e le responsabilità dei vari soggetti coinvolti. Infine, viene definito un quadro di garanzie e di misure per assicurare l'integrità e la riservatezza dei dati oggetto di comunicazione nelle interazioni tra i sistemi informatici coinvolti nel processo di interoperabilità, nel rispetto dei principi stabiliti dal GDPR, e in coerenza con il concetto di privacy by design e by default. Il Garante, alla luce di queste considerazioni, esprime un parere favorevole sugli schemi di Linee guida, pur precisando che i flussi di dati personali che saranno instaurati dovranno comunque trovare un legittimo fondamento in una base giuridica idonea, in conformità alla disciplina in materia di protezione dei dati personali, e fornire adeguate garanzie per tutelare i diritti e le libertà degli interessati. BibliografiaBolognini, Pelino, Codice privacy: tutte le novità del d.lgs. n. 101/2018, in Civilista, Milano, 2018; Bolognini, Pelino, Bistolfi, Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016. |
