I provvedimenti spiegati alle aziende
con guide, checklist, modelli; AI assisted
Osservatorio a cura del dott. V. Spataro 



   documento 2023-01-28 ·  NEW:   Appunta · Stampa · Cita: 'Doc 96267' · pdf

Provvedimento prescrittivo e sanzionatorio 14 gennaio 2021 [9582744]

abstract:



Documento annotato il 28.01.2023 Fonte: GPDP
Link: https://www.garanteprivacy.it/web/guest/home/docwe




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni




index:

Indice

  • Provvedimento prescrittivo e sanzionator
  • IL GARANTE PER LA PROTEZIONE DEI DATI PE
  • PREMESSO
  • 1. Le violazioni dei dati personali.
  • 2. L’attività istruttoria e le valuta
  • 3. L’esito dell’istruttoria e del pr
  • 4. Ordinanza ingiunzione.
  • 5.CONCLUSIONI
  • TUTTO CIO’ PREMESSO, IL GARANTE:



testo:

E

estimated reading time: 31 min

[doc. web n. 9582744]

Provvedimento prescrittivo e sanzionatorio - 14 gennaio 2021 [9582744]

Registro dei provvedimentin. 4 del 14 gennaio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale ha preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTE le violazioni di Dati personali notificate all’Autorità in data 9 ottobre 2019, ai sensi dell’art. 33 del Regolamento, da Crédit Agricole Italia S.p.a. (di seguito “CA Italia”) e Crédit Agricole FriulAdria S.p.a (di seguito “CA FriulAdria”), a seguito dell’invio - tramite posta elettronica certificata - di comunicazioni, recanti in allegato estratti conto, a clienti diversi dagli intestatari dei rapporti bancari cui gli estratti medesimi si riferivano;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

CONSIDERATO che la professoressa Ginevra Cerrina Feroni, non ha partecipato alla trattazione del provvedimento, come descritto nel verbale;

CONSIDERATO che il Collegio ha provveduto ad individuare il relatore nella persona dell’avvocato Guido Scorza;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Le violazioni dei dati personali.

1.1 In data 9 ottobre 2019 CA Italia e CA FriulAdria (di seguito, anche “le società” o “gli istituti di credito”) hanno notificato al Garante, ai sensi dell’art. 33 del Regolamento, ciascuna per il proprio ambito di titolarità del trattamento, le violazioni dei Dati personali occorse a seguito dell’invio, tramite pec, da parte di Crédit Agricole Group Solutions S.C.p.A. (di seguito, “Consorzio” o “responsabile”) - Responsabile del Trattamento - di “uno o più estratti conto” a clienti diversi dagli intestatari dei rapporti bancari cui gli estratti conto medesimi si riferivano; con successiva nota del 7 novembre 2019, i predetti istituti di credito hanno fornito elementi integrativi in merito a tali violazioni.

In particolare, le società hanno rappresentato che il data breach in questione è avvenuto nei giorni compresi tra il 1° e il 6 ottobre 2019, nel corso dei quali il predetto Consorzio ha recapitato a clienti dei due istituti, “in qualità di Responsabile esterno del Trattamento (…) n. 2.219 PEC complessive, di cui n. 2.192 PEC a Clienti di Crédit Agricole Italia e n. 27 PEC a Clienti di Crédit Agricole FriulAdria”; entrambi gli istituti di credito sono venuti a conoscenza della violazione “nella mattinata del 7 ottobre [2019] su segnalazione proveniente dalla Direzione Regionale Toscana” e, assunti i necessari elementi informativi, hanno provveduto ad informare l’Autorità ai sensi dell’art. 33 del Regolamento tramite due comunicazioni successive, specificando che:

a) i Dati personali oggetto di violazione, presenti negli estratti conto inviati a destinatari errati “sono, nella quasi totalità dei casi, dati comuni (nome, cognome, indirizzo, codice rapporto, IBAN, e causali generiche di bonifici o pagamenti). I pochi dati sensibili si possono indirettamente evincere da causali di pagamento generiche che tuttavia non forniscono informazioni specifiche”;

b) le predette informazioni “non sono idonee a mettere a rischio le consistenze dei rapporti di conto corrente (non vi sono Pin, password, credenziali, codici di carta di credito, indirizzi email ordinari o numeri di cellulari, date / comuni di nascita)” (cfr. nota del 7 novembre 2019, p. 9).

c) “la maggior parte dei rapporti impattati sono riferibili a persone giuridiche” con la conseguenza che “gli interessati complessivamente coinvolti risultano 310 (di cui 7 clienti di CA Friuladria) su oltre due milioni di Clienti”;

d) “i clienti destinatari di estratti conto non di pertinenza sono stati prontamente contattati” già nelle giornate del 7, 8 e 9 ottobre, tramite pec o anche "personalmente” ad opera delle Direzioni regionali interessate “al fine di scusarsi per quanto occorso, rendersi disponibile per maggiori informazioni/domande” ed invitare i clienti “a non prendere visione e a cancellare quanto indebitamente ricevuto”; sono state quindi “costituite task force straordinarie per coordinare la relazione con la clientela, per esaminare, riga per riga, gli estratti conto coinvolti nell'invio errato e per rilevare la destinazione degli estratti conto circolati erroneamente ed avere il quadro della tipologia di Dati personali coinvolti e la destinazione degli estratti conto; l’“11 ottobre 2019 è stato predisposto un comunicato stampa da consegnare, a fronte di eventuali richieste, alle testate giornalistiche” e il 25 ottobre successivo “è stata inviata ai 310 interessati la comunicazione ex art. 34 del Regolamento, mettendo a disposizione un indirizzo email (privacy@credit-agricole.it) per ogni necessità e un numero di telefono per dialogare direttamente con il Servizio Data Protection (alla data 6/11 abbiamo ricevuto una sola telefonata e 2 email)”; in particolare, “sono state inviate due tipologie di “comunicazione agli interessati”: una destinata ai clienti che non hanno ricevuto estratti conto di altri clienti ma il cui estratto conto è stato oggetto di disguido con invio ad altri clienti (....), una destinata ai clienti che hanno ricevuto estratti conto di altri clienti e il cui estratto conto è stato inviato a terzi” (cfr. nota del 7 novembre 2019, p. 12); infine, “a tutti i clienti coinvolti (persone giuridiche e persone fisiche) sono state azzerate le spese di tenuta conto per l’ultimo trimestre 2019 e per il primo trimestre 2020” (cfr. nota del 7 novembre 2019, p. 10);

e) “alla data del 6/11 sono pervenute 41 comunicazioni dai soggetti riceventi le pec, di cui 33 qualificabili come reclami ai sensi del Testo Unico Bancario, 2 lamentele e 6 istanze provenienti da interessati che chiedono maggiori informazioni circa l’evento”.

1.2 Le società hanno dichiarato che le violazioni in questione sono state causate da un “malfunzionamento del software per l’invio di mail attraverso posta elettronica certificata [(la “PEC”) (gestito da Crédit Agricole Group Solutions, Responsabile del Trattamento per C.A. Italia e per C.A. FriulAdria)]; servizio effettuato tramite il fornitore TIM (sub Responsabile del trattamento). In particolare a fronte di una specifica richiesta del fornitore esterno, dovuta a un cambio di protocollo di sicurezza nella comunicazione con il sistema di invio delle pec, si è reso necessario procedere a una modifica applicativa al software. La realizzazione di tali modifiche al software, da parte delle strutture tecniche della Direzione Sistemi Informativi di C.A. Group Solutions, ha causato l’anomalia di invio degli estratti conto allegati alle PEC. L’incidente è stato ricondotto ad una esecuzione parziale dei test svolti sulle modifiche apportate al programma di invio delle pec, il cui successivo rilascio in produzione è avvenuto senza il corretto ingaggio delle strutture preposte, contrariamente a quanto previsto dalle procedure aziendali in materia di IT Change Management (azione svolta tramite utilizzo improprio di utenza tecnica)” (cfr. nota del 7 novembre 2019, p. 7).

1.3 CA Italia e CA FriulAdria hanno rappresentato che, al momento delle violazioni dei dati personali, le principali misure tecniche e organizzative in essere al fine di garantire la sicurezza del Trattamento dei dati ai sensi dell’art. 32 del Regolamento erano le seguenti:

la “formalizzazione dei ruoli e responsabilità in materia di sicurezza informatica”;

la “attuazione del principio di segregazione dei compiti, al fine di ripartire in modo opportuno le responsabilità”;

la “valutazione dell’analisi del rischio informatico eseguita con cadenza periodica o a fronte di cambiamenti significativi. In funzione del livello di rischio evidenziato sono identificate le misure di sicurezza a mitigazione. L’attività di Analisi del rischio è condotta anche a fronte di nuove iniziative o progetti che presentano impatti sul sistema informativo del Gruppo”;

l’adozione di specifiche misure riguardanti “gli aspetti di sicurezza relativi allo sviluppo e agli acquisti di software”;

“la gestione della sicurezza nell’ambito dei rapporti con il personale”, formalizzando “le responsabilità inerenti la riservatezza delle informazioni, sia durante il rapporto di lavoro sia successivamente alla sua cessazione”, assicurando “un adeguato livello di formazione e conoscenza rispetto alle tematiche di sicurezza delle informazioni”, nonché prevedendo “corsi obbligatori in materia di protezione dei dati personali”;

l’adozione di “misure atte a gestire l’intero ciclo di vita (acquisizione, assegnazione, aggiornamento, dismissione)” dei beni aziendali in funzione della loro rilevanza;

“la definizione di adeguate modalità di accesso da parte di tutti gli utenti, compresi quelli privilegiati, e l’adozione di opportune misure di controllo di natura tecnologica ed organizzativa”;

l’adozione di “misure di prevenzione ed individuazione di virus informatici e software potenzialmente dannosi (es: malware)”;

la definizione di “opportune tecniche crittografiche per garantire la riservatezza, l’integrità, tenendo in considerazione anche eventuali requisiti di carattere normativo”;

l’esecuzione di “attività periodiche di Penetration Test in funzione della criticità dei sistemi; inoltre sono definite le procedure che descrivono ruoli, attività e misure per far fronte alle eventuali vulnerabilità riscontrate, definendo le opportune azioni correttive o migliorative”;

“la protezione delle piattaforme dell’infrastruttura (hardening, patch) in funzione delle modalità e degli ambienti di utilizzo delle applicazioni”;

“la protezione delle reti da attacchi esterni”;

la presenza di “funzioni dedicate ai controlli e alla governance dei sistemi informativi: Funzione Internal Audit, Funzione Risk Management, Funzione Compliance, Funzione CISO, Funzione di Sicurezza Operativa” (cfr. nota del 7 novembre 2019, p. 7).

1.4 A seguito del data breach, al fine di prevenire simili violazioni dei Dati personali in futuro, sono state adottate misure di sicurezza ulteriori; in particolare, “l'anomalia informatica è stata prontamente corretta” ed “è stato altresì rafforzato anche il processo di invio PEC”: il software in questione è stato oggetto di implementazioni, consistenti nell’introduzione di “un controllo sul numero massimo (uno) di allegati inviabili tramite singolo messaggio PEC (intervento applicativo)”, nonché di “un test che prevede, prima dell'effettiva spedizione in rete delle PEC, l’invio in prova di tali PEC a una casella dedicata attraverso la quale viene svolta una certificazione preliminare circa la congruità tra messaggi e relativi destinatari.

Inoltre, “allo scopo di rafforzare il presidio sul sistematico rispetto delle procedure aziendali di IT Change Management sono state già adottate misure tecnologiche, ed ulteriori sono in fase di progressiva attuazione, atte a consentire al solo personale IT preposto, l’utilizzo di “utenze tecniche” ed inibirne, pertanto, l’uso difforme da quanto previsto dai processi in essere, elemento che nella fattispecie ha consentito l’improprio rilascio in produzione del software. Un dispositivo di monitoraggio è stato altresì attivato tramite implementazione di alert real time gestiti all’interno del Security Operation Center (SOC) con l’obiettivo di segnalare, anticipatamente rispetto ad oggi, eventuali utilizzi impropri delle “utenze tecniche” (cfr. nota del 7 novembre 2019, p. 10).

2. L’attività istruttoria e le valutazioni dell’Autorità.

2.1 Dall’esame della documentazione pervenuta e delle dichiarazioni rese dai titolari del Trattamento (di cui gli stessi rispondono ai sensi dell'art. 168 del Codice, “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”) è emerso che:

1) gli stessi hanno ottemperato agli obblighi di cui all’art. 33 del Regolamento in quanto, non appena venuti a conoscenza delle violazioni di dati personali, hanno provveduto a notificarle senza ritardo all’Autorità, fornendo una puntuale descrizione di quanto accaduto nonché assumendo adeguate iniziative anche con riferimento alle misure di sicurezza adottate per porre rimedio alle violazioni occorse e per attenuarne i possibili effetti negativi nei confronti degli interessati (v. supra punti 1.1 e 1.4);

2) hanno altresì ottemperato agli obblighi di cui all’art. 34 del Regolamento, fornendo senza ritardo agli interessati coinvolti informazioni sui rischi derivanti dalle violazioni in questione (v. p. 1.1.);

3) le violazioni sono avvenute a causa del “malfunzionamento del software per l’invio di mail attraverso posta elettronica certificata (gestito da Crédit Agricole Group Solutions, Responsabile del Trattamento per C.A. Italia e per C.A. FriulAdria)”; tale malfunzionamento risulta riconducibile a “una esecuzione parziale dei test svolti sulle modifiche apportate al programma di invio delle PEC, il cui successivo rilascio in produzione è avvenuto senza il corretto ingaggio delle strutture preposte, contrariamente a quanto previsto dalle procedure aziendali in materia di IT Change Management (azione svolta tramite utilizzo improprio di utenza tecnica)”;

Tenuto conto di quanto sopra, alla luce delle disposizioni di cui agli artt. 5, par. 1, lett. f) e 32, par. 1 e 2 del Regolamento concernenti la sicurezza del trattamento, l’Ufficio ha ritenuto che le violazioni di Dati personali in questione, anche in ragione del contesto - quale è quello dell’attività bancaria - in cui i trattamenti sono stati effettuati, comportassero la responsabilità degli istituti di credito coinvolti, ciascuno per il proprio ambito di titolarità, nonché di CA Group Solutions, quale Responsabile del Trattamento dei predetti istituti, in quanto - sulla base della documentazione in atti – è risultato che gli stessi non avessero adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, specie con riferimento a quanto previsto alla lett. d) del citato art. 32 del Regolamento.

2.2. Con le note del 31 agosto 2020 l’Ufficio ha quindi notificato alle società interessate, ai sensi dell’art. 166, comma 5, del Codice, le presunte violazioni del Regolamento riscontrate, con riferimento agli artt. 5, par. 1, lett. f) e 32, par. 1 e 2 del Regolamento e comunicato l’avvio del procedimento per l’adozione dei provvedimenti correttivi di cui all’art. 58, par. 2 e delle sanzioni di cui all’art. 83 del Regolamento.

Il 25 settembre 2020, Crédit Agricole Italia S.p.a., per sè e - in qualità di capogruppo del Gruppo Bancario Crédit Agricole Italia (anche Gruppo) - per le controllate Crédit Agricole FriulAdria e Crédit Agricole Group Solutions (di seguito “Società del Gruppo” o anche congiuntamente definite “Crédit Agricole Italia”), ha fatto pervenire un’articolata memoria difensiva (corredata di allegati tecnici) con la quale, nel fornire a questa Autorità ulteriori elementi di valutazione, anche ai fini dell’applicazione dei criteri di cui all’art. 83, par. 2, del Regolamento, ha rappresentato che:

a) l’incidente è avvenuto in conseguenza di un errore operativo posto in essere da un dipendente di CA Group Solutions, il quale “nella fase di sviluppo dei test tecnici inerenti alla funzionalità procedurale di invio automatico delle e-mail, in violazione alle procedure in essere, ha svolto una verifica incompleta del funzionamento del programma ed omesso di sottoporre a validazione del proprio Responsabile gerarchico […] le attività di testing, procedendo, inoltre, direttamente al rilascio del software nell’ambiente di produzione anziché chiedere l’intervento della struttura preposta nel rispetto delle procedure di segregazione dei compiti previste” (cfr. nota del 25 settembre 2020, pp. 2-3). Più precisamente, “il dipendente ha svolto l’attività di test, rilevatasi tuttavia incompleta in quanto indirizzata a verificare unicamente l’invio di messaggio singolo privo di allegati. Il successivo rilascio in produzione, analogamente alle precedenti fasi, è stato eseguito dal dipendente in completa autonomia, contravvenendo al normato processo aziendale che ne richiede la validazione da parte del Responsabile gerarchico e del dipartimento di produzione informatica (Area Infrastrutture di Crédit Agricole Group Solutions). Con riferimento alla fase di test, è utile altresì evidenziare come fossero correttamente previste prove specifiche anche attinenti all’invio multiplo di messaggi che tuttavia non risultano eseguite da parte del dipendente stesso […]. Il dipendente ha infatti svolto un’unica verifica mirata a valutare il funzionamento base del programma con invio di una e-mail di prova, nonostante i casi di test predisposti dallo stesso in apposito documento contemplassero anche la verifica dell’invio multiplo di e-mail. Le verifiche svolte hanno evidenziato come il software sia stato sviluppato e rilasciato dal dipendente contravvenendo a quanto previsto dal processo aziendale” (cfr. nota del 25 settembre 2020, p. 3).

b) in particolare, il processo aziendale di “IT Change Management […] che norma la corretta gestione dei cambiamenti ai sistemi informatici – pubblicato nell’Intranet aziendale e conosciuto dal dipendente avendo più volte svolto attività analoghe – definisce precise metodologie e procedure standard per assicurare che la modifica software/hardware sia in linea con i requisiti iniziali approvati. Strumento base del processo è la Request for Change (“RFC”), modulo di tracciatura del “ciclo di vita” del cambiamento, in grado di presidiare l’efficacia delle fasi di analisi, testing ed approvazione antecedenti al rilascio in produzione. Il dipendente ha rilasciato il programma “in produzione” operando in autonomia e trascurando di attivare il normale iter autorizzativo (“RFC”). Il rispetto del processo avrebbe indirizzato il dipendente nella corretta valutazione dei rischi […)” e, in particolare, “avrebbe assicurato ulteriori livelli di revisione da parte di figure terze, consentendo la rilevazione dell’incompletezza delle prove svolte, l’adozione di azioni correttive prima del rilascio in produzione e dunque la massima sicurezza del Trattamento dei dati. In sintesi, il dipendente ha operato con sottostima dei rischi sottostanti e senza rispettare l’iter autorizzativo normato dal processo aziendale eludendo i controlli di natura organizzativa e tecnologica. Verifiche interne hanno altresì fatto emergere un inadeguato presidio, nell’occasione, anche da parte del Responsabile gerarchico del dipendente. Per entrambi […] sono state attivate delle procedure disciplinari” (cfr. nota del 25 settembre 2020, p. 3- 4);

c) il medesimo dipendente ““per completare l’esecuzione del programma in ambiente di produzione ha […] utilizzato impropriamente un’utenza tecnica di sistema “sp_install_sdu”, a lui non assegnata, dotata di privilegi funzionali all’erogazione del servizio e attività di installazione. Attività di installazione riservate dal processo aziendale al Personale tecnico di “Area Infrastrutture” nel rispetto della “segregazione dei ruoli” tra “sviluppo” e “produzione” informatica, funzionale alla mitigazione dei potenziali rischi di rilascio di programmi non autorizzati. Si ricorda infatti come l’utenza nominale attribuita al dipendente non gli consentisse di svolgere l’operatività di rilascio in produzione proprio in ottemperanza al principio di “segregazione dei ruoli” tra “utenti sviluppatori” e “utenti di produzione informatica” incaricati del rilascio finale del software” (cfr. nota del 25 settembre 2020, p. 4).

d) quanto sopra esposto (lett. a), b) e c)) circa l’ascrivibilità dell’evento al comportamento di un singolo dipendente e, in via accessoria, del suo Responsabile gerarchico i quali hanno disatteso la normativa aziendale in tema di tutela delle informazioni, risulta sostenuto anche in ragione della “presenza, già al momento del verificarsi dell’evento, di misure di data protection by design ex art. 25 GDPR, rappresentate, da un lato, dalla validazione preventiva di nuove attività, applicativi, contratti, prodotti e, dall’altro, da un sistema di controlli privacy a campione su fornitori, processi, abilitazioni informatiche e trattamenti, oltre a quelli relativi ai provvedimenti del Garante in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie del 12 maggio 2011” e del 27 novembre 2008 concernente gli amministratori di sistema; a ciò deve aggiungersi la particolare attenzione che le società del Gruppo rivolgono all’aspetto formativo dei dipendenti, anche con specifico riferimento ai profili di gestione della sicurezza dei dati, “a partire dalla fase di assunzione – momento in cui vengono formalizzate le responsabilità inerenti la riservatezza e il corretto Trattamento delle informazioni – passando per l’esecuzione del rapporto di lavoro con normative interne, moduli formativi ad hoc, sensibilizzazione sulla intranet, organizzazione di eventi mirati anche per i dipendenti di CA Group Solutions, sino alla fase della sua cessazione”; nel caso specifico inoltre, i dipendenti in questione, che erano senz’altro “a conoscenza delle procedure aziendali, adeguatamente formalizzate […] autorizzati al Trattamento ai sensi dell’art. 29 GDPR, hanno ricevuto diversi corsi formativi sia in materia di information security […] che di protezione dei Dati personali (…)” tra i quali “un modulo formativo era proprio dedicato alla prevenzione e gestione di data breach” (come risulta da “Report formazione” all. 6 alla memoria).

3. L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle ulteriori dichiarazioni rese nel corso del procedimento di cui all’art. 166, comma 5 del Codice, da Crédit Agricole Italia S.p.a. - quale capogruppo - anche in nome e per conto di CA FriulAdria e CA Group Solutions, nonché della documentazione acquisita agli atti - questa Autorità formula le seguenti considerazioni conclusive.

3.1 Le violazioni oggetto del presente provvedimento sono occorse in ragione della condotta colposa assunta da un dipendente di CA Solutions (responsabile del trattamento) il quale, “operando in autonomia e trascurando di attivare il normale iter autorizzativo”, ha omesso di eseguire idonee verifiche sul software per l’invio di estratti conto tramite posta elettronica certificata provvedendo direttamente al suo rilascio nell’ambiente di produzione.

In relazione a tale profilo, tenuto conto di quanto ampiamente illustrato da CA Italia negli scritti difensivi, si evidenzia che il processo aziendale di IT change management, come definito da CA Group Solutions, pur rappresentando una soluzione tecnicamente idonea a garantire una corretta gestione delle modifiche ai sistemi informatici delle società del gruppo Crédit Agricole, non risulta adeguatamente assistita da efficaci strumenti di rilevazione di anomalie, errori operativi e/o violazioni dolose.

Pertanto, al fine di prevenire il ripetersi di accadimenti similari e nell’ottica di un rafforzamento del livello di tutela degli interessati, questa Autorità ritiene necessario che CA Italia e CA FriulAdria, quali titolari del Trattamento sui quali, nell’ambito del più generale principio di responsabilizzazione di cui agli artt. 5, par. 2 e 24 del Regolamento, grava l’obbligo di garantire “l’integrità e la riservatezza” dei Dati personali (artt. 5, par. 1, lett. f) del Regolamento), verifichino l’effettiva rispondenza delle policy adottate ai principi di cui all’art. 32, par. 2, del Regolamento, con particolare riferimento a quanto previsto alle lett. b) e d); a tal fine, ai sensi dell’art. 58, par. 2, lett. d), ingiunge agli stessi di prevedere, nell’ambito delle attività di audit interno previste dal provvedimento del Garante n. 192 del 12 maggio 2011 “in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie”, (punto 4.3.2), l’esecuzione di mirate attività di controllo volte a verificare la rispondenza delle specifiche procedure adottate per la gestione e l’esecuzione delle modifiche ai sistemi informatici (c.d. IT change management) alle più generali misure di sicurezza, tecniche e organizzative definite dalle società; ciò entro il termine di 90 giorni dalla notifica del presente provvedimento.

3.2 All’esito dell’istruttoria è inoltre emerso con chiarezza che, nel caso in esame si è verificato un “utilizzo improprio di un’utenza tecnica”.

In particolare, già nella notifica delle violazioni di Dati personali era stato rappresentato che l’operazione di rilascio del software (non adeguatamente verificato) nell’ambiente di produzione era stata “svolta tramite utilizzo improprio di utenza tecnica”; in assenza di ulteriori dettagli, questa Autorità aveva inteso che tale utenza, ancorché utilizzata in modo improprio, fosse comunque assegnata al dipendente in questione per lo svolgimento di talune attività di carattere tecnico.

Nella memoria difensiva CA Italia ha invece precisato che l’utenza tecnica “sp_install_sdu” non era assegnata al dipendente che l’ha utilizzata per il rilascio del software in questione nell’ambiente di produzione. In proposito, tenuto conto del contesto e delle specificità dei trattamenti che vengono svolti mediante i sistemi informatici gestiti da CA Group Solutions – contraddistinti dalla raccolta ed elaborazione di dati aventi carattere estremamente personale – emerge che le modalità di utilizzo della citata utenza tecnica risultano non adeguate sotto il profilo della sicurezza. Si rileva infatti che l’utilizzo di un’utenza tecnica da parte di più soggetti (i.e. il legittimo assegnatario e il dipendente in questione) impedisce di attribuire le azioni compiute in un sistema informatico a un determinato soggetto, con pregiudizio anche per il Titolare e il responsabile, privati della possibilità di controllare l’operato di coloro che agiscono sotto la loro autorità; inoltre, allorquando un’utenza tecnica con privilegi amministrativi, come quella in questione, venga utilizzata da più soggetti, possono determinarsi situazioni in cui non c’è coerenza tra i profili di autorizzazione attribuiti e le effettive esigenze di operatività per la gestione dei sistemi, rendendo possibile a un soggetto non Autorizzato di operare, in assenza di una specifica volontà del Titolare o del responsabile, nell’ambito dei sistemi e dei servizi di trattamento, come in effetti è accaduto nel caso di specie.

Le criticità sopra rappresentate hanno evidenziato che, sebbene le violazioni in questione si siano verificate nell’ambito dell’operatività di CA Group Solutions, Responsabile del Trattamento (i cui dipendenti hanno agito in parziale violazione delle istruzioni ricevute), purtuttavia CA Italia e CA FriulAdria, quali titolari del Trattamento - cui è attribuita la “responsabilità generale” del Trattamento che essi abbiano posto in essere direttamente o che altri abbiano effettuato per loro conto - hanno omesso di verificare, in relazione alla natura, al contesto, alle finalità e ai rischi del Trattamento realizzato nell’ambito del processo di IT Change Management, l’effettiva conformità dello stesso ai principi di integrità e riservatezza di cui all’art. 5, par. 1, lett. f) e degli obblighi in materia di sicurezza del Trattamento di cui all’art. 32, par. 1 e 2, lett. b) e d) del Regolamento.

Pertanto, visti i poteri correttivi attribuiti dall’art. 58, par. 2, del Regolamento, dispone nei confronti di CA Italia S.p.a. e di CA FriulAdria, in aggiunta alla misura correttiva di cui all’art. 58, par. 2, lett. d) del Regolamento (v. punto 3.1), una sanzione amministrativa pecuniaria ai sensi dell’art. 83 del Regolamento, commisurata alle circostanze del caso concreto (art. 58, par. 2, lett. i)).

4. Ordinanza ingiunzione.

L’illiceità accertata al punto 3 del presente provvedimento rende applicabile nei confronti di CA Italia S.p.a. e CA FriulAdria S.p.a., all’esito del procedimento di cui all’art. 166, comma 5 del Codice, le sanzioni amministrative previste dall’art. 83, par. 5, lett. a) e dall’art. 83, par. 4, lett. a) del Regolamento, mediante adozione di un’ordinanza ingiunzione ai sensi degli artt. 58, par. 2, lett. i), 166, comma 7, del Codice e 18 della legge n. 689/1981.

In merito, si rileva che la violazione dell’art. 32 del Regolamento, in quanto riferita a principi ricompresi nella disposizione, di portata generale, di cui all’art. 5 del Regolamento e inerenti l’“integrità e riservatezza” del Trattamento (art. 5, par. 1, lett. f), del Regolamento) sarà complessivamente valutata nell’ambito della violazione della predetta disposizione normativa con conseguenziale applicazione della sola sanzione prevista all’art. 83, par. 5, lett. a) del Regolamento (UE) 2016/679.

Tale disposizione, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del Regolamento), individuando, a tal fine, una serie di elementi, elencati all’art. 83, par. 2, del Regolamento, da valutare all’atto di quantificarne il relativo importo; in adempimento di tale previsione, nel caso di specie, assumono rilevanza i seguenti profili:

a) con riferimento alla natura, alla gravità e alla durata della violazione (art. 83, par. 2, lett. a)) è stato presa in considerazione l’avvenuta perdita di confidenzialità verificatasi a causa di un data breach determinato dall’inosservanza di principi di portata generale relativi alle misure di sicurezza (artt. 5, par. 1, lett. f) e 32 del Regolamento); la violazione, che può essere ritenuta di media gravità, ha riguardato prevalentemente dati comuni ed ha interessato un numero circoscritto di clienti persone fisiche (310 persone fisiche in totale, di cui soltanto 7 clienti di CA FriulAdria);

b) con riferimento al carattere doloso o colposo delle violazioni e al grado di responsabilità del Titolare o del Responsabile del Trattamento (art. 83, par. 2, lett. b) e d) del Regolamento) è stato preso in considerazione il comportamento segnatamente negligente dei titolari del Trattamento che non si sono conformati alla disciplina in materia di protezione dei Dati personali relativamente ai principi generali in materia di misure di sicurezza del trattamento, specie in riferimento ai necessari controlli e all’accurata vigilanza sull’operato dei soggetti nominati responsabili del trattamento; particolare rilevanza assume poi, in questo contesto, la condotta colposa posta in essere da un dipendente che, in assenza di adeguato controllo da parte del superiore gerarchico, ha potuto disattendere una procedura aziendale formalizzata in materia di sicurezza, anche utilizzando impropriamente un’utenza tecnica con privilegi amministrativi di cui non era assegnatario; d’altra parte il giudizio deve essere contemperato alla luce del quadro complessivo in materia di sicurezza, considerato che il processo di IT Change Management è stato ritenuto una soluzione tecnicamente idonea a garantire una corretta gestione delle modifiche ai sistemi informatici delle società del gruppo Crédit Agricole, benché non adeguatamente assistita da efficaci strumenti di rilevazione di anomalie, errori operativi e/o violazioni dolose (v. punto 3.1);

c) con riferimento all’adozione, da parte dei titolari, di misure atte a mitigare il danno subito dagli interessati (art. 83, par. 2, lett. c) del Regolamento), devono essere considerate positivamente le diverse iniziative di informazione e supporto poste in essere nei confronti della clientela interessata dal data breach sin dal giorno del rilevamento dell’incidente, nonché la decisione di azzerare per sei mesi le c.d. “spese di tenuta conto” dei rapporti bancari intestati a tutti i soggetti coinvolti (persone fisiche ma anche giuridiche), sostenendo un costo implicito di circa mezzo milione di euro; altrettanto positivamente devono essere valutate le implementazioni alle misure di sicurezza adottate nell’immediatezza dell’evento (correzione dell’anomalia informatica, implementazioni dei controlli sul software oggetto di malfunzionamento e rafforzamento del presidio sul sistematico rispetto delle procedure aziendali di IT Change Management, cfr. punto 1.4);

d) non risultano precedenti violazioni a carico delle società del Gruppo;

e) quanto al grado di cooperazione delle società con l’Autorità al fine di porre rimedio alla violazione e attenuarne gli effetti negativi (art. 83, par. 2, lett. f)) è stato considerato in modo significativamente positivo in quanto i titolari del trattamento, non appena informati dalle strutture territoriali (Direzione regionale toscana) hanno immediatamente provveduto a notificare l’accaduto all’Autorità nell’osservanza degli obblighi di cui agli artt. 33 e 34 del Regolamento, inviando dapprima una “notifica preliminare” cui ha fatto seguito una “notifica definitiva”;

f) con riferimento alle categorie di Dati personali interessate dalla violazione (art. 83, par. 2, lett. g)) è stato considerato che sono stati oggetto di data breach prevalentemente dati comuni di tipo anagrafico (cfr. punto 1.1 lett. a) e b));

g) con riferimento ad eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso concreto (art. 83, par. 2 lett. k)), sono stati considerati quali elementi attenuanti:

1) l’attenzione dimostrata dal Gruppo Crèdit Agricole all’attività di formazione del personale, con particolare riferimento ai profili di sicurezza e alla stessa “prevenzione e gestione dei data breach” (come risulta dalle dichiarazioni rese e dalla documentazione acquisita agli atti, cfr. punto 2.2, lett. d);

2) l’avvenuta attivazione di procedimenti disciplinari nei confronti dei due dipendenti responsabili del comportamento colposo;

3) l’assenza di contenziosi in materia di privacy a carico del Gruppo bancario riconducibili all’evento; al riguardo assume rilievo che, allo stato, sono pervenuti all’Autorità 2 reclami da parte di soggetti che non sono risultati coinvolti dalle violazioni in questione.

Si ritiene inoltre che assumano rilevanza, nel caso di specie e tenuto conto dei principi di effettività, proporzionalità e dissuasività ai quali la presente Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), le condizioni economiche dei contravventori, determinate in base ai proventi dagli stessi conseguiti con riferimento al bilancio d’esercizio per l’anno 2019.

Da ultimo si dà rilievo anche ai costi che le società sono tenute ad affrontare per adempiere alla prescrizione di cui al punto 3.1 del presente provvedimento.

Pertanto, si ritiene che, in base al complesso degli elementi sopra indicati e delle valutazioni effettuate, debba applicarsi:

- nei confronti di CA Italia S.p.a., a fronte della sanzione edittale massima (66.008.400 euro, pari al 4% dei proventi operativi netti ossia 1.650.210.000) la sanzione amministrativa del pagamento di una somma pari allo 0,1% dei proventi suindicati corrispondente a euro 1.650.210 (unmilioneseicentocinquantaduecentodieci);

- nei confronti di CA FriulAdria S.p.a., a fronte della sanzione massima edittale (12.600.920 euro, pari al 4% dei proventi operativi netti ossia 315.023.000) la sanzione amministrativa del pagamento di una somma pari allo 0,1% dei proventi suindicati corrispondente a euro 315.023 (trecentoquindicimilaventitre).

Si valuta, altresì, in considerazione della tipologia delle violazioni accertate che hanno riguardato la mancata adozione di misure tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio, che - ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019 - si debba procedere alla pubblicazione del presente provvedimento sul sito internet del Garante.

Si ritiene, inoltre, che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

5.CONCLUSIONI

Alla luce delle risultanze istruttorie di cui sopra, l’Autorità, ai sensi dell’art. 58 del Regolamento (UE) 2016/679, nel rilevare l’illiceità del Trattamento con riferimento a quanto accertato al punto 3 del presente provvedimento prescrive, nei confronti di Crédit Agricole Italia S.p.a. e di Crédit Agricole FriulAdria S.p.a. l’adozione delle misure necessarie a conformarsi al succitato Regolamento come indicato al punto 3.1 della presente decisione.

Ravvisa altresì che le condotte illecite sopra indicate rendano applicabili le sanzioni amministrative pecuniarie previste dall’art. 83, par. 5, lett. a) del Regolamento (UE) 2016/679 come di seguito indicate: a) nei confronti di CA Italia S.p.a. nella misura di euro 1.650.000; b) nei confronti di CA FriulAdria S.p.a. nella misura di euro 315.023.

Da ultimo, nell’ambito dei propri compiti (art. 57, par. 1, lett. u) del Regolamento (UE) 2016/679), rileva che nel caso di specie ricorrano, ai sensi dell’art. 17 del “Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante”, i presupposti per l’annotazione della presente decisione nel registro interno delle violazioni di cui alla deliberazione del Garante del 22 maggio 2018 (doc. web n. 9051096), aggiornata con deliberazione del 4 ottobre 2018 (doc. web n. 9051107).

Si prende atto, infine, della documentazione in atti e delle osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

TUTTO CIO’ PREMESSO, IL GARANTE:

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento (UE) 2016/679, rileva l’illiceità del Trattamento posto in essere da Crèdit Agricole Italia S.p.a. con sede legale in Viale dell’Università n. 1, Parma e da Crèdit Agricole FriulAdria S.p.a. con sede legale in Piazza XX Settembre, 2, Pordenone, nei termini di cui in premessa e ingiunge ai suddetti titolari di conformarsi, entro 90 giorni dalla data della notifica del presente provvedimento, alle prescrizioni formulate al punto 3.1 del presente provvedimento;

- ai sensi dell’art. 58, par. 2, lett. i) del Regolamento (UE) 2016/679, infligge a Crèdit Agricole Italia S.p.a. la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del succitato Regolamento, ordinando e contestualmente ingiungendo al predetto trasgressore, di pagare la somma di euro 1.650.000 secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981; ciò ferma restando la facoltà per CA Italia S.p.a. di definire la controversia mediante il pagamento di un importo pari alla metà della sanzione irrogata entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice;

- ai sensi dell’art. 58, par. 2, lett. i) del Regolamento (UE) 2016/679, infligge a Crèdit Agricole FriulAdria S.p.a. la sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. a) del succitato Regolamento, ordinando e contestualmente ingiungendo al predetto trasgressore, di pagare la somma di euro 315.023 secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981; ciò ferma restando la facoltà per CA FriulAdria S.p.a. di definire la controversia mediante il pagamento di un importo pari alla metà della sanzione irrogata entro 30 giorni dalla data della notifica del presente provvedimento, ai sensi dell’art. 166, comma 8, del Codice

- ai sensi degli artt. 154 e 166, comma 7, del Codice, ordina la pubblicazione del presente provvedimento sul sito Internet del Garante;

- ai sensi dell’art. 57, par. 1, lett. u) del Regolamento (UE) 2016/679, dispone l’annotazione, nel registro interno delle violazioni dell’Autorità, delle violazioni e delle misure adottate, ai sensi dell’art. 58, par. 2 del succitato Regolamento, con la presente decisione;

- ai sensi dell’art. 157 del Codice dispone che entrambi i titolari del Trattamento comunichino all’Autorità, entro il termine di 90 giorni dalla data della notifica del presente provvedimento, l’avvenuto adempimento alle prescrizioni impartite con la presente decisione;

- ai sensi dell’art. 78 del Regolamento (UE) 2016/679 nonché dell’art. 152, comma 1-bis del Codice, rappresenta che avverso il presente provvedimento può essere proposta opposizione all’Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 gennaio 2021

IL PRESIDENTEStanzione

IL RELATOREScorza

IL SEGRETARIO GENERALEMattei


Link: https://www.garanteprivacy.it/web/guest/home/docwe

Testo del 2023-01-28 Fonte: GPDP




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


Ricevi gli aggiornamenti su Provvedimento prescrittivo e sanzionatorio 14 gennaio 2021 [9582744] e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza