L’Autorita' ha proseguito anche nel 2016 l’attivita' di vigilanza sulle grandi banche dati pubbliche procedendo sia d’ufficio che in seguito a specifiche segnalazioni o comunicazioni relative a violazioni di sicurezza (data breach) inviate direttamente dalle pp.aa. in linea con il provvedimento 2 luglio 2015, n. 393 (doc. web n. 4129029). Con tale provvedimento il Garante, anticipando quanto diverra' obbligatorio ai sensi dell’art. 33 del regolamento (UE) 2016/679, ha ritenuto necessario assoggettare il trattamento dei dati personali, effettuato nell’ambito delle banche dati delle amministrazioni pubbliche, all’obbligo di comunicazione al Garante del verificarsi di violazioni dei dati o incidenti informatici (accessi abusivi, azione di malware) che, pur non avendo un impatto diretto su di essi, possano comunque esporli a rischi di violazione. Le pp.aa. sono pertanto tenute a comunicare al Garante, entro 48 ore dalla conoscenza del fatto, tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali contenuti nelle proprie banche dati (cd. data breach).

Nel 2016 sono pervenute 15 comunicazioni di data breach, da parte di diverse categorie di soggetti pubblici le cui istruttorie hanno portato l’amministrazione, anche su indicazione del Garante, a introdurre misure di sicurezza aggiuntive a quelle gia' predisposte e, in alcuni casi (5), all’invio di segnalazioni alle competenti Procure della Repubblica per violazione delle misure minime di sicurezza o accesso abusivo al sistema informatico, ai sensi dell’art. 615-ter del codice penale.

In diversi casi (8) le istruttorie effettuate sulla base di segnalazioni e reclami hanno consentito di accertare accessi ingiustificati alle grandi banche dati pubbliche (Inps e Anagrafe tributaria) da parte di dipendenti o altri soggetti autorizzati (per lo piu' personale operante presso patronati). Occorre considerare che, come stabilito dalla sentenza delle sez. unite penali della Corte di cassazione n. 4694/2012, “integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telema- tico protetto, prevista dall’art. 615-ter c.p., la condotta di accesso o di manteni- mento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso”. Anche in questi casi quindi, una volta individuate le credenziali utilizzate per gli accessi (attraverso l’analisi dei file di log dei sistemi) e l’assenza di una oggettiva giustificazione degli stessi, si e' proceduto alla trasmissione degli atti alla Procura delle Repubblica competente per le valutazioni in ordine alla sussistenza del reato di accesso abusivo.

Sul tema del controllo degli accessi alle grandi banche dati pubbliche, oggetto di particolare attenzione dell’Autorita', sono state profuse rilevanti energie anche sotto il profilo preventivo. Sono infatti proseguite, anche nel 2016, le verifiche volte ad accertare l’adeguatezza delle misure a protezione degli accessi all’Anagrafe tributaria.

In tale contesto, il Garante, in collaborazione con il Nucleo speciale della Guardia di finanza, ha compiuto un ciclo ispettivo nei confronti dei centri di assistenza fiscale (Caf), verificando, in particolare, gli accessi alla cd. dichiarazione precompilata su delega degli interessati, al fine di verificare, in particolare, le funzionalita' del sistema informatico utilizzato in questo ambito dall’Agenzia delle entrate (denominato Entratel) per verificare la gestione degli utenti, le modalita' di trattamento delle dichiarazioni precompilate scaricate, le modalita' di acquisizione e registrazione delle deleghe dei contribuenti, nonche' le modalita' di accesso alle certificazioni uniche rilasciate dall’Inps.

Dall’esame delle risultanze di tale attivita', si e' rilevata la necessita' di prevedere misure di sicurezza integrative per l’accesso alla dichiarazione precompilata da parte degli intermediari (cfr. par. 4.6) e sono state definite, da parte dell’Inps, modalita' rafforzate per il rilascio delle certificazioni uniche ai Caf.

Con riferimento alle banche dati pubbliche e all’individuazione delle relative modalita' di accesso, il Garante ha reso il parere di competenza sullo schema di d.P.C.M. attuativo dell’art. 1, comma 979, della l. 28 dicembre 2015, n. 208 (di seguito legge di stabilita' 2016), relativo ad una carta elettronica, utilizzabile per attivita' culturali, destinata ai giovani che compiono diciotto anni di eta' nell’anno 2016, formulando alcune osservazioni (provv. 28 luglio 2016, n. 328, doc. web n. 5387638). In particolare, e' stata riscontrata la mancata individuazione del ruolo assunto, nel trattamento dei dati personali, da parte dei diversi soggetti istituzionali coinvolti (Mibact, Presidenza del Consiglio dei ministri - Dipartimento per l’informazione e l’editoria, AgID, Sogei S.p.A. e Consap S.p.A.) e la mancata specificazione, delle modalita' di realizzazione e gestione della piattaforma informatica dedicata, del tempo di conservazione dei dati personali, nonche' delle misure di sicurezza predisposte. Si e' ribadita, inoltre, la necessita' di prevedere le eventuali comunicazioni di dati personali tra diversi titolari del trattamento con la specificazione che le finalita' del trattamento dei dati siano limitate alla sola realizzazione dei compiti attinenti all’attribuzione e all’utilizzo della carta elettronica.

Fonte: Garante - Relazione 2016