28 Marzo 2024

GDPR e hosting delle applicazioni online: una sanzione dal Garante Privacy

L’hosting provider è responsabile esterno ex art. 28 GDPR per l’azienda informatica che offre software online al proprio cliente/titolare del trattamento dati principale e per il quale è essa stessa un responsabile esterno del trattamento dati.

Il Garante Privacy ha sanzionato un’azienda ospedaliera e una società di informatica per aver violato l’art. 28 del GDPR in una maniera apparentemente innocua, una circostanza alla quale non molte aziende fornitrici/produttrici di software prestano attenzione nel momento in cui stipulano i contratti con i propri committenti. La decisione del Garante risale al 7 aprile 2022 ma è apparsa nell’ultima newsletter e illustra le due sanzioni irrogate, rispettivamente, all’azienda sanitaria quale titolare del trattamento e all’azienda informatica nella qualità di responsabile esterno del trattamento ai sensi dell’art. 28 GDPR. Ormai è assodato che le aziende informatiche che producono, vendono e mantengono software online e/o on premise, vanno considerate responsabili esterni poiché trattano i dati per conto del titolare del trattamento, su disposizione e direzione di quest’ultimo, pur possedendo un’organizzazione autonoma e separata da quella del titolare; dunque, se l’azienda sanitaria Alfa acquista un software dalla società produttrice Beta e stipula un contratto per l’erogazione di servizi di aggiornamento e manutenzione dell’applicazione, allora Alfa è il titolare del trattamentoBeta è il responsabile esterno poiché la seconda tratta i dati immessi dalla prima attraverso gli algoritmi e i database che compongono l’applicativo oggetto del contratto di fornitura. Tuttavia non sempre Beta possiede i server necessari per l’esecuzione del proprio software e spesso – molto spesso – ci si affida a servizi di hosting terzi e, ipoteticamente, estranei al rapporto tra titolare e responsabile esterno. In realtà, però, l’attività ispettiva del Garante ha permesso di chiarire (parecchio) come ci si dovrebbe comportare in queste circostanze, non bastando più la sussistenza di un semplice contratto stipulato tra la software house e la società che materialmente ospita i server necessari al funzionamento dell’applicativo, considerato che, fino a oggi, si riteneva che il responsabile esterno fosse legittimato a organizzarsi in modo autonomo al fine di offrire il servizio concordato con il cliente/titolare del trattamento. Tutto parte da un’indagine che il Garante ha svolto presso l’Azienda Ospedaliera di Perugia riguardo la conformità di un’applicativo realizzato e fornito da ISWEB s.p.a. per consentire la corretta applicazione della legge sul whistleblowing (L. n. 179/2017), quindi per consentire segnalazioni anonime di condotte illecite nel luogo di lavoro. La principale osservazione mossa dal Garante è che la piattaforma telematica non abbia la necessità di raccogliere l’indirizzo IP del soggetto che effettua la segnalazione poiché vi sarebbe un rischio astratto di identificazione dello stesso soggetto; ISWEB, tuttavia, ha prodotto la necessaria documentazione tecnica per provare che la piattaforma da loro commercializzata registra solo e esclusivamente gli indirizzi IP pubblici dell’Azienda Ospedaliera e non quello delle singole postazioni, dato che il servizio di segnalazione è accessibile solo dagli IP pubblici e non dai singoli IP della Intranet, connessi verso l’esterno via NAT. Purtroppo, nell’esporre le proprie argomentazioni difensive, ISWEB ha acclarato che il proprio applicativo è installato sui server della società SEEWEB s.r.l. e ha indotto il Garante a approfondire la circostanza, scoprendo che l’unico contratto in essere fosse soltanto quello tra ISWEB s.p.a.SEEWEB s.r.l. per la fornitura di un servizio di hosting e mancasse una qualsiasi forma di comunicazione, approvazione o autorizzazione da parte dell’Azienda Ospedaliera. Alla luce di questa rivelazione, il Garante ha chiarito che così facendo, SEEWEB s.r.l. è di fatto il responsabile esterno di ISWEB s.p.a., già responsabile esterno dell’Azienda Ospedaliera – quindi SEEWEB è un subresponsabile del trattamento. Il Garante ha sanzionato proprio questo anello debole della catena del trattamento: fino a oggi si riteneva che l’hosting di un applicativo su server terzi fosse una faccenda tra il fornitore del software (responsabile esterno per il titolare ma titolare di autonomo trattamento) e l’hosting provider (responsabile ex art. 28 GDPR per il fornitore del software); con questa decisione, invece, il Garante ci spiega che la catena del trattamento dei dati attraverso applicazioni web non deve avere interruzioni, come nel caso esaminato. ISWEB s.p.a., sebbene avesse il potere di affidare l’hosting a un terzo soggetto, avrebbe dovuto informare il titolare del trattamento (alias il committente) e da questi farsi autorizzare alla nomina del terzo soggetto quale ulteriore responsabile esterno, in virtù del potere di organizzazione e direzione che il GDPR attribuisce al titolare: in teoria, l’Azienda Ospedaliera avrebbe anche potuto opporsi alla scelta di SeeWeb s.r.l. e imporre un hosting provider diverso. Il titolare del trattamento dati, proprio per la qualifica che gli è riconosciuta, deve sapere come e dove vanno a finire i dati trattati dal proprio responsabile esterno, cosa che nel caso di specie non è accaduta e ha portato all’irrogazione di una sanzione di € 40.000 nei confronti di ISWEB s.p.a. Una mancanza apparentemente innocua che, però, è costata abbastanza cara.

Nel dettaglio.

Sebbene la Società abbia dichiarato che “l’oggetto del contratto con gli Ospedali di Perugia non è il trattamento dei dati delle segnalazioni ma solo la messa a disposizione di una infrastruttura tecnologica” e che “né ISWEB né Seeweb possono prendere cognizione dei dati delle segnalazioni che sono cifrati con chiave esclusivamente a disposizione degli Ospedali di Perugia”, concludendo che “l’intero servizio non implica una delega al trattamento di dati personali” anche in ragione del fatto che “né Seeweb né ISWEB trattano dati ulteriori che, associati ai numeri IP, consentono di identificare o rendere identificabili gli utenti che accedono alla piattaforma di whistleblowing”, deve ritenersi che le operazioni sopra descritte diano comunque luogo a un trattamento di dati personali ai sensi dell’art. 4, punto 2), del Regolamento
Basta solo il fatto che un hosting provider possieda i dati immessi da un soggetto, suo cliente e utilizzatore, perché insorga un vero e proprio trattamento di dati personali – ergo, non conta il fatto che ISWEB utilizzi solo l’infrastruttura tecnologica di SeeWeb poiché quest’ultima assume il compito di mantenere integro il set di dati immesso.
il fornitore del servizio di hosting (nel caso di specie, un servizio di hosting di server virtuali o fisici), pur non trattando gli indirizzi IP relativi agli interessati che utilizzano l’applicativo in questione e pur non accedendo direttamente ai dati personali trattati mediante tale applicativo, conserva questi ultimi sulla propria infrastruttura tecnologica e ne garantisce l’integrità e la disponibilità, adottando adeguate misure tecniche e organizzative, assicurando determinati livelli di servizio in termini di disponibilità dei sistemi e mettendo a disposizione dei propri clienti una serie di strumenti per gestire e monitorare il servizio.
Per leggere il testo integrale della decisione del 7 aprile 2022, clicca qui.

About Author