| Garante per la protezione dei dati personali Parere del Garante sull'affidamento,secondo il modello in house, della gestione del sistema informativo dellafiscalità alla Sogei S.p.a. PROVVEDIMENTO DEL 13 FEBBRAIO 2014 Registro dei provvedimenti n. 68 del 13 febbraio 2014 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale; Vistala richiesta di parere del Ministero dell'economia e delle finanze del 16novembre 2013 (prot. n. 26208); Vistoil Codice in materia di protezione dei dati personali, d.lgs. 30 giugno 2003,n. 196 (di seguito Codice), con particolare riferimento all' art. 154, comma 1,lett. g); Vistala documentazione in atti; Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; Relatoreil dott. Antonello Soro; PREMESSO IlMinistero dell'economia e delle finanze (di seguito Ministero), in vista dellascadenza del Contratto di servizi quadro in vigore per il periodo 1gennaio 2006 - 31 dicembre 2011, regolante il rapporto per la gestione in housedel sistema informativo della fiscalità tra l'Amministrazione finanziaria nelsuo complesso e la SOGEI S.p.A., quale suo ente strumentale preposto al settore dell'lnformation and Communication Technology,in data 20 dicembre 2011, ha inviato al Consiglio di Stato il nuovo schema diContratto di servizi quadro 2012-2017, per il previsto parere obbligatorio. Alfine di assicurare la continuità operativa e gestionale del sistema informativodella fiscalità, il legislatore ha prorogato gli istituti contrattuali inessere fino al completamento dell'iter di stipula del nuovo Contratto quadro(art. 5 del decreto-legge 2 marzo 2012, n. 16, convertito dalla legge 26 aprile2012, n. 44). IlConsiglio di Stato ha sospeso l'espressione del parere chiedendo di acquisirepreventivamente i pareri dell'Autorità garante della concorrenza e del mercato,dell'Autorità per la vigilanza sui contratti pubblici di lavori, servizi eforniture e dell'Autorità per la protezione dei dati personali nonché delMinistero dell'istruzione, dell'università e della ricerca (MIUR) in quantoamministrazione che esercita la potestà di organizzazione e controllo suDigitPA. (parere del Consiglio dei Stato – Sez. II - n. 1891/2012 del 1gennaio 2012). Inparticolare, il Consiglio di Stato chiede di conoscere l'avviso di questaAutorità "per quanto riguarda le garanzie che devono essere prestate inordine alla riservatezza dei dati raccolti nel corso della gestione dei servizida parte della SOGEI". Inproposito, il Ministero, per le valutazioni di questa Autorità ha messo adisposizione la seguente documentazione: € nuovo schema di Contratto di servizi quadro 2012-2017,comprendente due allegati: allegato 1 "Descrizione dei servizi" eallegato 2 "Programma di attuazione, Piano operativo, Soluzione operativa,Indicatori, Pianificazione dei pagamenti"; € parere di congruità tecnico-economico, rilasciato dall'Agenziaper l'Italia digitale. IlMinistero, più precisamente, ha illustrato talune specifiche disposizioni delnuovo Contratto quadro evidenziando in particolare che: € l'articolo 18 (Sicurezza del Sistema) reca disposizioni cheimpegnano la SOGEI ad assicurare adeguati livelli di sicurezza fisica e logicadel Sistema informativo della fiscalità. A tale scopo, tenuto conto dei livellidi qualità dei servizi richiesti, la Società dovrà operare attraversol'adozione di idonee misure organizzative, tecniche ed operative, per laprotezione dei dati e delle informazioni gestiti, delle apparecchiature e deisistemi di elaborazione utilizzati, nonché delle reti di comunicazione; € l'articolo 19 (Prevenzione dei rischi) consenteall'Amministrazione, attraverso l'attivazione di specifici audit, di verificarel'attuazione di tutte le misure di sicurezza e prevenzione dei rischi legati amalfunzionamenti del sistema informativo, nell'ambito delle quali rientranoanche le misure volte a garantire il rispetto della normativa in materia ditrattamento dei dati personali; € l'articolo 20 (Tutela dei dati personali e riservatezza), nelsottolineare che la SOGEI dovrà attenersi alle disposizioni del decretolegislativo n. 196/2003 e successive modificazioni ed integrazioni, secondo leistruzioni impartite dai responsabili delle Strutture Organizzativedell'Amministrazione finanziaria, in qualità di titolari del trattamento deidati per le Strutture organizzative stesse, reca specifici obblighi eresponsabilità in capo alla Società stessa. IlMinistero, inoltre, ha messo in evidenza che: € le Strutture organizzative dell'amministrazione finanziariahanno nominato Sogei Responsabile esterno del trattamento dei dati personali,relativamente alle attività previste nel Contratto Quadro, nei contrattiesecutivi e nei piani operativi annuali; € le attività demandate a Sogei in ambito sicurezza e privacy"si esplicano essenzialmente lungo due direttrici: l'attuazione di unSistema di Gestione della Sicurezza delle Informazioni (SGSI) di ispirazioneISO 27001, e la definizione di un Sistema di Gestione della Privacy perl'attuazione delle norme e dei provvedimenti emessi dall'autorità Garante perla protezione dei dati personali". € con decreto del Direttore Generale delle Finanze n. 2439 del 14ottobre 2011, è stato istituito il Comitato per la sicurezza ICT ecostituito il Comitato di governo del Sistema informativo della fiscalità,presieduti dal titolare della Direzione Sistema Informativo della Fiscalità,aventi, tra l'altro, rispettivamente, il compito di proporre regole e criterida adottare per la sicurezza e la riservatezza delle informazioni, attraversol'adozione di regole comuni per l'accesso ai dati, e il compito di presidiare ipredetti indirizzi e strategie anche in materia di coordinamento, monitoraggioe controllo delle attività concernenti la sicurezza fisica, logica edorganizzativa. In particolare, detto ultimo Comitato indirizza le strategie perla realizzazione del Sistema di disaster recovery, centrale e periferico; ildecreto-legge 6 luglio 2012, n. 95, convertito dalla legge 7 agosto 2012, n.135, ha disposto un riassetto organizzativo complessivo dell'amministrazionefinanziaria, che ha interessato anche le società in house Consip e Sogei. IlMinistero ha infine evidenziato che, anche alla luce del nuovo assettoistituzionale, risulta necessario che l'amministrazione finanziaria rinnoviquanto prima il Contratto quadro con Sogei, quale atto normativo presuppostoper l'affidamento in house delle attività informatiche alla medesima società. OSSERVA Neltrattamento di dati personali connesso allo svolgimento dei propri compitiistituzionali, ciascun titolare, anche pubblico, può avvalersi del contributodi soggetti esterni, affidando ad essi determinate attività che restano nellasfera della titolarità dell'amministrazione stessa e che non comportanodecisioni di fondo sulle finalità e sulle modalità di utilizzazione dei dati.In questo caso, è necessario che l'amministrazione – in qualità dititolare del trattamento – designi il soggetto esterno, preposto allosvolgimento di determinate attività che comportano il trattamento di datipersonali, come "responsabile del trattamento", con un apposito attoscritto che specifichi analiticamente i compiti ad esso affidati (artt. 4, c.1, lett. f) e g), 28 e 29 del Codice). Inogni caso, le persone fisiche che, anche presso il soggetto esterno,materialmente trattano i dati personali devono essere designate, dal titolare odal responsabile, "incaricati del trattamento" con un atto scrittoche individui puntualmente l'ambito del trattamento che essi possono effettuare(art. 30 del Codice). Inrelazione alla questione in esame e ai fini del rispetto della normativarichiamata, l'Amministrazione finanziaria ha designato Sogei S.p.a., per losvolgimento di determinate attività che comportano il trattamento di datipersonali, quale "responsabile del trattamento dei dati personali".Tale designazione implica che Sogei sia stata individuata "tra soggettiche per esperienza, capacità ed affidabilità forniscano idonea garanzia delpieno rispetto delle vigenti disposizioni in materia di trattamento, ivicompreso il profilo della sicurezza". Intale quadro, con specifico riferimento al profilo della sicurezza di cui lasocietà designata responsabile deve fornire idonee garanzie, sulla base dellasopra richiamata documentazione messa a disposizione per la valutazionedell'Autorità, è possibile ricavare alcune indicazioni che appare opportunorappresentare al Ministero, in relazione, in primo luogo, alla estremadelicatezza dei dati personali trattati nell'ambito del sistema informativodella fiscalità, nonché al rilevante importo dell'affidamento (2,5 miliardi dieuro). Piùprecisamente, tra le funzioni oggetto del contratto sono comprese la gestionedella rete interna (Allegato 1, par. 10), la gestione dei collegamenti Internet(Allegato 1, par. 11), la funzione SOC security operation center (Allegato 1, par.12), la gestione dei sistemi di identity and access management (Allegato 1,par. 13). Sitratta di delicate componenti tecnologiche, trasversali rispetto ai diversisottosistemi, su cui si basa la sicurezza dell'infrastruttura di erogazione, lacapacità reattiva a incidenti e malfunzionamenti, la capacità di identificarel'utenza e assegnare i corretti diritti di accesso e profili di autorizzazione. Costituisconooggetto del contratto anche lo sviluppo e la manutenzione del softwareapplicativo (sia di tipo custom sia basato su soluzioni di mercato) (Allegato1, par. 2) nonché la conduzione dei server centrali a tecnologia legacy equelli di tipo open, nonché i sottosistemi di storage. Infine sono compresinell'oggetto contrattuale anche l'erogazione del servizio di posta elettronicae la gestione degli asset informatici. Afronte della complessità dei servizi, gli aspetti di sicurezza e protezione deidati personali appaiono solo sommariamente trattati al punto e) delle premesseal contratto e nei successivi artt. 18 (Sicurezza del sistema), 19 (Prevenzionedei rischi) e 20 (Tutela dei dati personali e riservatezza). Ladefinizione concreta di tali aspetti è, per lo più, demandata ad atti e momentisuccessivi: la definizione delle regole e dei criteri per la sicurezza e lariservatezza delle informazioni sono affidate al Comitato Sicurezza ICT,istituito con decreto del Capo del Dipartimento dell'economia n. 2439 del 14ottobre 2011, mentre l'individuazione delle esigenze di sicurezza è demandataalla fase di disegno della singola soluzione operativa, attraverso la stesuradi specifici Programmi di attuazione/Piani operativi. B. Profili di criticità Conriferimento agli aspetti generali sopra richiamati, sono individuati, diseguito, taluni profili di criticità nell'attuale formulazione del contratto,concernenti i soli aspetti di competenza in materia di protezione dei datipersonali e dei connessi profili relativi alle misure di sicurezza. Perquanto riguarda i servizi di sviluppo e manutenzione evolutiva del software adhoc (par. 2, pag. 13, Allegato 1) e di personalizzazione del software dimercato (par 3, pag. 16, Allegato 1) viene richiamata la circostanza che SogeiS.p.A. sia dotata di un sistema di gestione della sicurezza delle informazionie di un sistema di qualità dei dati conformi, ma non certificati da unorganismo di certificazione, rispettivamente, allo standard ISO 27001:2005 eallo standard ISO 25012:2008. Alriguardo, si ritiene opportuno che il Ministero, con specifico riferimento agliaspetti di protezione dei dati personali, richieda a Sogei, oltre alladichiarazione di essere dotato di un sistema di qualità dei dati conforme allostandard ISO 27001:2005, anche la pronta predisposizione degli elementi per dareprova, a richiesta, di tale adempimento. Mentrenon costituisce oggetto di valutazione in questa sede l'adeguatezza, ingenerale, dei livelli di servizio (service level agreement o SLA) allatipologia di prestazioni formanti oggetto dell'affidamento, occorre soffermarsisulla loro rilevanza rispetto alla protezione dei dati personali per alcunisottosistemi e servizi di rilevante importanza. Cisi riferisce, in particolare, ai servizi di cui al par. 10, Allegato 1, per cuila disponibilità degli apparati di sicurezza contrattualmente prevista risultadel 95%, valore che, negli orari indicati, corrisponde ad una indisponibilitàpotenziale di quasi 3 ore a settimana lavorativa che non verrebbe rilevata comedisservizio (cfr. tabella in par. 10, pag. 49 dell'Allegato 1). Siritiene opportuno che a soglia sia riportata a valori idonei alla delicatezzadel servizio, da cui dipende la sicurezza periferica dell'intera infrastrutturaSogei e della rete di accesso per il collegamento degli enti esterni. Anchei connessi "tempi di risposta a richieste di implementazione di regole disicurezza" (nella stessa tabella citata) è opportuno che venganoricondotti a valori più stringenti, per consentire di adeguare le misure diprotezione perimetrale al variare delle minacce, in luogo delle 16 orelavorative dalla richiesta (corrispondenti a due giornate lavorative). Ladisponibilità e i tempi di ripristino degli apparati di sicurezza sono poirilevati, al fine di verificare il rispetto degli SLA contrattuali, nellafascia oraria lunedì-venerdì 8,00 – 18,00, sabato 8,00-14,00, a fronte diservizi erogati in modalità H24, scelta che può condurre a misurazionifortemente sovrastimate degli indici di prestazione anche in presenza di esteseinterruzioni. Intale quadro, quindi, deve essere chiarito che il rispetto degli SLAcontrattuali relativi a servizi di sicurezza in modalità H24 sia verificatonell'intero arco temporale di erogazione; ciò, al fine di evitare che nonrisulti possibile contestare violazioni degli SLA e applicare penali anche incasi di prolungate interruzione dei servizi, che non verrebbero rilevate. Relativamenteal par. 11.1, pag. 51 dell'Allegato 1, si osserva che sono previsti nelcontratto servizi di filtraggio della navigazione sulla rete Internet conprotocolli http ed https e tecniche di white listing statico e dinamico. Alriguardo, deve essere assicurato il rispetto del provvedimento di questaAutorità sull'uso di posta elettronica e Internet sul luogo di lavoro, evitandola raccolta di dati eccedenti in forma di log files delle richieste provenientidalle reti interne (Provv. Relativamenteai servizi di identity management di cui al par. 13.1, pag. 55 dell'Allegato 1,a fronte di un'erogazione di tipo H24 è previsto un livello di disponibilitàdel servizio del 95%, che appare inadeguato. Il sistema è infatti unacomponente determinante della sicurezza dell'infrastruttura, e la suaindisponibilità potrebbe avere effetti sulla capacità di intervenire suidiritti di accesso per adeguarli a mutate e anche urgenti esigenze (si pensialla necessità di abilitare o disabilitare determinati profili diautorizzazione o utenze). Ilvalore soglia indicato appare eccessivamente basso e le modalità della suarilevazione (mensile, su 56 ore settimanali) lascia spazi ad ampie interruzioniche non verrebbero contrattualmente rilevate come disservizio. Tale valore,pertanto, è opportuno che venga adeguato al fine di evitare le predettedisfunzioni. Ilivelli di servizio indicati relativamente al disaster recovery non si possonoritenere adeguati alla molteplicità dei sottosistemi, alcuni dei quali con unelevato livello di criticità, che compongono il sistema informativo dellafiscalità. In particolare, destano perplessità i seguenti livelli diservizio (cfr. par. 7, pag. 36, allegato 1), che prevedono: € Sito di disaster recovery indisponibile fino a 2,4 giorni aquadrimestre (disponibilità dichiarata del 98% su base quadrimestrale); € Copia on-line dei dati in modalità asincrona senza dettagli suitempi di latenza; € Verifica della correttezza del disaster recovery ogni 6 mesi. Siritiene opportuno indicare al Ministero di valutare l'innalzamento deiprecedenti SLA, almeno per un sottoinsieme di sistemi/servizi ritenuti critici,e di ridurre il tempo intercorrente tra verifiche successive della correttezzadel disaster recovery. Piùin generale, si ritiene opportuno richiamare il Ministero alle prescrizioni dicui all'art. 50-bis del Codice dell'amministrazione digitale (d.lgs. n.82/2005), relative all'adozione del piano di Continuità operativa e di disasterrecovery, da redigersi sulla base dello studio di fattibilità tecnica approvatodall'Agid, e di includere la business continuity tra gli obiettivi di controlloprevisti dallo standard 27001:2005. Un'attenzioneparticolare in un sistema tecnologico di grandi dimensioni come quello in esamerichiede il monitoraggio e il trattamento degli incidenti relativi allasicurezza delle informazioni. Inparticolare, per quanto riguarda eventuali violazioni di dati personali (sipensi ad attacchi informatici, incendi o altre calamità, che possano comportarela perdita, la distruzione o la diffusione indebita di dati (c.d."databreach") è opportuno prevedere, in sede contrattuale, l'obbligo per il responsabiledi comunicare tempestivamente all'Amministrazione committente gli elementi daiquali possa valutare compiutamente la gravità dell'evento verificatosi, anchein ragione del numero dei soggetti coinvolti e della quantità e qualità deidati colpiti, l'entità del danno cagionato e le misure adottate per ridurlo. Roma, 13 febbraio 2014
|