I controlli sui log degli amministratori di sistema: cosa ci insegna il recente caso RealMaps S.r.l.?

Articolo header

Il provvedimento a carattere sanzionatorio dell'Autorità Garante per la protezione dei dati personali del 16 gennaio 2025 è passato un po’ in sordina, in quanto non incluso nella newsletter dell'Autorità e di ammontare relativamente ridotto rispetto ad altre sanzioni. Ciononostante, include alcuni spunti interessanti, in particolare in relazione all'applicabilità del provvedimento a carattere generale del 2008 e s.m.i, “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”. Il caso “RealMaps”, nome della società immobiliare sanzionata, infatti, rappresenta uno dei pochissimi recenti in cui il Garante ha rilevato anche la violazione degli obblighi relativi alla figura dell'amministratore di sistema.




Il caso RealMaps

L'istruttoria del Garante è stata avviata in seguito alla ricezione di diversi reclami e segnalazioni. Gli interessati lamentavano, in particolare, la ricezione di comunicazioni a carattere promozionale da parte di agenzie immobiliari che avevano acquisito i dati di contatto da Realmaps S.r.l.

Le ispezioni svolte dall'Autorità hanno confermato che Realmaps S.r.l. fornisce alle agenzie immobiliari un pacchetto di dati relativi ai proprietari di immobili ubicati in una determinata zona. Tale pacchetto comprende informazioni anagrafiche e di contatto dei proprietari, abbinate ad informazioni catastali. Le prime vengono acquisite da Realmaps S.r.l. mediante list provider esterni, mentre i dati relativi all'immobile sono raccolti attraverso l'accesso a registri pubblici. Il software denominato “Automatch” consente alla società di incrociare le informazioni e di generare una lista unica (ovvero il pacchetto di dati trasmesso alle agenzie immobiliari clienti).

Nel corso delle indagini effettuate, il Garante ha rilevato molteplici violazioni che, per semplicità riassuntiva dividiamo in due macro categorie.


Il primo ordine di violazioni: la mancata acquisizione dei consensi

In primo luogo, dopo aver ricostruito i ruoli e le rispettive responsabilità ai fini privacy, è emerso che Realmaps S.r.l., che agiva in qualità di Titolare del trattamento dei dati, non aveva provveduto a raccogliere il consenso degli interessati alla ricezione di comunicazioni di natura commerciale. La società, infatti, non effettuava controlli sulla liceità delle liste acquisite dai list provider, né sulle informazioni rese agli interessati. Anche la cessione del dato alle agenzie immobiliari (distinti ed autonomi titolari del trattamento) avveniva in maniera illegittima, ovvero senza la raccolta di un'ulteriore e separato consenso.

L'Autorità, richiamando i molteplici precedenti provvedimenti sul tema, ha quindi ribadito che “Non può, infatti, ritenersi che una manifestazione di volontà inizialmente espressa in modo consapevole rispetto a determinati trattamenti possa dispiegare effetti a catena, attraverso successivi passaggi di dati personali da un titolare all’altro in maniera del tutto imponderabile per l’interessato”.


Il secondo ordine di violazioni: la gestione degli accessi al database

La seconda categoria di violazioni rilevate dall'Autorità riguarda la gestione degli accessi al database. 

La banca dati della società (collegata al sopracitato software “Automatch”), infatti, permetteva l'accesso, oltre al fornitore esterno dei servizi ICT, anche a dipendenti ed ex dipendenti (sprovvisti di alcun tipo di contratto in essere con la società). In sede di ispezione, inoltre, il Garante rilevava accessi effettuati da ulteriori soggetti non chiaramente identificati / identificabili, attribuiti ad utenti generici.

Realmaps S.r.l., pertanto, agiva in violazione dell’art. 2-quaterdecies del Codice (ovvero in assenza di una formale “attribuzione di funzioni e compiti a soggetti designati”) ed in assenza di misure di sicurezza idonee ad assicurare la riservatezza e l'integrità dei dati personali contenuti nel database.


La criticità degli account condivisi

Sempre in relazione alle modalità di gestione degli accessi alla banca dati, la società impiegava anche account generali “utilizzati ed utilizzabili da operatori di sistema”, qualificabili a tutti gli effetti come credenziali di tipo sistemistico condivise fra più utenti.

L'Autorità rilevava, quindi, criticità in ordine alla possibilità di ricondurre gli accessi al database al soggetto formalmente autorizzato. Questo aspetto, in particolare, compromette l'applicazione delle misure previste dal provvedimento in materia di amministratori di sistema (“Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”), “da considerarsi ancora valido con valore di linea guida”. Lo stesso provvedimento, infatti, prevede, fra le altre cose, l'obbligo di predisporre un elenco degli amministratori di sistema con l'indicazione degli estremi identificativi delle persone fisiche che accedono ai sistemi e controlli mediante log sull'attività da questi svolta.

Nel caso in esame, il provvedimento è stato totalmente ignorato dalla società che, dotandosi di account condivisi ha dimostrato di non conoscere gli adempimenti ivi previsti.


Quali controlli dovrebbe effettuare un DPO?

In conclusione, il caso esaminato ricorda a tutti i DPO di non trascurare le verifiche relative al rispetto del provvedimento del Garante a carattere generale del 27 novembre 2008 (modificato nel 2009) in materia di amministratori di sistema. 

Allo scopo di facilitare i controlli che tutti i DPO dovrebbero inserire nel piano delle attività di vigilanza ed effettuare periodicamente, abbiamo predisposto una checklist per gli associati. 


La checklist è disponibile accedendo all’area riservata.

Se non sei ancora associato, clicca qui

Altre news