Il Garante per la protezione dei dati personali (“Garante”) ha sanzionato (QUI il provvedimento) per 30.000 euro una ASL della provincia di Napoli a seguito di un attacco informatico che ha coinvolto oltre 840.000 persone, tra assistiti e dipendenti.
La ASL ha notificato al Garante un data breach, in forza dell’art. 33 GDPR. Il data breach è stato causato da un ransomware tramite attacco informatico, che ha infettato la rete dell’ente sanitario. L’ASL ha dichiarato che si sono verificati malfunzionamenti relativi all’erogazione dei servizi ospedalieri e di laboratorio.
Il complesso attacco ha riguardato in particolare gli elenchi degli utenti con profilo di amministratore, bloccando così l’accesso agli stessi informatici della ASL. Nello specifico, sono stati coinvolti i software e i dati delle piattaforme del data center principale e di quello di backup, ed anche i data center delocalizzati per le funzioni applicative di Pronto Soccorso, ADT e diagnostica per immagini.
L’accesso è stato possibile tramite credenziali di personale della Asl reperite nel dark web, che hanno permesso, tramite VPN, di ottenere i privilegi da amministratore di sistema. È stato inoltre richiesto un riscatto per il ripristino dei sistemi.
Dopo la notifica il Garante ha proceduto con la necessaria attività ispettiva, durante la quale ha riscontrato:
– l’assenza di misure adeguate al fine di rilevare il data breach e ripristinare la sicurezza dei sistemi, in violazione del principio di privacy by design. L’accesso avveniva infatti mediante una procedura di autenticazione basata solo sull’utilizzo di username e password
– l’insufficiente segmentazione della rete ha favorito il diffondersi del virus.
Tali gravi carenze sotto il punto di vista della sicurezza e della privacy by design hanno comportato una violazione delle norme in materia di protezione dei dati personali, ed in particolare quelle relative:
– al principio di “integrità e riservatezza”, di cui all’art. 5 del GDPR;
– al principio della “privacy by design” di cui all’art. 25 del GDPR;
– agli obblighi in materia di sicurezza di cui all’art. 32 del GDPR.
Nella quantificazione della sanzione il Garante ha considerato il numero rilevante di interessati (oltre 840.000 persone) e anche lo spirito collaborativo della ASL, oltre alla non intenzionalità del data breach. A seguito dell’attacco, inoltre, sono state adottate misure atte a limitare il danno subito dagli interessati ed anche ad evitare il ripetersi di episodi simili (come l’autenticazione a due fattori). Aggravante, invece, è stata ritenuta la natura “sensibile” dei dati oggetto di violazione, riguardanti la salute degli interessati.
In conclusione, quindi, la ASL è stata sanzionata per 30.000 euro (una somma tutto sommato contenuta, nonostante la gravità dell’accaduto) per la violazione delle norme sopra riportate.
Questo evento, che si pone in scia di una serie di provvedimenti sanzionatori del Garante nei confronti di enti appartenenti alla Pubblica Amministrazione e in particolare al Sistema Sanitario Nazionale (SSN), evidenzia una forte carenza e mancanza di attenzione alla normativa in materia di protezione dei dati e di cyber security.
Il principio della privacy by design è, e deve essere, soprattutto un approccio proattivo alla protezione dei dati personali, incorporando misure di sicurezza e rispetto della privacy fin dall’inizio della progettazione di un sistema, prodotto o servizio. L’applicazione di questo principio dev’essere improntata al prevenire violazioni della privacy anziché affrontarle in seguito, promuovendo la trasparenza e il controllo dell’utente sui propri dati.
DISCLAIMER: Questa newsletter fornisce solo informazioni generali e non costituisce una consulenza legale da parte di Macchi di Cellere Gangemi. L’autore dell’articolo o il vostro contatto in studio sono a Vostra disposizione per qualsiasi ulteriore chiarimento.