E’ di 30.000,00 euro la sanzione che l'Autorità Garante ha irrogato ad un Ente del comparto sanitario dopo aver accertato, a seguito di un attacco hacker, misure di sicurezza inadeguate per garantire la protezione dei dati personali degli utenti.

Il Provvedimento è del 28 settembre 2023 ma è stato pubblicato il 23 ottobre.

IL CASO

Il caso è il seguente. Una Asl napoletana, che aveva un accesso alla rete tramite VPN attraverso una procedura di autenticazione basata soltanto sull’utilizzo di username e password, ha subito un attacco ransomware che, attraverso un virus, ha limitato l'accesso al data base dell’Ente.

A seguito dell'attacco è stato richiesto un riscatto per ripristinare il funzionamento dei sistemi.

L’ente ha provveduto a notificare il Data breach al Garante che ha immediatamente aperto un’istruttoria sull’accaduto per verificare le misure tecniche e organizzative adottate sia prima sia dopo l’attacco subito.

L’attività ispettiva, subito avviata dal Garante, ha evidenziato:

- rilevanti criticità di sicurezza tra cui, in primo luogo, la violazione del principio privacy by design (protezione dei dati fin dalla progettazione) a causa della mancata adozione di adeguate misure, atte a rilevare celermente la violazione dei dati personali e a garantire la sicurezza delle reti.

In particolare, si sono rivelate inadeguate, durante l’indagine condotta dal Garante:

- la modalità di accesso alla rete tramite VPN, priva di doppio fattore di autenticazione;

- la mancata segmentazione delle reti che, in caso di virus, consente la propagazione dell'infezione all'intera infrastruttura informatica.

Per attenuare il danno subito dagli interessati e contenere il rischio di una futura replicabilità del sinistro in caso di nuovi attacchi hacker, l’Ente ha implementato e ottimizzato le misure di sicurezza, adottando plurime soluzioni tra cui l’attivazione di una procedura di accesso alla rete attraverso VPN con doppio fattore di autenticazione.

L’IMPORTO DELLA SANZIONE

L'importo della sanzione è stato determinato dal Garante tenendo conto delle seguenti circostanze:

- il data breach ha riguardato dati idonei a rilevare informazioni sulla salute;

- e informazioni sulla salute hanno avuto ad oggetto un numero molto rilevante di interessati;

- l'illecito si è verificato in assenza di dolo da parte dell'Ente essendo, per contro, configurabile una responsabilità per colpa da fatto illecito altrui;

- vi è stato atteggiamento collaborativo e proattivo dell'Ente nei confronti delle Autorità Garante.

Quest'ultimo elemento, rappresentato dalla considerevole attività collaborativa dell'Ente, ha consentito al Garante - unitamente al concorso di altri elementi di valutazione - di contenere e di limitare l'importo della sanzione che, diversamente, avrebbe potuto essere più elevato.

Tenuto conto dell’estrema rilevanza che assume il comportamento cooperativo nei confronti del Garante, ai fini della ottimale gestione del Data breach e ai fini della neutralizzazione, per quanto possibile, degli effetti negativi dello stesso, anche per quanto concerne l'irrogazione delle sanzioni e la conseguente responsabilità erariale dell'Ente e dei suoi funzionari, è opportuno approfondire il tema dell'incidenza, sull'importo della sanzione, della cooperazione garantita dall'Ente.

LA COOPERAZIONE CON L’AUTORITÀ GARANTE

Nell’immediatezza dell’azione illecita subita, al fine di mitigare gli effetti nascenti dal Data breach, l’Ente deve adottare tutte le misure tecniche e organizzative necessarie, proporzionate alla gravità della violazione e deve, inoltre:

- compilare lo strumento di autovalutazione (self assessment) che il Garante ha ideato e messo disposizione del titolare e che consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza; tale strumento è disponibile al seguente link https://servizi.gpdp.it/databreach/s/self-assessment (cliccando su “auto valutazione per la notifica di una violazione dei dati personali”)

- effettuare senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui l’Ente ne è venuto a conoscenza, la notifica all’Autorità Garante in presenza di violazione che, sulla base di un giudizio prognostico ex ante (giudizio di probabilità) può comportare un rischio per i diritti e le libertà delle persone fisiche, tenendo presente che, partire dal 1° luglio 2021, la notifica di una violazione di dati personali deve essere inviata al Garante tramite l’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità, e raggiungibile all’indirizzo https://servizi.gpdp.it/databreach/s/;

- mantenere un continuativo ed fitto canale di comunicazione con l’Autorità Garante sin dalla data della notifica attraverso la quale vengono fornite le prime informazioni, raccolte nell'immediatezza del sinistro e da completare nel corso della successiva istruttoria, riservandosi di fornire all’Autorità stessa, nei giorni e nelle settimane successive alla notifica, informazioni via via aggiornate ed esatte e garantendo un adeguato flusso informativo in merito a tutte le evidenze acquisite in relazione al sinistro di sicurezza subito;

- procedere, se la violazione comporta un rischio elevato per i diritti delle persone, agli obblighi informativi e alle comunicazioni, ai sensi dell’art. 34 GDPR, verso gli interessati, utilizzando i canali più idonei, a meno che l’Ente abbia già preso misure adeguate e idonee a ridurre l’impatto;

- identificare gli interessati, a cui effettuare le comunicazioni, anche attraverso una previa analisi del dataset oggetto di esfiltrazione con l'obiettivo di determinare esattamente le categorie e il numero degli interessati nonché le categorie e il numero dei dati personali violati strumentali alla efficacia delle comunicazioni medesime.

I POTERI SANZIONATORI DEL GARANTE

Nel caso in esame, la violazione degli obblighi imposti dal Regolamento, causata dalla condotta posta in essere dall’Ente, è stata assoggettata all’applicazione di una sanzione amministrativa pecuniaria.

Il potere di infliggere sanzioni amministrative pecuniarie è attribuito al Garante dall’articolo 83 del Regolamento in aggiunta a altre misure correttive o in luogo di tali misure, in funzione delle circostanze del singolo caso.

Ai fini di infliggere la sanzione pecuniaria amministrativa, il Collegio del Garante adotta:

- una ordinanza ingiunzione.

Tale provvedimento dispone, altresì, in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La sanzione amministrativa pecuniaria, irrogata con l’ordinanza ingiunzione, viene inflitta in funzione delle circostanze di ogni singolo caso e viene determinata, nel suo concreto ammontare, tenendo conto dei :

- principi di effettività, proporzionalità e dissuasività.

Tali principi, indicati nell’art. 83 del Regolamento, vanno applicati tenendo in debito conto i seguenti elementi, pure indicati dal citato art. 83:

a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;

b) il carattere doloso o colposo della violazione;

c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;

d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto;

e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;

f) il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;

g) le categorie di dati personali interessate dalla violazione;

h) la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;

i) qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;

j) l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi dell'articolo 42;

k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

IL PROCEDIMENTO LOGICO-GIURIDICO SEGUITO DAL GARANTE PER DETERMINARE, IN CONCRETO, L’IMPORTO DELLA SANZIONE

Il Garante ha applicato i principi e gli elementi di valutazione suddetti al caso trattato, osservando, testualmente, quanto segue:

- l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuata dal titolare e da alcune istanze pervenute al Garante sull’accaduto (art. 83, par. 2, lett. h) del Regolamento);

- il trattamento dei dati effettuato dall’Ente ha riguardato dati idonei a rilevare informazioni sulla salute di un numero molto rilevante di interessati (art. 83, par. 2, lett. a) e g) del Regolamento);

- il titolare del trattamento non ha manifestato alcun atteggiamento intenzionale, in quanto l’episodio risulta essere stato determinato da un comportamento doloso da parte di un soggetto terzo, denunciato formalmente alla polizia postale (art. 83, par. 2, lett. a) e b) del Regolamento);

- l’Ente ha preso in carico la problematica introducendo, dopo l’evento occorso, una serie diversificata di misure volte non solo ad attenuare il danno subito dagli interessati ma anche a ridurre la replicabilità dell’evento stesso (art. 83, par. 2, lett. c) del Regolamento);

- il titolare, sin da subito, ha dimostrato un altissimo grado di cooperazione con l’Autorità in ogni fase dell’istruttoria, ivi compresa quella ispettiva (art. 83, par. 2, lett. f) del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, il Garante:

- ha ritenuto di determinare l’ammontare della sanzione pecuniaria prevista, nella misura di euro 30.000,00 (trentamila) per la violazione degli artt. 5, par. 1, lett. f), 25 e 32 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83 del Regolamento, effettiva, proporzionata e dissuasiva.

- ha ritenuto di applicare la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, in considerazione dell’elevato numero di soggetti coinvolti e della tipologia di dati personali oggetto di illecito trattamento.