ASCOLTA ARTICOLO
|
Articolo pubblicato su altalex.
A seguito del ransomware che ha colpito la ASL 1 Avezzano Sulmona L’Aquila lo scorso 3 maggio (leggi l’articolo Sanità ancora sotto attacco hacker: ransomware colpisce ASL 1 Abruzzo), il Garante privacy con il Provvedimento 8 giugno 2023, n. 255, fornisce indicazioni sulle modalità con le quali deve essere effettuata la comunicazione agli interessati.
1. L’Attività istruttoria
L’Autorità è venuta a conoscenza, attraverso la notifica di violazione dei dati personali del 5 maggio 2023, effettuata ai sensi dell’art. 33 del Regolamento europeo 679/2016 (GDPR) dalla ASL 1 Avezzano Sulmona L’Aquila, di un attacco rivendicato da un gruppo di hacker denominato “MONTI” che ha utilizzato un sofisticato ransomware progettato per crittografare i dati e richiedere il pagamento in bitcoin per gli strumenti di decrittazione” e della circostanza che nel “dark web risultano pubblicati 389 Gigabyte di dati la cui totale riconducibilità all’ASL 1 Abruzzo è in fase di accertamento”.
Con successiva notifica integrativa del 19 maggio 2023, l’Azienda ASL 1 ha dichiarato di ritenere che “la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche […] a causa della potenziale compromissione di dati personali di cui agli articoli 6, 9 e 10 del Regolamento 679/2016”, rappresentando di aver proceduto a informare gli interessati ai sensi dell’art. 34 gdpr tramite “pubblicazione giornaliera di comunicati sul sito internet istituzionale”.
In riscontro alla successiva richiesta di informazioni rivolte dal Garante privacy, con riferimento alla valutazione del rischio per i diritti e le libertà delle diverse categorie o gruppi di interessati, in relazione alla natura dei dati violati (es. anagrafici, amministrativi, contabili, credenziali di autenticazione, dati relativi alla salute, genetici, dati soggetti a maggior riservatezza e tutela di anonimato) e alla gravità e probabilità delle possibili conseguenze, l’Azienda ha dichiarato che “dalle indagini condotte […] sussiste un forte sospetto di una potenziale esfiltrazione dei seguenti archivi di dati personali suddivisi per livello di rischio stimato per i diritti e le libertà dei soggetti coinvolti” e ha indicato le proprie valutazioni individuando 4 livelli di rischio (critico, alto, medio e basso) in “considerazione delle possibili conseguenze significative per i soggetti coinvolti” anche in relazione ai dati contenuti nei diversi archivi oggetto di violazione.
Allo scopo di attenuare i possibili effetti negativi della violazione nei confronti degli interessati, l’Azienda ha illustrato le contromisure intraprese che sono consistite nell’attivazione di una apposita sezione informativa e di comunicazione rivolta agli utenti nella homepage del portale aziendale denominata “attacco hacker: resta informato”, dove ha pubblicato le comunicazioni. L’Azienda, inoltre ha dichiarato che “con le finalità di prevenire in modo adeguato e tempestivo l’insorgere di eventuali condizioni di disagio psicologico, conseguenti alla possibile violazione di dati personali determinata da un attacco di pirateria informatica, in linea con le indicazioni del gdpr ha attivato, in ciascun ambito distrettuale del territorio di pertinenza della ASL, un Centro di Ascolto psicologico. Di tale iniziativa è stata data notizia il 30 maggio 2023 mediante pubblicazione sul sito internet istituzionale “consentendo una prima immediata informazione agli interessati circa le iniziative intraprese dalla ASL”.
Infine, per quanto concerne l’informazione alle diverse categorie o gruppi di interessati coinvolti (es. personale amministrativo e sanitario, assistiti affetti da HIV, assistiti con malattie genetiche, assistiti con malattie oncologiche, assistiti in residenza per l’esecuzione delle misure di sicurezza – REMS, assistiti residenti presso case circondariali) adottando adeguato mezzo e diversificando il contenuto della comunicazione, anche sulla base della valutazione del rischio svolta, l’Azienda ha dichiarato che “sta garantendo tempestivo riscontro ad ogni singola istanza che perviene, a mezzo email e pec, dagli interessati o loro legali rappresentanti, ai sensi dell’art. 34 gdpr. Al tempo stesso, per garantire maggiore trasparenza informativa, è stato predisposto un format di lettera a contenuto diversificato in base alle categorie di interessati e relativo profilo di rischio associato (basso-medio-alto-critico) che viene consegnata dagli operatori sanitari, brevi manu, al primo contatto utile con l’assistito o familiare/tutore/amministratore a seconda dei contesti, presso le Strutture sanitarie sia Ospedaliere che Territoriali” che contiene, oltre alle informazioni relative alla natura della violazione, delle possibili conseguenze sui diritti e le libertà, anche le misure di attenuazione dai possibili effetti negativi, i dati di contatto del DPO e dei Centri di ascolto attivati per fornire ai richiedenti specifico supporto, tramite un percorso di assistenza psicologica e consulenza specialistica”.
2. Le valutazioni dell’Autorità
Per quanto concerne la valutazione della conformità delle iniziative fin qui intraprese dall’Azienda a tutela degli interessati, con particolare riferimento al pieno ed efficace assolvimento degli obblighi di comunicazione di cui all’art. 34 GDPR occorre che nella valutazione del rischio siano prese in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati, e che tali rischi siano determinati in base a una valutazione oggettiva (cfr. cons. nn. 75 e 76).
In particolare, le Linee guida n. 9/2022 sulla notifica dei data breach individuano i seguenti fattori da considerare – a fronte di una violazione dei dati personali – nella valutazione del rischio per i diritti e le libertà degli interessati: il tipo di violazione; la natura, il carattere sensibile e il volume dei dati personali; la facilità di identificazione degli interessati; la gravità delle conseguenze per gli interessati; le caratteristiche particolari dell’interessato; le caratteristiche particolari del titolare del trattamento dei dati; nonché il numero di interessati coinvolti.
Come ritenuto anche dall’Azienda, la violazione dei dati personali oggetto di notifica è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Ciò, tenuto conto della natura della violazione dei dati personali, delle categorie dei dati personali oggetto di violazione, delle categorie di interessati coinvolti (che si trovano anche in condizioni di vulnerabilità o fragilità), della gravità e persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione (quali, a esempio, discriminazione, disagio psicologico, umiliazione, danni alla reputazione o altri danni materiali o immateriali), nonché del ruolo rivestito dall’Azienda nel sistema sanitario locale, che richiede un elevato grado di responsabilizzazione al fine di garantire la fiducia nei suoi confronti da parte degli assistiti, soddisfacendo, in particolare, le legittime aspettative di trasparenza e sicurezza del trattamento.
Le stesse Linee guida sulla notifica ricordano che “in linea di principio, la violazione dovrebbe essere comunicata direttamente agli interessati coinvolti, a meno che ciò richieda uno sforzo sproporzionato. In tal caso, si procede a una comunicazione pubblica o a una misura simile che permetta di informare gli interessati con analoga efficacia” (cfr. art. 34, par. 3, lett. c), gdpr), richiamando le “Linee guida sulla trasparenza ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29, fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018. Queste ultime chiariscono che il titolare dovrebbe “effettuare una valutazione mettendo sulla bilancia, da un lato, lo sforzo […] e, dall’altro, l’impatto e gli effetti […] sull’interessato”.
In ogni caso, raccomandano al titolare del trattamento di “scegliere un mezzo che massimizzi la possibilità di comunicare correttamente le informazioni a tutte le persone interessate” evidenziando che “si potrebbe altresì prevedere l’adozione di disposizioni tecniche per rendere le informazioni sulla violazione disponibili su richiesta, soluzione questa che potrebbe rivelarsi utile per le persone fisiche che potrebbero essere interessate da una violazione ma che il titolare del trattamento non può altrimenti contattare”.
Le Linee guida sui casi di violazione dei dati personali evidenziano come la comunicazione agli interessati sia una buona pratica e un fattore di mitigazione in presenza di un attacco ransomware con esfiltrazione poiché “la violazione riguarda non solo la disponibilità dei dati, ma anche la riservatezza, in quanto l’autore dell’attacco può aver modificato e/o copiato i dati dal server. Pertanto, il tipo di violazione comporta un rischio elevato” e che “la natura, la sensibilità e il volume dei dati personali aumentano ulteriormente i rischi, poiché il numero di persone interessate è elevato, così come la quantità complessiva di dati personali compromessi” (cfr. parr. 42 e 43) e, laddove coinvolga dati sulla salute “compromette la segretezza del rapporto medico-paziente, e terzi non autorizzati possono accedere alle informazioni sanitarie riguardanti i pazienti, il che può avere gravi ripercussioni sulla loro vita” (cfr. par. 101).
Considerata la particolare delicatezza di alcuni dati personali oggetto di violazione e la condizione di vulnerabilità e fragilità degli interessati, che possono rendere particolarmente gravi le conseguenze nei confronti delle persone fisiche (comportando, a esempio, discriminazione, disagio psicologico, umiliazione, danni alla reputazione o altri danni materiali o immateriali), la comunicazione agli interessati richiede una graduazione e una differenziazione delle modalità con cui viene effettuata, del suo tenore e contenuto informativo, che dipendono sia da una valutazione preventiva del differente potenziale lesivo che la violazione comporta sulla platea di assistiti coinvolti, sia dai diversi canali di contatto utilizzabili.
3. L’ingiunzione del Garante privacy
Le prime iniziative intraprese dall’Azienda per adempiere l’obbligo di comunicazione agli interessati – sebbene abbiano rappresentato una misura opportuna per informarli circa le attività svolte nell’immediato e richiamare la loro attenzione su potenziali conseguenze della violazione, offrendo un recapito dedicato al quale rivolgersi – non raggiungono lo scopo di informare efficacemente tutti gli interessati coinvolti, specialmente quelli appartenenti alle categorie per cui il rischio è stato valutato come critico, anche al fine di permettere loro di prendere le precauzioni necessarie in considerazione della diversa natura dei dati personali oggetto di violazione che li riguardano (cons. n. 86 gdpr; cfr. anche provv. n. 86 del 14 maggio 2020, doc. web n. 9344061).
Ciò, tenuto anche conto del fatto che, nel corso dell’istruttoria, l’Azienda, pur avendo individuato in circa 1000 il numero approssimativo degli interessati coinvolti, non ha evidenziato, né comprovato in alcun modo, la sussistenza della condizione di cui all’art. 34, par. 3, gdpr in relazione allo sforzo sproporzionato che la predetta comunicazione richiederebbe.
L’Azienda, inoltre, non ha tantomeno dimostrato che la misura adottata abbia avuto analoga efficacia informativa come richiesto dall’art. 34, par. 3, lett. c) gdpr né che fossero soddisfatte le previsioni di cui all’art. 2-duodecies, comma 2 del Codice circa la possibilità di ritardare, limitare o escludere l’adempimento della comunicazione “nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata […] per salvaguardare l’indipendenza della magistratura e dei procedimenti giudiziari“.
La scelta dell’Azienda di prevedere la consegna della comunicazione agli interessati da parte degli “operatori sanitari, brevi manu, al primo contatto utile con l’assistito o familiare/tutore/amministratore a seconda dei contesti, presso le Strutture sanitarie sia Ospedaliere che Territoriali”, mediante “un format di lettera diversificato in base alle categorie di interessati e relativo profilo di rischio associato”, seppur rispettosa della riservatezza necessaria, non consente di raggiungere tempestivamente e utilmente la platea di interessati, in particolare quelli appartenenti alle categorie per cui il rischio è stato valutato come critico, che non si trovano nelle condizioni di avere un contatto con l’Azienda, essendo rimessa all’iniziativa dei singoli che via via le si rivolgono.
4. Conclusioni
Il provvedimento in commento risulta particolarmente interessante in quanto offre la misura degli adempimenti che il Titolare del trattamento deve adottare circa la notifica agli interessati nel caso di data breach che coinvolgono un numero elevato di persone e di dati anche (e soprattutto) particolari.
Il Garante privacy, nel caso in questione, ha valutato come insufficienti le misure poste in essere dal Titolare o comunque come non sussistenti le condizioni di cui all’art. 34, comma 3 lett c), per effettuare la comunicazione all’interessato in termini di sforzi sproporzionati e quindi ha ravvisato la necessità e l’urgenza di ingiungere all’Azienda, ai sensi dell’art. 58, par. 2, lett. e) GDPR, di comunicare individualmente a tutti gli interessati coinvolti (di cui l’Azienda ha evidenza allo stato o ne avrà in futuro) la violazione dei dati personali, descrivendone la natura e le possibili conseguenze, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonché fornendo informazioni sulle misure adottate per porre rimedio alla violazione e per attenuarne i possibili effetti negativi.
Il provvedimento ha lasciato libero il Titolare di determinare le modalità più opportune in relazione alle diverse condizioni soggettive degli interessati cui si rivolgerà, comunque rispettose della riservatezza e volte a prevenire possibili impatti psicologici, individuando un ordine di priorità e una tempistica eventualmente differenziata e proporzionata al rischio, venendo comunque rivolte individualmente a ciascun interessato cui si riferiscano, tra i dati oggetto della violazione, quelli individuati dallo stesso titolare come idonei, in caso di diffusione illecita, a produrre livelli di rischio “critico” e “alto”.
Chiede invece di rivolgere una comunicazione individuale agli interessati ai quali si riferiscono i dati, oggetto di violazione, cui è stato associato un livello di rischio inferiore ad “alto” , salvo il caso di valutazione da parte del titolare di eccessiva onerosità e, in tal caso, la comunicazione individuale potrà essere sostituita con un’azione informativa che comprenda un avviso da pubblicarsi per almeno due settimane a giorni alterni sui due quotidiani più letti della regione, passaggi televisivi con altrettanta frequenza e durata sulle emittenti più seguite della regione e una campagna social mirata. La medesima azione informativa potrà essere rivolta, con opportuna modulazione, anche agli interessati irreperibili compresi nella fascia di rischio “critico” e “alto”.
Altro importante aspetto da evidenziare è l’esplicito richiamo al principio di responsabilizzazione, che dovrà essere perseguito documentando le scelte fatte e le attività conseguenti.
il Garante privacy impone che la predetta comunicazione sia effettuata senza ritardo, nelle modalità sopra descritte, e comunque entro quindici giorni, con riserva di ogni altra determinazione, anche sanzionatoria, all’esito della definizione dell’istruttoria avviata sul caso, considerati i possibili rischi di discriminazione, disagio psicologico, umiliazione, danni alla reputazione o altri danni materiali o immateriali derivanti dalla compromissione della riservatezza dei dati personali per coloro i quali non sono stati finora informati.