ASCOLTA ARTICOLO
|
Articolo pubblicato su altalex.
Due provvedimenti del Garante per il trattamento dei dati personali che, in apparente contrasto, hanno sanzionato pesantemente un ateneo telematico per l’invio di sms promozionali senza il consenso dei destinatari e in maniera molto più indulgente una ASL napoletana per un data breach che ha coinvolto i dati sanitari di quasi un milione tra assistiti e dipendenti.
1. Art. 83 GDPR – Condizioni generali per infliggere sanzioni amministrative pecuniarie. Cosa dice la Corte di Cassazione.
Con una recentissima ordinanza (n.27189 del 22 settembre 2023), la Corte di Cassazione affronta il tema della portata dei principi di cui all’art. 83 del Regolamento europeo 679/2016 “GDPR” chiarendo che “l’art. 83 prevede e disciplina le condizioni generali per infliggere sanzioni amministrative pecuniarie, stabilendo una regola preliminare imputata alla rilevanza del caso singolo: ogni autorità di controllo provvede affinchè le sanzioni amministrative pecuniarie inflitte in relazione alle violazioni del regolamento (paragrafi 4, 5 e 6) siano ‘in ogni singolo caso’ effettive, proporzionate e dissuasive”.
Il sistema sanzionatorio introdotto dal GDPR viene considerato una vera e propria innovazione per la maggiore accuratezza che comporta e con i criteri imposti dall’art. 83 pone un argine alla discrezionalità delle Autorità garanti per i dati personali ai fini della determinazione delle sanzioni da comminare in concreto.
Gli elementi specifici di cui occorre tenere conto, secondo la Suprema Corte “in ogni singolo caso” sono: “a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito; b) il carattere doloso o colposo della violazione; c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati; d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli artt. 25 e 32; e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; f) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; g) le categorie di dati personali interessate dalla violazione; h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione; i) qualora siano stati precedentemente disposti provvedimenti di cui all’art. 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; j) l’adesione ai codici di condotta approvati ai sensi dell’art. 40 o ai meccanismi di certificazione approvati ai sensi dell’art. 42; e k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione”.
2. Sanzione di 75.000 all’Università e-Campus per aver inviato sms promozionali senza il consenso dei destinatari.
Con provvedimento del 18 luglio 2023, il Garante privacy ha sanzionato l’università telematica ritenuta responsabile di aver inviato sms promozionali senza il consenso dei destinatari. L’Autorità, inoltre, ha ingiunto all’ateneo di verificare le misure tecniche e organizzative adottate per poter dimostrare di aver acquisito un valido consenso al trattamento dei dati a fini promozionali, anche in caso di affidamento delle campagne pubblicitarie a terzi. All’ateneo è stato anche vietato l’uso dei dati trattati in modo illecito.
L’intervento dell’Autorità segue il reclamo di alcuni cittadini che lamentavano la ricezione di sms indesiderati e, in un caso, di telefonate promozionali reiterate per 6 anni, anche dopo essersi opposti a tali invii e non aver avuto alcun riscontro da parte. In particolare, la reclamante ha dichiarato di aver inviato, il 16 luglio 2021 all’indirizzo indicato nell’informativa privacy, una prima richiesta di cancellazione dei dati personali; non avendo ricevuto riscontro e continuando a ricevere sms indesiderati, ha reiterato la propria richiesta, inviandola anche all’indirizzo del Responsabile della protezione dei dati, senza ottenere riscontro.
L’ateneo, infatti, in violazione del GDPR e del Codice privacy, ha protratto per anni l’invio di messaggi promozionali senza tener in alcun conto i diritti dei destinatari, nonostante i numerosi reclami ricevuti e mai riscontrati. E soprattutto senza adottare misure per correggere la propria condotta, anche dopo l’avvio dell’istruttoria del Garante, evitando così il ripetersi delle condotte contestate dai reclamanti.
Nel provvedimento, l’Autorità ha poi sottolineato lo scarso grado di collaborazione dimostrato dall’ateneo. L’università, infatti, senza alcuna motivazione, non ha fornito riscontro alle istanze dell’Autorità, rendendo necessario l’intervento del Nucleo speciale privacy della Guardia di Finanza per la notifica degli atti, e disertando, ancora senza giustificazione, un’audizione che essa stessa aveva richiesto e più volte rinviato. Un comportamento che ha determinato un inutile impiego di risorse pubbliche e una dilazione dei tempi del procedimento, elementi di cui il Garante ha tenuto conto nel determinare l’ammontare della sanzione.
Oltre al pagamento della multa, il Garante ha ingiunto all’università telematica di stabilire appropriati tempi di conservazione dei dati – dandone comunicazione agli interessati attraverso l’informativa privacy – e di impartire apposite istruzioni al personale, affinché le richieste di accesso ai dati, di opposizione o di cancellazione, siano soddisfatte tempestivamente.
3. Sanzione di € 30.000,00 alla Asl Napoli 3 Sud per non aver protetto adeguatamente da attacchi hacker i dati personali e i dati sanitari di 842.000 tra assistiti e dipendenti.
Con provvedimento del 28 settembre 2023 il Garante privacy ha sanzionato la Asl napoletana per aver subito un attacco ransomware che attraverso un virus aveva limitato l’accesso al data base della struttura sanitaria e richiesto un riscatto per ripristinare il funzionamento dei sistemi.
Come previsto dalla normativa in materia protezione di dati personali, l’Asl aveva provveduto a comunicare il data breach al Garante che ha immediatamente aperto un’istruttoria sull’accaduto per verificare le misure tecniche e organizzative adottate dalla Asl sia prima che dopo l’attacco subito.
Diverse le importanti criticità rilevate dal Garante a seguito dell’attività ispettiva, come la mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti, anche in violazione del principio della protezione dei dati fin dalla progettazione (privacy by design). L’accesso alla rete tramite vpn avveniva infatti mediante una procedura di autenticazione basata solo sull’utilizzo di username e password. Inoltre, la carenza di segmentazione delle reti aveva causato la propagazione del virus all’intera infrastruttura informatica.
Nel sanzionare l’illecito il Garante ha tenuto conto del fatto che il data breach ha riguardato dati idonei a rilevare informazioni sulla salute di un numero molto rilevante di interessati, ma anche dell’atteggiamento non intenzionale e collaborativo della Asl. Dopo l’accaduto, l’azienda ha adottato una serie di misure volte non solo ad attenuare il danno subito dagli interessati, ma anche a ridurre la replicabilità dell’evento stesso, tra le quali l’attivazione di una procedura di accesso alla rete tramite vpn con doppio fattore di autenticazione.
4. Motivazioni che giustificano la diversa quantificazione delle sanzioni in relazione al contesto.
Sicuramente quelle in commento sono sanzioni che hanno avuto conseguenze diversi sui diritti e le libertà degli interessati.
La prima ha avuto impatti limitati alla mancata raccolta del consenso e alle richieste di cancellazione reiterate e mai riscontrate (basso numero di interessati coinvolti e basso livello di danno subito). Non ha, infatti, riguardato dati particolari o giudiziari, trattandosi di attività di telemarketing effettuata in violazione di legge.
La seconda, invece ha avuto impatti molto elevati sui diritti e le libertà degli interessati, coinvolgendo dati particolari relativi alla salute (in massima parte), oltre che dati generici e giudiziari, coinvolgendo, inoltre, una vasta platea di interessati.
Con il primo dei due provvedimenti il Garante privacy ha sanzionato l’Università e-Campus per 75.000 euro, con il secondo ha sanzionato la ASL Napoli 3 Sud per 30.000 euro.
Questa disparità di determinazione del profilo sanzionatorio va ricercata nel livello di attenzione al tema del trattamento dei dati, nella gestione del rapporto con gli interessati ed, infine, nel livello di collaborazione mostrato con il Garante privacy.
Ciascun aspetto presenta profonde differenze nei provvedimenti in commento.
Se da un lato l’Ateneo nelle sue difese aveva tentato di addebitare l’accaduto ad un presunto contitolare, del quale però nell’informativa sul trattamento dei dati non era fatta menzione, l’istruttoria ha dato atto di una sistemica carenza nelle procedure che dovrebbero garantire il riscontro alle richieste di esercizio dei diritti da parte degli interessati, considerato che tali richieste, quasi sempre inoltrate ai recapiti indicati nell’informativa privacy – e perfino allo stesso Responsabile della protezione dei dati – sono state del tutto ignorate anche dopo reiterati tentativi. Anche le risposte fornite ai singoli segnalanti, prodotte in sede difensiva, danno atto di un totale disinteresse per le richieste ricevute, cui è stato fornito riscontro in maniera tardiva e inidonea nonostante i ripetuti solleciti.
Per quanto concerne l’atteggiamento poco collaborativo osservato dal trasgressore, il Garante ha rilevato come per ben due volte e a distanza di mesi l’Ufficio ha rivolto all’Università delle richieste ai sensi dell’art. 157 del Codice tentando in un caso di sollecitarne il riscontro attraverso i contatti e-mail indicati nell’informativa privacy (contatti tra cui vi era anche quello del responsabile della protezione dati). Essendo entrambe le richieste rimaste inevase, è stato necessario avvalersi della Guardia di Finanza per la notifica dell’atto di avvio del procedimento e delle stesse richieste di informazioni. Riguardo alle motivazioni di tali mancati riscontri l’Università non ha mai fornito giustificazioni né nelle memorie difensive prodotte, né nel corso dell’audizione, che peraltro è stata concessa proprio per consentire la difesa in ordine alla contestazione del mancato riscontro (non essendo state ancora formulate contestazioni nel merito). Anzi, nel corso di detta audizione il legale delegato dall’Università, riferendosi unicamente al riscontro fornito per la prima richiesta di informazioni, ha ipotizzato che l’Università non avesse risposto per mero disguido riservandosi di fare ulteriori verifiche. Di tali verifiche non è stato mai comunicato l’esito e nulla è stato dichiarato in merito al fatto che l’Università non aveva fornito riscontro neanche alla seconda richiesta.
Sono state quindi considerate circostanze aggravanti: la durata e la gravità dei trattamenti, protratti per anni e interrotti solo a seguito dell’intervento del Garante; il carattere gravemente colposo delle violazioni dal momento che l’Università ha dimostrato di non tenere in alcun conto i diritti degli interessati, cui non ha fornito tempestivi e adeguati riscontri nonostante fosse già a conoscenza delle numerose doglianze, dirette al titolare prima ancora che al Garante; il grado di responsabilità del Titolare, tenuto conto che non ha dato atto di disporre di misure tecniche e organizzative adeguate ad evitare il ripetersi delle condotte contestate né ha ritenuto di dover intervenire dopo le contestazioni mosse dal Garante privacy.
Nel caso della ASL invece, il Garante privacy è venuto a conoscenza del data breach con la notifica preliminare e con le notifiche integrative è stato puntualmente informato dei successivi accadimenti. Durante le numerose interlocuzioni, l’Azienda sanitaria ha fornito tutti i chiarimenti richiesti. Dapprima ha perimetrato l’accaduto evidenziando i punti deboli del sistema che hanno permesso agli attaccanti di accedere abusivamente da IP estero, tramite VPN, con le credenziali di personale non tecnico della ASL, disponibili nel dark web. Tali credenziali sono state, poi, utilizzate per ottenere privilegi di administrator. Con riguardo alle misure tecniche e organizzative adottate per garantire la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché il ripristino tempestivo della disponibilità e dell’accesso dei dati personali in caso di incidente, l’Azienda, nel corso delle medesime attività ispettive ha dichiarato che “non c’è una procedura formalizzata e che il backup dei dati e dei sistemi aziendali è effettuato “full” una volta a settimana e “incrementale” gli altri giorni” e che “l’Azienda al momento della violazione non disponeva di un piano di rispristino dei diversi servizi con particolare riguardo a quelli definiti “critici” e che, a seguito dell’incidente, ha predisposto una proposta di piano di ripristino che la direzione aziendale ha approvato”.
Nel corso dell’attività ispettiva l’Azienda sanitaria ha reso noto di aver affidato specifico incarico alla Leonardo S.p.A. per l’analisi dell’incidente in Second Opinion e redazione di report finalizzati alle specifiche attività di remediation, oltreché per la rimodulazione e aggiornamento del piano di disaster recovery che consenta di garantire la business continuity, nonché la predisposizione di tutte le misure tecniche e organizzative adeguate volte al monitoraggio, controllo e prevenzione del perimetro tecnologico e di sicurezza aziendale. Ha proceduto, altresì, all’attivazione di nuove connessioni VPN dedicate con doppia autenticazione per poter accedere in modo sicuro all’interno della struttura informatica aziendale al fine di porre in essere le attività di accertamento e analisi sui sistemi.
Per quanto concerne la comunicazione della violazione agli interessati, la Asl Napoli 3 Sud ha inteso procedere con comunicazioni informative verso l’utenza a carattere generale” e che “ha necessariamente dovuto gestire e adottare due distinte modalità di comunicazione agli interessati, intrinsecamente legate alle caratteristiche dei due data set ed al loro diverso momento di analisi e valutazione: 70.738 interessati pazienti/utenti raggiunti da comunicazione ad personam tramite raccomandata a/r, con servizio affidato al responsabile del trattamento ex art. 28 GDPR; 153 interessati dipendenti raggiunti da comunicazione ad personam tramite servizio di mail aziendale, mail personale ovvero raccomandata XX interessati pazienti/utenti, tramite comunicazione generale (…)”.
La mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e di misure adeguate a garantire la sicurezza delle reti ha avuto come conseguenza l’applicazione della predetta sanzione amministrativa pecuniaria, determinata nell’ammontare tenuto conto dei principi di effettività, proporzionalità e dissuasività, indicati nell’art. 83, par. 1, GDPR, alla luce degli elementi previsti all’art. 83, par. 2, GDPR in relazione ai quali, per il caso in esame, il Garante privacy ha osservato che l’Autorità ha preso conoscenza dell’evento a seguito della notifica di violazione dei dati personali effettuata dal titolare e da alcune istanze pervenute al Garante sull’accaduto (art. 83, par. 2, lett. h) GDPR); il trattamento dei dati effettuato dall’Azienda ha riguardato dati idonei a rilevare informazioni sulla salute di un numero molto rilevante di interessati (art. 83, par. 2, lett. a) e g) GDPR); il titolare del trattamento non ha manifestato alcun atteggiamento intenzionale, in quanto l’episodio risulta essere stato determinato da un comportamento doloso da parte di un soggetto terzo, denunciato formalmente alla polizia postale (art. 83, par. 2, lett. a) e b) GDPR); l’Azienda ha preso in carico la problematica introducendo, dopo l’evento occorso, una serie diversificata di misure volte non solo ad attenuare il danno subito dagli interessati ma anche a ridurre la replicabilità dell’evento stesso (art. 83, par. 2, lett. c) GDPR) ed il titolare, sin da subito, ha dimostrato un altissimo grado di cooperazione con l’Autorità in ogni fase dell’istruttoria, ivi compresa quella ispettiva.
5. Conclusioni
Entrambi questi provvedimenti hanno evidenziato violazioni della normativa in tema di trattamento dati, eppure il Garante privacy ha ritenuto di sanzionare molto più severamente l’Ateneo telematico piuttosto che la ASL Napoli 3 Sud.
La giustificazione a questa sproporzione è da rinvenirsi soprattutto nella reazione alle violazioni.
La ASL sin dalla prima notifica ha dimostrato atteggiamento collaborativo e rappresentando chiaramente il contesto nel quale si è verificata la violazione, inoltre nel corso dell’attività istruttoria è stata in grado di aumentare il livello delle misure di sicurezza tecniche, dimostrando di aver compreso e per quanto possibile messo in pratica azioni migliorative conseguenti alle osservazioni dell’Autorità indipendente.
Dall’altra parte l’Ateneo si è disinteressato dei reclami degli interessati continuando ad inviare messaggi promozionali senza tener in alcun conto i loro diritti ed ha dimostrato scarso grado di collaborazione durante le indagini.
Appare quindi evidente come rivestano grande importanza le ore successive ad un data breach anche per quanto concerne la quantificazione della sanzione.
Occorre infatti che il Titolare del trattamento e la sua organizzazione oltre che il Responsabile protezione dati, assumano un atteggiamento il più possibile collaborativo.