Il 5 maggio u.s. la ASL 1 di Avezzano è stata vittima di un attacco ransomware, avente l’obiettivo di crittografare i dati e richiederne il riscatto per mezzo di pagamenti in bitcoin.
In seguito all’evento e successivamente alla valutazione dell’impatto che tale situazione avrebbe potuto determinare, con una nota integrativa del 19 maggio 2023, la ASL 1 ha comunicato un grado di rischio elevato per i diritti e le libertà delle persone fisiche a causa della potenziale compromissione dei dati personali.
Ma quali sono stati gli interventi immediati messi in atto dalla ASL 1?
Successivamente ad una approfondita valutazione, relativamente alla natura dei dati oggetto della violazione (es. dati anagrafici, amministrativi, credenziali di autenticazione, contabili, dati relativi allo stato di salute, dati genetici, dati soggetti a riservatezza e anonimato), è emersa la sussistenza di un potenziale pericolo di esfiltrazione delle categorie di dati sopra citati, suddivisi per livello di rischio stimato.
In considerazione di quanto sopra emerso e allo scopo di attenuare gli effetti negativi della violazione nei confronti degli interessati, l’azienda ha messo in atto delle azioni, come di seguito si riporta:
• attivazione di una apposita sezione informativa sul sito rivolta agli utenti, per poter effettuare richieste inerenti alla violazione dei dati personali subita, denominata “attacco hacker”;
• attivazione di un centro di ascolto psicologico, tale comunicazione è stata resa tramite il sito internet dell’azienda sanitaria locale;
• per la violazione della tipologia dei dati che ha interessato le categorie di soggetti coinvolti da rischio alto (personale amministrativo e sanitario, assistiti affetti da HIV, assistiti con malattie genetiche, assistiti residenti presso case circondariali, assistiti con malattie oncologiche) sono state adottate misure differenziate di comunicazioni, personalizzando il contenuto delle stesse;
• riscontro ad ogni singola istanza che perviene via pec;
• redazione di un format di comunicazione a contenuto diversificato in base alla categoria di soggetti e rispetto al livello di rischio interessato, da fornire agli operatori sanitari e da rendere al primo contatto utile direttamente al paziente, assistito, familiare, contenente la natura della violazione e i possibili rischi e conseguenze sui diritti e le libertà.
Ma quali sono state le valutazioni dell’Autorità Garante?
Partiamo dal presupposto che sulla base delle linee guida sulla trasparenza ai sensi del Regolamento UE 2016/679 si chiarisce come il titolare dovrebbe agire nella valutazione del rischio per comprenderne l’impatto e gli effetti che potrebbero ricadere sull’interessato. Confermando quindi la necessità di utilizzare mezzi che consentano la massima diffusione e facilità nel reperire l’informazione riferita a tale evento.
La modalità utilizzata nel caso specifico dalla Asl non risulta rispondere a quanto previsto dalla normativa in tema di comunicazione immediata nei confronti degli interessati (art.34 comma 3 lettera c). La ASL di fatti mettendo a disposizione sul sito una sezione che informasse della violazione dei dati personali, non ha facilitato la conoscibilità a tutti gli interessati in maniera immediata, (quanti di noi controllano il sito della nostra azienda sanitaria locale?). Per tale fattispecie l’attenzione è stata alta anche per la tipologia di dati trattati. Si parla soprattutto di dati relativi alla salute e, pertanto, oltre a tutti i rischi e le conseguenze, risulta coinvolto anche il rapporto tra medico e paziente “sigillato” dal segreto professionale.
Il Garante ha pertanto posto l’attenzione sulla modalità più congrua di comunicazione, che in questi casi prevede la comunicazione a mezzo stampa e televisione sui quotidiani più letti e sulle emittenti televisive più seguite della Regione.
La raccomandazione dell’Autorità Garante è quella, inoltre, di provvedere alla comunicazione senza ritardo nelle modalità sopra specificate entro 15 giorni, provvedendo con tempestività per poter mitigare le conseguenze derivanti dalla violazione. Così facendo è possibile evitare che quest’ultima possa comportare discriminazioni, disagio psicologico, compromettendo la socialità dell’interessato, oltre che danni reputazionali etc.
Quali valutazioni ne derivano da questa situazione?
L’attenzione che dovrebbe essere posta quando si trattano dati personali in genere è ancora molto bassa! Questo tipo di valutazione risulta ancora più pertinente se parliamo, in primo luogo, di una Azienda sanitaria quale Titolare del trattamento e, in secondo luogo, di determinate categorie di dati trattate.
Chi si occupa e preoccupa di proteggere con procedure ad hoc e una rete informatica sicura i dati personali? Esiste una vera consapevolezza circa l’impatto che un data breach così rilevante può avere?
Ci auspichiamo che tali situazioni possano incidere e infondere una maggiore responsabilità e consapevolezza sia nei Titolari del Trattamento, che negli interessati.
Provvediamo dunque a fare un piccolo recap sulle modalità di gestione di un data breach:
STEP 1: analisi puntuale della violazione,degli elementi e soggetti coinvolti;
STEP 2: Valutazione dei rischi e delle conseguenze per i diritti e le libertà degli interessati;
STEP 3: Eventuale notifica al Garante entro 72 ore dal momento in cui se ne ha avuta conoscenza, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà degli interessati;
STEP 4: comunicazione agli interessati;
STEP 5: risoluzione della vulnerabilità utilizzata dall’hacker;
STEP :6 eventuale ripristino del servizio.
Ricordiamo: che dal 1° luglio 2022 è attivo nel portale dei servizi online dell’Autorità Garante la procedura telematica di una violazione dei dati personali.
Proteggere la privacy dei vostri dati è fondamentale. Affidatevi alla nostra società di consulenza privacy per garantire la massima sicurezza alla vostra Organizzazione.
Contattateci per parlare con uno dei nostri esperti e ricevere una valutazione, in base alle esigenze specifiche. Capiremo insieme come possiamo aiutarvi ad essere compliant alle normative vigenti, prevenire violazioni dei dati e mantenere la fiducia dei Clienti.
Non rischiate sanzioni salate o danni alla reputazione aziendale! Investite nella vostra sicurezza e tranquillità. Non rimandate, agite ora!