La ASL di Napoli sanzionata dal Garante Privacy per violazione del GDPR: che cosa possiamo imparare?
di LUISA DI GIACOMO*
L’Autorità Garante per la protezione dei dati personali ha comminato una sanzione da 30mila euro nei confronti dell’ASL Napoli 3 Sud con il provvedimento del 28 settembre 2023, n. 426, per aver accertato che le misure di sicurezza attuate non hanno consentito di proteggere i dati personali degli assistiti (842mila persone) da un attacco ransomware, in aperta violazione del principio di privacy by design, di accountability e di approccio basato sul rischio.
Questa sanzione comminata dal Garante ad una Pubblica Amministrazione, che non è certo la prima e, purtroppo, non sarà l’ultima, ci può aiutare a capire alcuni principi fondamentali in tema di sicurezza informatica e protezione dei dati personali, e fare tesoro delle “disgrazie” altrui può essere di insegnamento per l’attuazione della compliance nel nostro Ente locale. Imparando dalla vicenda della ASL possiamo imparare che cosa fare e soprattutto che cosa non fare quando trattiamo i dati e quando ci troviamo dinnanzi alla sciagurata ipotesi di una violazione degli stessi.
I fatti e la sanzione del Garante
Innanzi tutto, vediamo brevemente come si sono svolti i fatti. L’ispezione alla ASL Napoli 3 Sud è scaturita dalla notifica di data breach effettuata dall’azienda ospedaliera al Garante. Un attacco informatico di tipo ransomware ha colpito i sistemi informatici dell’ente pubblico sanitario, causando la “perdita”, o meglio l’indisponibilità dei dati personali degli assistiti. Dopo aver dichiarato il verificarsi di diversi malfunzionamenti dei sistemi sanitari preposti all’erogazione dei servizi sanitari ed alle prestazioni di laboratorio, l’azienda ha constatato che l’infrastruttura del datacenter (server, domain controller, proxy, VPN) è stata oggetto di attacco hacker di tipo ransomware, con conseguente crittazione di tutti i dati aziendali contenuti nei server; sono stati compromessi anche gli elenchi degli utenti amministratori, di fatto rendendo da un lato impossibili gli accessi al sistema informatico aziendale e dall’altro “spegnendo” il funzionamento operativo dell’intera azienda sanitaria.
Come ormai sappiamo molto bene, e come spesso ripetiamo in questa rubrica, dopo aver aperto l’incidente di sicurezza e coinvolto il DPO, l’azienda è stata costretta non solo ad avvertire tutti i propri assistiti del fatto che i loro dati personali, tra cui i dati “sensibili” appartenenti alla loro salute, erano in mano di un gruppo di cybercriminali che risponde al suggestivo ed evocativo nome di “Sabbath”, (che ha chiesto il pagamento di un riscatto per ottenere i codici per decrittare i dati presi in ostaggio), ma altresì a notificare l’incidente al Garante della Privacy.
L’art. 33 del Reg. UE 679/2016 statuisce infatti che “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. In questo caso, la causa esonerativa “a meno che sia improbabile” non poteva certamente operare, visto che la violazione riguardava dati appartenenti alle categorie particolari ex art. 9 (che abbiamo imparato a trattare con particolare riguardo) per cui era probabilissimo che la violazione presentasse rischi per i diritti e le libertà fondamentali degli interessati.
Breve ripasso: che cos’è e come agisce un ransomware
L’attacco ai danni dell’ASL è di tipo ransomware, ossia del tipo più diffuso in assoluto. Si tratta della maggioranza degli attacchi informatici rivolti alle infrastrutture di aziende pubbliche e private, in quanto costituisce sono il modo più rapido e semplice per ottenere del denaro. Si tratta di malware, ossia programmi malevoli, che rendono inaccessibili i dati in un sistema mediante un’operazione di criptazione di cui solo il criminale possiede la chiave. Per ottenere la chiave e poter recuperare i dati è necessario pagare un ransom, in inglese riscatto.
In questo caso il ransomware lanciato è stato il “famoso” o meglio famigerato “Criptolocker”, il re degli attacchi di tipo estorsivo. I dati della ASL non hanno lasciati i sistemi su cui si trovavano, non sono stati cancellati e (al momento) non si sa se vi sia stata esfiltrazione, cioè diffusione dei dati in rete. Semplicemente i dati vengono resi inaccessibili, con conseguenze che in questo caso sono state pesantissime, avendo comportato non solo il blocco delle attività amministrative dell’azienda sanitaria, il che già di per sé costituisce un danno enorme, ma anche il blocco delle attività operative dell’ospedale e non c’è niente come una macchina salva vita che non funziona che ci possa fare capire quanto sia fondamentale e primario proteggere i sistemi che ne costituiscono la base e ne permettono il funzionamento. Peraltro, nel caso dei ransomware spesso all’attacco vero e proprio, con la richiesta estorsiva di denaro per ottenere in cambio la chiave di decriptazione, si aggiunge la cosiddetta doppia estorsione, ovvero non la minaccia di esporre i dati esfiltrati su un sito pubblico o venderli nel dark web, a meno di ottenere un secondo pagamento, di nuovo con conseguenze pesantissime ai danni dell’azienda, sia in punto danno di immagine, sia per tutto quanto consegue in termini di responsabilità derivanti dall’applicazione del GDPR.
I ransomware si diffondono all’interno del sistema del bersaglio con varie modalità, la più diffusa ed efficace delle quali è l’invio di una e-mail di phishing: formare il personale in maniera adeguata a riconoscere in maniera autonoma e quindi non aprire e-mail ed allegati sospetti è il primo, concreto ed utilissimo passo per evitare una gran parte degli attacchi. Un altro modo per limitare i danni di un attacco, una volta che questo si è diffuso all’interno della rete, è quello di suddividere la rete interna dell’azienda, compartimentalizzarla, in modo da, quanto meno, contenere i danni, che possono così restare circoscritti ad una parte soltanto del sistema informatico del bersaglio.
La sanzione del Garante
A seguito della notifica del data breach, il Garante ha eseguito un’ispezione sulla ASL: un atto dovuto, dal momento che la violazione è stata imponente (sono stati coinvolti i dati di circa 842mila pazienti) ed ha riscontrato una situazione assai compromessa. Sono state rilevate mancanze gravi in ambito GDPR quali per la violazione del principio di “integrità e riservatezza” (art. 5, par. 1, lett. f), del GDPR), del principio della “protezione dei dati fin dalla progettazione” (art. 25, par. 1, del GDPR – privacy by design) e degli obblighi in materia di sicurezza di cui all’art. 32 del GDPR.
In sostanza, l’azienda, oltre ad avere ignorato l’esistenza del regolamento, ha anche omesso di attuare le misure di sicurezza informatica adeguate che ci si aspetterebbero dall’applicazione del principio approccio basato sul rischio: siccome tratto dati di quasi un milione di persone e questi dati sono ipersensibili, è bene che io attui misure per proteggerli adeguatamente. Invece mancavano le misure per assicurare la sicurezza delle reti: la VPN era accessibile da chiunque con user ID e password, i profili degli amministratori non erano individuati e separati, la rete era strutturata in modo tale da permettere al malware, una volta entrato, di propagarsi per tutta l’azienda e le misure per accorgersi tempestivamente dell’incidente e limitarne i danni non erano state implementate.
Che cosa ci insegna questo episodio
Non puntiamo il dito contro la ASL di Napoli credendoci al di sopra del rischio che possa succedere a chiunque, in qualsiasi momento, ma evidenziamo questo episodio perché ha molto da insegnarci. Il Garante, infatti, non ha sanzionato l’azienda perché ha subito un data breach e perché ha esposto i dati sensibili di quasi un milione di persone. Ormai sappiamo che il rischio zero non esiste, che non è un problema di se succederà, ma di quando succederà.
Il Garante ha sanzionato la ASL perché non ha fatto niente, non si è posta il problema, non ha attuato alcuna misura di sicurezza. Non ha agito in prevenzione e di conseguenza è stata bersaglio facile per un malware così diffuso come criptolocker. Allo stesso modo, il nostro ente non prenderà una sanzione se subirà un attacco di successo, ma la prenderà se verrà appurato che il personale non è mai stato formato, che le macchine non sono protette, che la rete è accessibile a chiunque, che mancano i privilegi di accesso, che il DPO nominato è solo di facciata, insomma in una parola perché si è violato il principio di accountability del titolare.
Su tutto il resto, l’Autorità è disposta a venire incontro al titolare e concedere tempo e strumenti per adeguarsi, ma dimostrare una completa mancanza di interesse per la materia è proprio l’unica cosa che, senza alcun dubbio, ci farà incorrere nella sanzione (30mila euro in questo caso, ed è andata ancora bene). La difficoltà nell’applicazione del GDPR sta tutta qui: non saremo mai certi di aver fatto tutto per bene, perché l’iniziativa è lasciata al titolare. Ma sappiamo per certo che non agire e restare inerti, soprattutto nella faticosa, ma indispensabile attività preparatoria e preventiva può essere forse l’unico modo per limitare i danni, quando, inevitabilmente, saremo i prossimi nella lista.
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
© RIPRODUZIONE RISERVATA
