A causa dell’inadeguatezza delle misure di sicurezza impiegate, il Garante Privacy ha emesso una sanzione di 30.000,00 € nei confronti dell’ASL Napoli 3 Sud. In particolare, l’ASL ha violato la privacy by design – uno dei principi fondamentali del GDPR – esponendo i dati degli interessati ad un attacco ransomware.
Il principio di Privacy by design
Il Regolamento Generale sulla Protezione dei Dati – GPDR- ha permesso, attraverso l’articolo 25, l’applicazione del principio di privacy by design. Questo principio garantisce che la tutela dei diritti e delle libertà dei soggetti coinvolti – in particolare al trattamento dei dati personali- comporti la messa in atto di appropriate misure tecniche e organizzative, a partire dalla fase di progettazione fino al trattamento stesso.
In conformità con il GDPR, il titolare del trattamento deve impiegare politiche interne adeguate, in modo da soddisfare sia il principio della privacy by design, sia di privacy by default.
Il principio di privacy by default, invece, presagisce che le impostazioni di tutela della vita privata- inerente ai servizi e ai prodotti – rispettino i principi generali della protezione dei dati, tra cui la minimizzazione delle informazioni e la limitazione delle finalità.
Il caso Asl Napoli 3 Sud
L’Asl ha dichiarato la presenza di malfunzionamenti dei sistemi sanitari, in quanto sono stati colpiti i sistemi informativi dell’ente sanitario. La struttura sanitaria ha subito, infatti, un attacco informatico che ha limitato l’accesso al database della struttura sanitaria. In particolare, si tratta di un ransomware, ovvero una categoria di malware che tiene in ostaggio i dati delle “vittime” e che richiede un riscatto che ne permetta il ripristino.
In questo caso specifico, è stato appurato che, l’intera infrastruttura ha subito un attacco hacker di tipo cryptolocker con attività di encrypton dei dati aziendali. Inoltre, gli elenchi degli utenti di dominio con profilo di amministratore sono stati danneggiati, e, di conseguenza, gli accessi ai sistemisti dell’organizzazione sono stati negati.
In particolare, tutti i software e i dati relativi agli applicativi installati sui server virtuali del data center principale e data center disaster recovery sono stati coinvolti, oltre ai datacenter delocalizzati installati presso i quali sono installati i software applicativi del Pronto Soccorso, ADT e diagnostica per immagini. I datacenter bloccati causano, logicamente, il blocco di tutti gli applicativi aziendali in ambito sanitario e amministrativo.
Pertanto, l’ASL ha notificato al Garante della privacy una violazione dei dati personali – data breach – e quest’ultimo, come previsto dalla normativa in materia protezione dati personali, ha aperto un’istruttoria sulla vicenda.
Valutazioni del Garante Privacy
Successivamente all’attività ispettiva, le criticità rilevate dal Garante sono diverse.
Innanzitutto, l’accesso alla rete tramite VPN avveniva mediante una procedura di autenticazione basata solamente sull’utilizzo di username e password. In aggiunta, la carenza di segmentazione delle reti aveva provocato la diffusione del virus verso l’intera infrastruttura informatica.
È emerso, inoltre, che con questo trattamento sono stati violati gli art.5, 32 e 34 del GDPR, a causa dell’assenza di misure idonee per rilevare la violazione dei dati personali e dati particolari.
Pertanto, è stato evidenziato l’illeceità del trattamento di dati personali dall’ASL Napoli 3 Sud, violando, oltre al principio della privacy by design:
- i principi di integrità e riservatezza;
- gli obblighi in materia di sicurezza.
È da considerare, inoltre, che, ad aggravare il caso specifico, è stato il coinvolgimento di dati relativi alla salute. Pertanto, la violazione di questi illeciti ha portato il Garante all’applicazione di una sanzione amministrativa dal valore di 30.000,00 € nei confronti dell’azienda sanitaria.
Successivamente, l’ASL ha applicato una serie di misure tecniche e organizzative affinché non si verifichino nuovamente eventi simili.
