VEDI ANCHE COMUNICATO DEL 15 GIUGNO 2023

[doc. web n. 9896217]

Provvedimento dell'8 giugno 2023

Registro dei provvedimenti
n. 255 dell'8 giugno 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE”, così come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito “Codice”);

VISTE le “Linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del RGPD” adottate dal Comitato europeo per la protezione dei dati il 28 Marzo 2023 in sostituzione delle “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (di seguito “Linee guida sulla notifica”);

VISTE le “Linee guida 01/2021 su esempi riguardanti la notifica di una violazione dei dati personali” adottate dal Comitato europeo per la protezione dei dati il 14 dicembre 2021 (di seguito “Linee guida sui casi di violazione dei dati personali”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

L’Autorità è venuta a conoscenza, attraverso la notifica di violazione dei dati personali del 5 maggio 2023, effettuata ai sensi dell’art. 33 del Regolamento dalla ASL 1 Avezzano Sulmona L'Aquila (di seguito “Azienda”), di un ”attacco di un gruppo di hacker denominato “MONTI” che utilizza un sofisticato ransomware progettato per crittografare i dati e richiedere il pagamento in bitcoin per gli strumenti di decrittazione” e della circostanza che nel “dark web risultano […pubblicati] 389 Gigabyte di dati la cui totale riconducibilità all’ASL 1 Abruzzo è in fase di accertamento”.

Con successiva notifica integrativa del 19 maggio 2023, l’Azienda ha dichiarato di ritenere che “la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche […] a causa della potenziale compromissione di dati personali di cui agli articoli 6, 9 e 10 del Regolamento 679/2016”, rappresentando di aver proceduto a informare gli interessati ai sensi dell’art. 34 del Regolamento tramite “pubblicazione giornaliera di comunicati sul sito internet istituzionale”.

Il 24 maggio 2023 l’Ufficio ha rivolto una richiesta di informazioni all’Azienda con il fine di acquisire elementi circa le iniziative che la stessa aveva intrapreso, o intendeva intraprendere, entro un determinato termine temporale, allo scopo di:

a) valutare il rischio per i diritti e le libertà delle diverse categorie o gruppi di interessati, in relazione alla natura dei dati violati (es. anagrafici, amministrativi, contabili, credenziali di autenticazione, dati relativi alla salute, genetici, dati soggetti a maggior riservatezza e tutela di anonimato) e alla gravità e probabilità delle possibili conseguenze;

b) attenuare i possibili effetti negativi della violazione nei confronti degli interessati;

c) informare le diverse categorie o gruppi di interessati coinvolti (es. personale amministrativo e sanitario, assistiti affetti da HIV, assistiti con malattie genetiche, assistiti con malattie oncologiche, assistiti in residenza per l'esecuzione delle misure di sicurezza – REMS, assistiti residenti presso case circondariali) adottando adeguato mezzo e diversificando il contenuto della comunicazione, anche sulla base della valutazione del rischio svolta.

A tale richiesta l’Azienda ha prodotto riscontro con nota del 31 maggio 2023, fornendo le informazioni e gli elementi di seguito rappresentati.

1. Gli elementi forniti dall’Azienda

L’Azienda, con riferimento alla richiesta di cui alla lettera a), ha dichiarato che “dalle indagini condotte […] sussiste un forte sospetto di una potenziale esfiltrazione dei seguenti archivi di dati personali suddivisi per livello di rischio stimato per i diritti e le libertà dei soggetti coinvolti” e ha indicato le proprie valutazioni individuando 4 livelli di rischio (critico, alto, medio e basso) in “considerazione delle possibili conseguenze significative per i soggetti coinvolti” anche in relazione ai dati contenuti nei diversi archivi oggetto di violazione.

L’Azienda, con riferimento alla richiesta di cui alla lettera b), ha dichiarato che “nella prima fase post hackeraggio la ASL ha provveduto ad attivare immediatamente una apposita sezione informativa e di comunicazione rivolta agli utenti nella HOME PAGE del portale aziendale attualmente denominata "ATTACCO HACKER: RESTA INFORMATO" [dove] sono state pubblicate le comunicazioni”, fornendone copia. L’Azienda, inoltre ha dichiarato che “con le finalità di prevenire in modo adeguato e tempestivo l'insorgere di eventuali condizioni di disagio psicologico, conseguenti alla possibile violazione di dati personali determinata da un attacco di pirateria informatica, in linea con le indicazioni del Regolamento UE 2016/679, la Direzione Aziendale, con disposizione n. 866 del 26.05.2023 […] ha determinato, con decorrenza immediata, in ciascun ambito distrettuale del territorio di pertinenza della ASL, l'attivazione operativa di un Centro di Ascolto psicologico […] provvisto di: a) locale di attesa e accoglienza utenti e studio per colloqui psicologici; b) linea telefonica dedicata; c) personale dedicato rappresentato da uno psicologo e da un assistente sociale o figura equiparata; d)     apertura per 5 giorni a settimana, con modalità di accesso e accoglienza in presenza su 3 giorni settimanali e telefonica negli altri due giorni, con impegno orario pari a 4 ore/die” e che “sono state identificate le tre sedi dei centri di ascolto, uno per ogni ambito territoriale, con l'individuazione sia dei locali idonei a garantire riservatezza e accoglienza dell'utente, sia del nominativo della figura professionale dello psicologo, dipendente di ruolo in organico all'azienda, in possesso di adeguata formazione, con il dato specifico dei singoli recapiti telefonici tramite attivazione delle tre linee telefoniche dedicate”. Di tale iniziativa è stata data notizia il 30 maggio 2023 mediante pubblicazione sul sito internet istituzionale “consentendo una prima immediata informazione agli interessati circa le iniziative intraprese dalla ASL”.

In ultimo, con riferimento alla richiesta di cui alla lettera c), l’Azienda ha dichiarato che “sta garantendo tempestivo riscontro ad ogni singola istanza che perviene, a mezzo email e pec, dagli interessati o loro legali rappresentanti, ai sensi dell'art. 34 del Regolamento Generale sulla Protezione dei Dati Personali. Al tempo stesso, per garantire maggiore trasparenza informativa, è stato predisposto un format di lettera a contenuto diversificato in base alle categorie di interessati e relativo profilo di rischio associato (basso-medio-alto-critico) che viene consegnata dagli operatori sanitari, brevi manu, al primo contatto utile con l'assistito o familiare/tutore/amministratore a seconda dei contesti, presso le Strutture sanitarie sia Ospedaliere che Territoriali” e che il “format di lettera […] contiene, oltre alle informazioni relative alla natura della violazione, delle possibili conseguenze sui diritti e le libertà, anche le misure di attenuazione dai possibili effetti negativi, i dati di contatto del DPO e dei Centri di ascolto attivati per fornire ai richiedenti specifico supporto, tramite un percorso di assistenza psicologica e consulenza specialistica”.

OSSERVA

2. Le valutazioni dell’Autorità

Nelle more della definizione dell’istruttoria tuttora in corso, finalizzata all’approfondimento di quanto sopra illustrato e alla definizione delle responsabilità in merito all’accaduto, risulta necessario valutare la conformità delle iniziative fin qui intraprese dall’Azienda a tutela degli interessati, con particolare riferimento al pieno ed efficace assolvimento degli obblighi di comunicazione di cui all’art. 34 del Regolamento.

Al riguardo, il Regolamento suggerisce che nella valutazione del rischio siano prese in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati, e che tali rischi siano determinati in base a una valutazione oggettiva (cfr. cons. nn. 75 e 76).

In particolare, le Linee guida sulla notifica individuano i seguenti fattori da considerare – a fronte di una violazione dei dati personali – nella valutazione del rischio per i diritti e le libertà degli interessati: il tipo di violazione; la natura, il carattere sensibile e il volume dei dati personali; la facilità di identificazione degli interessati; la gravità delle conseguenze per gli interessati; le caratteristiche particolari dell’interessato; le caratteristiche particolari del titolare del trattamento dei dati; nonché il numero di interessati coinvolti.

Come ritenuto anche dall’Azienda, la violazione dei dati personali oggetto di notifica è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Ciò, tenuto conto della natura della violazione dei dati personali, delle categorie dei dati personali oggetto di violazione, delle categorie di interessati coinvolti (che si trovano anche in condizioni di vulnerabilità o fragilità), della gravità e persistenza delle possibili conseguenze per le persone fisiche che potrebbero derivare dalla violazione (quali, a esempio, discriminazione, disagio psicologico, umiliazione, danni alla reputazione o altri danni materiali o immateriali), nonché del ruolo rivestito dall’Azienda nel sistema sanitario locale, che richiede un elevato grado di responsabilizzazione al fine di garantire la fiducia nei suoi confronti da parte degli assistiti, soddisfacendo, in particolare, le legittime aspettative di trasparenza e sicurezza del trattamento.

Le stesse Linee guida sulla notifica ricordano che “in linea di principio, la violazione dovrebbe essere comunicata direttamente agli interessati coinvolti, a meno che ciò richieda uno sforzo sproporzionato. In tal caso, si procede a una comunicazione pubblica o a una misura simile che permetta di informare gli interessati con analoga efficacia” (cfr. art. 34, par. 3, lett. c), del Regolamento), richiamando le “Linee guida sulla trasparenza ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29, fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018. Queste ultime Linee guida chiariscono che il titolare dovrebbe “effettuare una valutazione mettendo sulla bilancia, da un lato, lo sforzo […] e, dall’altro, l’impatto e gli effetti […] sull’interessato”.

Al riguardo, le Linee guida sulla notifica richiamano l’attenzione dei titolari del trattamento su quanto previsto dall’art. 34, par. 3, del Regolamento, facendo presente che “conformemente al principio di responsabilizzazione, il titolare del trattamento dovrebbe essere in grado di dimostrare all’autorità di controllo di soddisfare una o più […] condizioni” per le quali non è richiesta la comunicazione della violazione dei dati personali direttamente agli interessati coinvolti. La comunicazione agli interessati rappresenta, peraltro, una delle misure che il titolare del trattamento può adottare per attenuare i possibili effetti negativi della violazione dei dati personali per gli interessati e ha come obiettivo principale quello di fornire informazioni specifiche sulle misure che gli stessi interessati possono adottare per proteggersi dalle possibili conseguenze negative di una violazione (cfr. cons. n. 86 del Regolamento).

In ogni caso, le Linee guida sulla notifica raccomandano al titolare del trattamento di “scegliere un mezzo che massimizzi la possibilità di comunicare correttamente le informazioni a tutte le persone interessate” evidenziando che “si potrebbe altresì prevedere l’adozione di disposizioni tecniche per rendere le informazioni sulla violazione disponibili su richiesta, soluzione questa che potrebbe rivelarsi utile per le persone fisiche che potrebbero essere interessate da una violazione ma che il titolare del trattamento non può altrimenti contattare”.

Le Linee guida sui casi di violazione dei dati personali evidenziano come la comunicazione agli interessati sia una buona pratica e un fattore di mitigazione in presenza di un attacco ransomware con esfiltrazione poiché “la violazione riguarda non solo la disponibilità dei dati, ma anche la riservatezza, in quanto l'autore dell'attacco può aver modificato e/o copiato i dati dal server. Pertanto, il tipo di violazione comporta un rischio elevato” e che “la natura, la sensibilità e il volume dei dati personali aumentano ulteriormente i rischi, poiché il numero di persone interessate è elevato, così come la quantità complessiva di dati personali compromessi” (cfr. parr. 42 e 43) e, laddove coinvolga dati sulla salute “compromette la segretezza del rapporto medico-paziente, e terzi non autorizzati possono accedere alle informazioni sanitarie riguardanti i pazienti, il che può avere gravi ripercussioni sulla loro vita” (cfr. par. 101).

Considerata la particolare delicatezza di alcuni dati personali oggetto di violazione e la condizione di vulnerabilità e fragilità degli interessati, che possono rendere particolarmente gravi le conseguenze nei confronti delle persone fisiche (comportando, a esempio, discriminazione, disagio psicologico, umiliazione, danni alla reputazione o altri danni materiali o immateriali), la comunicazione agli interessati richiede una graduazione e una differenziazione delle modalità con cui viene effettuata, del suo tenore e contenuto informativo, che dipendono sia da una valutazione preventiva del differente potenziale lesivo che la violazione comporta sulla platea di assistiti coinvolti, sia dai diversi canali di contatto utilizzabili.

Tutto ciò premesso, si osserva che le prime iniziative intraprese dall’Azienda per adempiere l’obbligo di comunicazione agli interessati – sebbene abbiano rappresentato una misura opportuna per informarli circa le attività svolte nell’immediato e richiamare la loro attenzione su potenziali conseguenze della violazione, offrendo un recapito dedicato al quale rivolgersi – non consentono, tuttavia, di informare efficacemente tutti gli interessati coinvolti, specialmente quelli appartenenti alle categorie per cui il rischio è stato valutato come critico, anche al fine di permettere loro di prendere le precauzioni necessarie in considerazione della diversa natura dei dati personali oggetto di violazione che li riguardano (cons. n. 86 del Regolamento; cfr. anche provv. n. 86 del 14 maggio 2020, doc. web n. 9344061).

Ciò, tenuto anche conto del fatto che, nel corso dell’istruttoria fin qui svolta, l’Azienda, pur avendo individuato in circa 1000 il numero approssimativo degli interessati coinvolti, non ha evidenziato, né comprovato in alcun modo, la sussistenza della condizione di cui all’art. 34, par. 3, del Regolamento in relazione allo sforzo sproporzionato che la predetta comunicazione richiederebbe.

L’Azienda, inoltre, non ha tantomeno dimostrato che la misura adottata abbia avuto analoga efficacia informativa  come richiesto dall’art. 34, par. 3, lett. c) del Regolamento né che fossero soddisfatte le previsioni di cui all’art. 2-duodecies, comma 2 del Codice circa la possibilità di ritardare, limitare o escludere l’adempimento della comunicazione “nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata […] per salvaguardare l’indipendenza della magistratura e dei procedimenti giudiziari“.

La scelta dell’Azienda di prevedere la consegna della comunicazione agli interessati da parte degli “operatori sanitari, brevi manu, al primo contatto utile con l'assistito o familiare/tutore/amministratore a seconda dei contesti, presso le Strutture sanitarie sia Ospedaliere che Territoriali”, mediante “un format di lettera diversificato in base alle categorie di interessati e  relativo profilo di rischio associato”, peraltro non fornito all’Ufficio, seppur rispettosa della riservatezza necessaria, non consente di raggiungere tempestivamente e utilmente la platea di interessati, in particolare quelli appartenenti alle categorie per cui il rischio è stato valutato come critico, che non si trovano nelle condizioni di avere un contatto con l’Azienda, essendo rimessa all’iniziativa dei singoli che via via le si rivolgono.

RITENUTO

Alla luce dell’esame delle circostanze portate all’attenzione dell’Autorità e delle considerazioni svolte, in attesa del perfezionamento della notifica di violazione dei dati personali, si ravvisano la necessità e l’urgenza di ingiungere all’Azienda, ai sensi dell’art. 58, par. 2, lett. e), del Regolamento, di comunicare individualmente a tutti gli interessati coinvolti (di cui l’Azienda ha evidenza allo stato o ne avrà in futuro) la violazione dei dati personali, descrivendone la natura e le possibili conseguenze, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonché fornendo informazioni sulle misure adottate per porre rimedio alla violazione e per attenuarne i possibili effetti negativi.

Tale comunicazione dovrà essere effettuata nelle modalità che l’Azienda riterrà più opportune in relazione alle diverse condizioni soggettive degli interessati cui si rivolgerà, comunque rispettose della riservatezza e volte a prevenire possibili impatti psicologici, individuando un ordine di priorità e una tempistica eventualmente differenziata e proporzionata al rischio, venendo comunque rivolta individualmente a ciascun interessato cui si riferiscano, tra i dati oggetto della violazione, quelli individuati dallo stesso titolare come idonei, in caso di diffusione illecita, a produrre livelli di rischio “critico” e “alto”.

Agli interessati ai quali si riferiscono dati, oggetto di violazione, cui il titolare ha associato un livello di rischio inferiore ad “alto” dovrà parimenti essere rivolta una comunicazione  individuale salvo il caso di valutazione da parte del titolare di eccessiva onerosità e, in tal caso, la comunicazione individuale potrà essere sostituita con un’azione informativa che comprenda un  avviso da pubblicarsi per almeno due settimane a giorni alterni sui due quotidiani più letti della regione, passaggi televisivi con altrettanta frequenza e durata sulle emittenti più seguite della regione e una campagna social mirata. La medesima azione informativa potrà essere rivolta, con opportuna modulazione, anche agli interessati irreperibili compresi nella fascia di rischio “critico” e “alto”.

Si richiede, altresì, che tali scelte e le attività conseguenti vengano documentate nel rispetto del principio di responsabilizzazione.

Si ritiene, pertanto, necessario disporre in via d’urgenza – essendo la notifica di cui all’art. 166, comma 5, del Codice, incompatibile con la natura e finalità del presente provvedimento, tenuto conto che le modalità di comunicazione agli interessati ai sensi dell’art. 34 del Regolamento individuate al momento dall’Azienda possono arrecare un effettivo, concreto, attuale e rilevante pregiudizio ai medesimi che non sono stati finora informati, considerati i possibili rischi di discriminazione, disagio psicologico, umiliazione, danni alla reputazione o altri danni materiali o immateriali derivanti dalla compromissione della riservatezza dei dati personali – che la predetta comunicazione sia effettuata senza ritardo, nelle modalità sopra descritte, e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, con riserva di ogni altra determinazione, anche sanzionatoria, all’esito della definizione dell’istruttoria avviata sul caso.

Si ricorda che, ai sensi dell’art. 83, par. 6, del Regolamento, “l'inosservanza di un ordine da parte dell’autorità di controllo ai sensi dell'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore”.

Si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi dell’art. 58, par. 2, lett. e), del Regolamento, ingiunge alla Azienda di comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, la violazione dei dati personali in esame agli interessati coinvolti e raggiungibili, nei termini di cui in premessa;

2) ai sensi dell’art. 157 del Codice, ingiunge altresì alla Azienda di fornire all’Autorità, entro venti giorni dalla data di ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto disposto al punto 1). Si ricorda che il mancato riscontro alla presente richiesta può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;

3) dispone l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 8 giugno 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei