La ASL 1 Abruzzo ha 15 giorni di tempo per comunicare alle persone coinvolte la violazione dei propri dati personali: lo ha stabilito il Garante privacy in seguito al data breach che ha interessato l’Azienda sanitaria abruzzese.
Un provvedimento importante in quanto chiarisce che una comunicazione pubblica, per quanto tempestiva e successivamente aggiornata come quella che l’Azienda sanitaria abruzzese ha pubblicato sul proprio sito web, non può essere realmente efficace per comunicare agli interessati un’esfiltrazione dei loro dati personali in seguito a un attacco ransomware.
Il data breach dell’ASL Abruzzo e il risarcimento del danno da violazione del GDPR
Indice degli argomenti
Data breach all’ASL 1 Abruzzo: il susseguirsi degli eventi
Come sappiamo, il cinque maggio scorso l’ASL 1 Abruzzo ha notificato al Garante privacy, ai sensi dell’art. 33 del Regolamento europeo sulla protezione dei dati (GDPR), l’attacco ransomware subìto ad opera del gruppo hacker “Monti”.
Con successiva notifica integrativa del 19 maggio 2023, l’Azienda ha dichiarato di ritenere che la violazione fosse suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche a causa della potenziale compromissione di dati personali di cui agli articoli 6, 9 e 10 del Regolamento 679/2016 e per questo motivo ha effettuato la comunicazione agli interessati ai sensi dell’art. 34 del Regolamento.
Questa però è avvenuta solo tramite la pubblicazione sul proprio sito internet di un comunicato stampa con alcuni successivi aggiornamenti, senza contattare direttamente gli interessati che, dunque, anche solo per avere conoscenza dell’accaduto avrebbero dovuto visitare il sito dell’azienda sanitaria.
Solo il 31 maggio e dopo una richiesta di informazioni da parte del Garante, l’ASL ha rappresentato il sospetto di esfiltrazione dei dati personali ma anche in questo caso la comunicazione agli interessati si è limitata alla pubblicazione di comunicati sul sito internet dell’ente e alla predisposizione di un template di lettera a contenuto diversificato in base alle categorie di interessati e al relativo profilo di rischio associato (basso-medio-alto-critico), con l’indicazione dei recapiti del DPO, e dei centri d’ascolto attivati per l’occasione e delle informazioni sulle possibili conseguenze sui diritti e le libertà, da consegnare all’interessato, brevi manu, ma solo al primo contatto utile.
Quindi, di nuovo, avrebbe dovuto attivarsi direttamente l’interessato, che nel frattempo sarebbe rimasto potenzialmente ignaro della violazione dei dati.
E infatti, proprio sotto il profilo del pieno ed efficace assolvimento degli obblighi di comunicazione, l’Autorità Garante, con il provvedimento in commento, non ha valutato come conformi all’art. 34 del Regolamento, le iniziative fin qui intraprese dall’Azienda a tutela degli interessati.
Data breach: una comunicazione pubblica non è efficace
Le pubblicazione di comunicati stampa e aggiornamenti sul sito internet e la formazione di un modello di comunicazione agli utenti, con l’indicazione un recapito dedicato al quale rivolgersi sebbene nell’immediato siano state iniziative utili a richiamare l’attenzione degli interessati sull’accaduto e sulle potenziali conseguenze della violazione, tuttavia secondo l’Autorità non consentono di informare tempestivamente tutti gli interessati coinvolti, specialmente quelli appartenenti alle categorie per cui il rischio è stato valutato come critico, anche al fine di permettere loro di prendere le contromisure e precauzioni necessarie per cercare di minimizzare i rischi, anche in considerazione della diversa natura dei dati personali oggetto di violazione che li riguardano.
D’altra parte, è la stessa normativa a protezione dei dati personali a suggerire che nella valutazione del rischio siano prese in considerazione la probabilità e la gravità dei rischi per i diritti e le libertà degli interessati, e che tali rischi siano determinati in base a una valutazione oggettiva.
E con riferimento al caso di specie è davvero difficile sostenere che:
- la violazione dei dati personali avvenuta non sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, tenuto conto della natura della violazione, delle categorie dei dati personali oggetto di violazione, delle categorie di interessati coinvolti che adesso oltre a trovarsi in una situazione di pericolo in quanto possibili mire di attività estorsive da parte degli attaccanti o di qualsiasi altra persona venuta in contatto con i dati rilasciati nel dark web, già si trovavano condizioni di particolare vulnerabilità;
- lo sforzo che l’Asl avrebbe dovuto sostenere per informare i singoli interessati della violazione sarebbe maggiore della gravità e della persistenza delle possibili conseguenze che gli interessati potrebbero dover sostenere in conseguenza della violazione (discriminazione, disagi, danni reputazionali o altri danni materiali o immateriali).
Questo anche in considerazione del fatto che una delle finalità proprie della comunicazione agli interessati ex art. 34 gdpr è la minimizzazione delle conseguenze negative del data breach tramite l’indicazione agli utenti di possibili misure da attuare per tutelarsi al meglio.
Anzi nel corso dell’istruttoria, l’azienda sanitaria abruzzese, non ha comprovato in alcun modo la sussistenza della condizione di cui all’art. 34, par. 3, del Regolamento in relazione allo sforzo sproporzionato che la predetta comunicazione richiederebbe.
Come deve essere fatta la comunicazione agli interessati
Secondo il Considerando n. 86 del GDPR «Il Titolare del trattamento dovrebbe comunicare all’interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie. La comunicazione dovrebbe descrivere la natura della violazione dei dati personali e formulare raccomandazioni per la persona fisica interessata intese ad attenuare i potenziali effetti negativi».
E lo stesso art. 34 del GDPR prescrive che «Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo».
L’art. 34 GDPR prescrive, oltre alla notifica effettuata nelle modalità di cui all’art. 33, la comunicazione agli interessati laddove la violazione presenti un rischio elevato per i diritti e le libertà delle persone fisiche.
La “soglia” per la comunicazione è quindi più elevata rispetto a quella della mera notifica all’Autorità di controllo, pertanto, non tutte le violazioni devono essere comunicate agli interessati.
Il Regolamento prescrive, inoltre, che la comunicazione debba avvenire «senza ingiustificato ritardo», il che significa il prima possibile anche per raggiungere l’obiettivo principale di questo tipo di comunicazione che consiste nel fornire agli interessati i cui dati siano stati oggetto di violazione informazioni specifiche sulle misure che questi possono adottare per proteggersi dalle conseguenze negative della violazione stessa.
Ci sono delle circostanze nelle quali questa comunicazione non è richiesta ovvero quando viene soddisfatta una delle seguenti condizioni (art. 34, par. 3):
- il titolare del trattamento ha messo in atto misure tecniche ed organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
- il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;
- detta comunicazione richiederebbe sforzi sproporzionati. Solo in questo caso si può procedere a una comunicazione pubblica o ad una simile, tramite la quale gli interessati sono informati con analoga efficacia.
Come stabilito dall’art. 34, par. 3 GDPR la comunicazione dovrebbe essere effettuata direttamente agli interessati coinvolti, a meno che richieda uno sforzo sproporzionato. In tal caso si procede a una comunicazione pubblica o ad una simile, tramite la quale gli interessati sono informati con analoga efficacia.
Nel caso di specie, però, l’Azienda non ha mai dimostrato che la misura adottata della pubblicazione di news sul proprio sito abbia avuto analoga efficacia informativa rispetto alla comunicazione diretta agli interessati, né che fossero soddisfatte le previsioni di cui all’art. 2-duodecies, comma 2 del Codice circa la possibilità di ritardare, limitare o escludere l’adempimento della comunicazione “nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata […] per salvaguardare l’indipendenza della magistratura e dei procedimenti giudiziari”.
Un punto importantissimo da tenere in considerazione è che nel comunicare la violazione si devono utilizzare messaggi dedicati allo scopo che non devono essere inviati insieme ad altre informazioni.
Quest’obbligo di notifica ha una serie di vantaggi: all’atto della notifica della violazione di dati all’autorità di controllo, il titolare del trattamento può chiedere sull’eventuale necessità di informare le persone fisiche interessate. E in effetti l’autorità di controllo può ordinare, come avvenuto nel caso de quo, al titolare del trattamento di informare le persone fisiche interessate dalla violazione.
Cosa dice il provvedimento del Garante
Tenuto conto che questa modalità di comunicazione pubblica agli interessati adottata all’asl può arrecare un effettivo, concreto, attuale e rilevante pregiudizio agli utenti che non sono stati finora informati, e considerati i possibili rischi di discriminazione, disagio psicologico, umiliazione, danni alla reputazione o altri danni materiali o immateriali derivanti dalla compromissione della riservatezza dei dati personali, l’Autorità ha ravvisato la necessità e l’urgenza di ingiungere all’Azienda di comunicare individualmente, senza ritardo e comunque entro quindici giorni agli interessati coinvolti e raggiungibili, la violazione dei dati personali, descrivendone la natura e le possibili conseguenze, fornendo i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto appositamente istituito presso cui ottenere più informazioni, nonché fornendo informazioni sulle misure adottate per porre rimedio alla violazione e per attenuarne i possibili effetti negativi.
Tale comunicazione, ha prescritto il Garante, dovrà essere effettuata anche in base alle diverse condizioni soggettive degli interessati cui si rivolgerà, individuando un ordine di priorità e una tempistica proporzionata al rischio: in particolare dovrà essere inviata individualmente agli interessati i cui dati oggetto di violazione rientrano nelle categorie individuate dall’Asl, in caso di illecita diffusione, come fonte di livelli di rischio “critico” o “alto”.
Mentre agli interessati ai quali si riferiscono dati, oggetto di violazione, cui il titolare ha associato un livello di rischio inferiore ad “alto” dovrà essere rivolta una comunicazione individuale salvo il caso di valutazione da parte del titolare di eccessiva onerosità.
Solo in questo caso la comunicazione potrà consistere in avvisi pubblici da pubblicarsi in TV o sui quotidiani maggiormente diffusi.
Tali attività dovranno essere documentate nel rispetto del principio di responsabilizzazione.
In ogni caso, l’Autorità Garante si è riservata ogni altra decisione da emanare al termine dell’istruttoria sul data breach.
