Le notizie dell’attacco hacker subito dall’ASL 1 di Avezzano, Sulmona, L’Aquila si susseguono da giorni in un crescendo di particolari inquietanti che purtroppo sono coerenti con i dati sugli attacchi informatici rilasciati dal rapporto sulla cyber sicurezza del Clusit.
Indice degli argomenti
Il contesto cyber
I ricercatori indicano un aumento in Italia degli attacchi informatici del 169% nel 2022 rispetto al 2021, con una media mensile di 207 incidenti di sicurezza che, nell’80% dei casi costituivano incidenti gravi o critici.
Tra i settori maggiormente colpiti vi è la Sanità che da sola raccoglie con il 12% degli attacchi del 2022, con valori in crescita percentuale del 16% rispetto al 2021.
ASL 1 Abruzzo, le vite di mille pazienti violate su internet
L’attacco hacker dell’ASL 1 Regione Abruzzo
Il 3 maggio scorso, l’ASL 1 di Avezzano, Sulmona, L’Aquila ha reso noto di aver subito un attacco ransomware che ha reso indisponibili i sistemi informatici.
Nei giorni successivi, il gruppo di cybercriminali Monti ha riferito di aver esfiltrato i dati personali contenuti nei database violati e, per giustificare la propria richiesta di riscatto, ha iniziato a rilasciare evidenze, sempre più gravi, dei dati in proprio possesso.
Allo scadere del termine per il pagamento del riscatto, stante l’avvenuto mancato pagamento da parte dell’ASL, gli attaccanti hanno rilasciato sul dark web l’intero contenuto dell’esfiltrazione.
Si tratterebbe di circa 520 GB di dati tra cui cartelle cliniche, referti di analisi genetiche, valutazioni psicologiche di minori documenti di inventario e modelli e schemi documentali che gli ambulatori e gli uffici dell’ASL utilizzavano per rilasciare certificazioni, referti, e la documentazione inerente alle prestazioni mediche.
Si sono susseguite le dichiarazioni da parte delle Autorità nell’invitare a non scaricare il contenuto di quei dati illegalmente sottratti e persino il Garante per la protezione dei dati personali è intervenuto con un comunicato stampa ricordando che il download o la diffusione di quei file così riservati è un reato.
L’ASL 1 della Regione Abruzzo ha proceduto a comunicare la violazione subita anche agli interessati e ne ha pubblicato il contenuto su una pagina del proprio sito web in cui fornisce aggiornamenti sullo sviluppo della vicenda.
Sui social e più in generale dal web arrivano notizie sui confronti che gli utenti stanno avendo con degli avvocati per la tutela dei propri diritti.
Pubblicati 8,3 GB di dati trafugati dall’ASL 1 Abruzzo, attaccata dal ransomware Monti
Gli strumenti a disposizione degli interessati
Il GDPR prevede due strumenti per la tutela degli interessati:
- Il reclamo, previsto dagli articoli 77 GDPR e dagli articoli 141, 142, 143 del Codice privacy (D.lgs. 196/2003) che prevede la possibilità per l’interessato di chiedere all’Autorità Garante per la protezione dei dati personali di accertare la violazione di un diritto che il Regolamento riconosce agli interessati o la violazione delle norme in materia di trattamento dei dati personali da parte del Titolare del trattamento.
- In alternativa, il GDPR riconosce all’articolo 79 GDPR ricorso giurisdizionale nei confronti del titolare del trattamento e all’articolo 82 GDPR il diritto al risarcimento del danno prevedendo che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.
La tutela giurisdizionale e il risarcimento del danno
La tutela giudiziaria è alternativa al reclamo innanzi all’Autorità Garante per la protezione dei dati personali; pertanto, al momento di incardinare la domanda, l’interessato dovrà scegliere se chiedere all’Autorità garante l’accertamento della violazione o agire in via giudiziale per ottenere il risarcimento del danno.
Il Garante non è competente a decidere in materia di risarcimento del danno, la cui valutazione è rimessa integralmente all’autorità giudiziaria.
L’articolo 79 GDPR su cui si fonda il potere dell’interessato di ricorrere in giudizio nei confronti del titolare del trattamento per le violazioni del Regolamento dispone che: “Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento.”
Il considerando 146 del Regolamento, inoltre, chiarisce che il titolare del trattamento dovrebbe risarcire i danni cagionati da un trattamento non conforme e, al tempo stesso, precisa che il titolare è esonerato dalla responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile, ciò conformemente alle regole generali sulla causalità risarcitoria.
Il considerando 146 continua prevedendo che “gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito”.
Sono previsti altresì dei criteri di ripartizione della responsabilità nel caso in cui vi siano più titolari del trattamento o il danno sia cagionato dal responsabile del trattamento prevedendo che “il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni titolare del trattamento o responsabile del trattamento per il danno cagionato dal trattamento, a condizione che sia assicurato il pieno ed effettivo risarcimento dell’interessato che ha subito il danno”.
Il danno oggetto di risarcimento
Il GDPR ha un approccio basato sul rischio, prevedendo degli obblighi di conformità che cercano di anticipare il momento della tutela.
In particolare, il considerando 75 ci illustra la natura fisica, materiale e non materiale dei danni che possono concretizzarsi a seguito del verificarsi dell’evento rischioso. Vengono elencati una serie di possibili danni, quali:
- discriminazioni,
- furto o usurpazione d’identità,
- perdite finanziarie,
- pregiudizio alla reputazione,
- perdita di riservatezza dei dati personali protetti da segreto professionale,
- decifratura non autorizzata della pseudonimizzazione,
- o qualsiasi altro danno economico o sociale significativo;
- se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano;
- se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza;
- in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori;
- se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.
Come si vede, i possibili danni cagionati da una violazione di dati personali sono molteplici e per ciascuno di essi il titolare è responsabile, salvo che non provi che il danno non gli è in alcun modo imputabile.
Ovvero che ha adottato le misure di sicurezza tecniche e organizzative adeguate al rischio, secondo i parametri indicati dall’articolo 32 GDPR (lo stato dell’arte, i costi di attuazione, la natura, l’oggetto, il contesto e le finalità del trattamento, nonché i rischi di varia probabilità e gravità).
Calare questi obblighi nel contesto di un ASL che tratta dati particolari di cittadini e soggetti vulnerabili come minori e detenuti richiede una serie di valutazioni la cui adeguatezza sarà misurata dall’Autorità a seguito della segnalazione del data breach.
Il considerando 85 infatti sulle violazioni di dati personali ricorda che “una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.
La posizione della giurisprudenza
Vale la pena di sottolineare, tuttavia, che la giurisprudenza – italiana ed europea – ha più volte sottolineato come non sia sufficiente limitarsi a dedurre il danno da violazione del trattamento, ma che occorra anche provare di aver subito un pregiudizio concreto, non essendo possibile considerare il danno in re ipsa.
Asl Abruzzo, il disastro è completo: pubblicati tutti i dati
La giurisprudenza della Corte di giustizia dell’Unione Europea
La sentenza della Corte di giustizia del 4 maggio 2023 (pronunciata nella causa C-300/21) ha affrontato la questione sollevata da un giudice di merito austriaco che ha domandato di valutare:
1) Se ai fini del riconoscimento di un risarcimento ai sensi dell’articolo 82 del RGPD (…) occorra, oltre a una violazione delle disposizioni del RGPD, che il ricorrente abbia patito un danno, o se sia già di per sé sufficiente la violazione di disposizioni del RGPD per ottenere un risarcimento.
2) Se esistano, per quanto riguarda il calcolo del risarcimento, altre prescrizioni di diritto dell’Unione, oltre ai principi di effettività e di equivalenza.
3) Se sia compatibile con il diritto dell’Unione la tesi secondo cui il presupposto per il riconoscimento di un danno immateriale è la presenza di una conseguenza o di un effetto della violazione di un diritto avente almeno un certo peso e che vada oltre l’irritazione provocata dalla violazione stessa.
In relazione alla prima questione, la Corte precisa che dalla lettura dell’articolo 82 GDPR emerge chiaramente che sono necessarie tre condizioni: il danno, che sia stato subìto, da una violazione (ovvero il nesso causale tra la violazione e il danno).
Tra le questioni preliminari, la Corte evidenzia la natura precettiva dell’articolo 82 GDPR in quanto il testo della disposizione normativa non rinvia in alcun modo al diritto interno e pertanto la sua applicazione deve essere uniforme in tutta l’Unione, cambiando solo le regole processuali per l’esercizio del diritto al risarcimento del danno, ma non l’esistenza stessa del diritto.
La Corte sottolinea che la previsione dell’articolo 82 GDPR perderebbe di ogni utilità se la mera violazione delle norme del regolamento costituisse un danno, perché costituirebbe una duplicazione sanzionatoria rispetto alle previsioni degli articoli 77 e 78 del Regolamento che, infatti, non fanno riferimento all’esistenza di un danno per l’interessato.
La Corte di giustizia passa all’esame della terza questione sulla risarcibilità del danno immateriale che abbia una certa rilevanza. Sul punto, dopo aver richiamato il considerando 146 che richiede che il danno venga interpretato in modo da rispecchiare gli obiettivi del Regolamento, la Corte sottolinea come un’interpretazione restrittiva che ancori il risarcimento del danno ai danni di una certa gravità, andrebbe contro gli obiettivi del Regolamento.
Tuttavia, precisa, ciò non significa che l’interessato sia dispensato dal dimostrare il danno. In altre parole, il danno, materiale o immateriale, deve essere dedotto e dimostrato dall’interessato in tutti i suoi elementi.
La Corte dichiara che: “L’articolo 82, paragrafo 1, del regolamento 2016/679 deve essere interpretato nel senso che: esso osta a una norma o una prassi nazionale che subordina il risarcimento di un danno immateriale, ai sensi di tale disposizione, alla condizione che il danno subito dall’interessato abbia raggiunto un certo grado di gravità“.
Un cyberattacco blocca la Sanità lombarda, il caso Multimedica
L’ultima questione analizzata dalla sentenza riguarda i criteri per determinare il quantum risarcitorio. La Corte chiarisce che il GDPR non contiene parametri per quantificare il danno che siano applicabili a tutti gli Stati membri e, pertanto, sarà ogni ordinamento nazionale a dover applicare i propri parametri di quantificazione dello stesso.
L’unico parametro presente nel regolamento è sempre nel considerando 146 che definisce il risarcimento del danno come uno strumento per garantire un “pieno ed effettivo risarcimento per il danno subito”.
La Corte, pertanto, dichiara che “l’articolo 82 del RGPD deve essere interpretato nel senso che, ai fini della determinazione dell’importo del risarcimento dovuto in base al diritto al risarcimento sancito da tale articolo, i giudici nazionali devono applicare le norme interne di ciascuno Stato membro relative all’entità del risarcimento pecuniario, purché siano rispettati i principi di equivalenza e di effettività del diritto dell’Unione.”
La giurisprudenza italiana
La decisione della Corte di giustizia è interessante perché potrebbe far mutare l’orientamento finora saldamente mantenuto dalla Corte di Cassazione.
Infatti, continuando sul solco delle storiche sentenze delle Sezioni Unite sul danno non patrimoniale (SS.UU. 26972/2008), la Cassazione ha costantemente richiamato i criteri per la risarcibilità del danno non patrimoniale stabiliti dalle Sezioni Unite richiedendo
- che l’interesse leso, attinente a diritti inviolabili della persona, sia di rango costituzionale;
- che sussista una lesione grave, con offesa che superi la soglia minima di tollerabilità;
- che si tratti di danno non futile, cioè non consistente in meri disagi o fastidi;
- che vi sia una specifica allegazione sulla natura e sulle caratteristiche del pregiudizio, non potendo mai ritenersi il danno in re ipsa[1];
Anche in relazione alla risarcibilità dei danni derivanti dalla violazione delle norme a protezione dei dati personali la Corte di Cassazione da tempo ha stabilito che il danno “pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost. e dall’art. 8 della CEDU, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno”, in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost., di cui quello di tolleranza della lesione minima è intrinseco precipitato, sicché determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dall’art. 11 del codice della privacy, ma solo quella che ne offenda in modo sensibile la sua portata effettiva, restando comunque il relativo accertamento di fatto rimesso al giudice di merito (vedi Cass. n. 17383 del 20/08/2020).”
È chiaro che la sentenza della Corte di giustizia è destinata ad incidere su questi aspetti, aprendo il varco alla risarcibilità di danni derivanti dalle violazioni di lieve entità con il fine di assicurare quella tutela piena ed effettiva commisurata al danno che auspica il Regolamento nelle sue premesse.
Il cambio di orientamento potrebbe altresì sensibilizzare i titolari e i responsabili del trattamento a non sottovalutare la responsabilità derivante dal mancato rispetto della normativa. Questi ultimi, infatti, potrebbero trovarsi esposti a richieste risarcitorie e class-action, soprattutto in occasione di violazioni che riguardino un ampio numero di interessati.
NOTE
Cass. 29206/2091, v.d. anche Cass. n. 29832 del 19/12/2008, Cass. n. 20684 del 25/09/2009 ↑