Data breach e obblighi di comunicazione agli interessati, il Garante Privacy fa chiarezza
In caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione all'Autorità Garante per la protezione dei dati personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche
Con il recente provvedimento n. 255 del giorno 8 giugno 2023, l'Autorità Garante per la protezione dei dati personali si è espressa su un caso di data breach riguardante dati sanitari di circa 1000 pazienti trattati da una ASL.
Un gruppo di hacker aveva utilizzato un sofisticato ransomware progettato per crittografare i dati della ASL e richiedere un riscatto in bitcoin per gli strumenti di decrittazione.
Il gruppo di hacker aveva poi pubblicato nel dark web una rilevante mole dati (389 Gigabyte) probabilmente riconducibili alla ASL interessata dalla violazione.
Come è noto, in caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione all'Autorità Garante per la protezione dei dati personali senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.
Inoltre, quando la violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte, il titolare del trattamento deve comunicare la violazione all'interessato senza ingiustificato ritardo, salvo che ricorrano alcune ipotesi meglio illustrate all'art. 34 del Regolamento europeo 679/2016, tra cui il caso in cui la comunicazione individuale imponga uno sforzo sproporzionato.
In tal caso, si può procedere a una comunicazione pubblica o a una misura simile che permetta di informare gli interessati con analoga efficacia.
Una delle questioni che si è posta nel caso di specie è proprio se fosse lecito comunicare la violazione agli interessati mediante una comunicazione pubblica, come ad esempio la pubblicazione sul sito dell'ente o su un quotidiano, o se fosse indispensabile contattare personalmente tutti gli interessati coinvolti (più di mille).
Il titolare del trattamento deve infatti scegliere un mezzo di comunicazione agli interessati tale da massimizzare la possibilità di raggiungere tutte le persone interessate, evidenziando che "si potrebbe altresì prevedere l'adozione di disposizioni tecniche per rendere le informazioni sulla violazione disponibili su richiesta, soluzione questa che potrebbe rivelarsi utile per le persone fisiche che potrebbero essere interessate da una violazione ma che il titolare del trattamento non può altrimenti contattare".
Per rispondere alla questione posta, il Garante si sofferma sul grado di rischio delle singole informazioni hackerate, richiamando le Linee guida del Comitato europeo sulla notifica delle violazioni dei dati personali del 28 Marzo 2023 (n. 9/2022) e le Linee guida su esempi riguardanti la notifica di una violazione dei dati personali del 14 dicembre 2021.
In particolare, le Linee guida invitano il titolare del trattamento a considerare il tipo di violazione; la natura, il carattere sensibile e il volume dei dati personali; la facilità di identificazione degli interessati; la gravità delle conseguenze per gli interessati; le caratteristiche particolari dell'interessato; le caratteristiche particolari del titolare del trattamento dei dati; nonché il numero di interessati coinvolti.
Nel caso di specie, il data breach si era risolto in un attacco ransomware con esfiltrazione dei dati sanitari di circa mille pazienti. In casi analoghi, le Linee guida hanno evidenziato come la comunicazione agli interessati sia una buona pratica e un fattore di mitigazione in presenza di un attacco ransomware con esfiltrazione, poiché l'autore dell'attacco può aver modificato o copiato i dati dal server.
Concernendo dati sanitari, si tratta quindi di un tipo di violazione comportante un rischio elevato, tenuto conto della natura, della sensibilità e del volume dei dati personali coinvolti.All'esito del procedimento, quindi, il Garante ha prescritto al titolare di trattamento di contattare individualmente gli interessati, in tutti i casi considerati dal predetto a rischio alto o critico.
Con riferimento ai casi di rischio inferiore, il Garante ha acconsentito a procedere mediante comunicazione pubblica, con avviso da pubblicarsi per almeno due settimane a giorni alterni sui due quotidiani più letti della regione, passaggi televisivi con altrettanta frequenza e durata sulle emittenti più seguite della regione e una campagna social mirata.
Il provvedimento in esame ha il solo scopo di provvedere in via d'urgenza alla gestione del data breach, fermo restando ogni ulteriore potere istruttorio e sanzionatorio demandato all'Autorità Garante.
*a cura Avv. Alessandro Candini - DigitalMediaLaws
Francesca Gaudino
Il Sole 24 OreFrancesca De Luca
Questioni Risolte