Il Garante della privacy sanziona la mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e di protezione dei dati fin dalla progettazione, riaffermando il principio del “privacy by design” (Garante privacy, nota 23 ottobre 2023, n. 512).
La “Privacy by design” ha lo scopo di garantire l’esistenza di un corretto livello di privacy e protezione dei dati personali fin dalla fase di progettazione (design) di qualunque sistema, servizio, prodotto o processo, così come durante il loro ciclo di vita. In altre parole, il principio di Privacy by design punta a garantire un corretto livello di protezione dei dati in tutte le attività di trattamento e attuazioni effettuate all’interno di una organizzazione.
La vicenda portata all’attenzione del Garante è quella di una struttura sanitaria che aveva subito un attacco ransomware che, attraverso un virus, aveva limitato l’accesso al data base della struttura e richiesto un riscatto per ripristinare il funzionamento dei sistemi.
Il Garante della privacy riafferma il principio secondo cui si deve innanzitutto prevenire eventuali problemi già nella fase iniziale, quindi la fase di progettazione dei sistemi di sicurezza informatica di un’azienda: viene pertanto sanzionata con una multa di 30.000 euro la Asl napoletana per non aver protetto adeguatamente da attacchi hacker i dati personali e sanitari di 842.000 tra assistiti e dipendenti.
A seguito delle verifiche sulle misure tecniche e organizzative adottate dalla Asl sia prima che dopo l’attacco subito, il Garante ha evidenziato la mancata adozione di misure adeguate a rilevare tempestivamente la violazione dei dati personali e a garantire la sicurezza delle reti, anche in violazione del principio della protezione dei dati fin dalla progettazione (privacy by design).
Infatti, durante l’attività ispettiva, era emerso che l’accesso alla rete tramite vpn avveniva mediante una procedura di autenticazione basata solo sull’utilizzo di username e password. Inoltre, la carenza di segmentazione delle reti aveva causato la propagazione del virus all’intera infrastruttura informatica.
Nel sanzionare l’illecito il Garante ha tenuto conto, tra l’altro, del fatto che il data breach aveva riguardato dati idonei a rilevare informazioni sulla salute di un numero molto rilevante di interessati.
Dopo l’accaduto, l’azienda ha adottato una serie di misure volte non solo ad attenuare il danno subito dagli interessati, ma anche a ridurre la replicabilità dell’evento stesso, tra le quali l’attivazione di una procedura di accesso alla rete tramite vpn con doppio fattore di autenticazione.