g-docweb-display Portlet

Provvedimento del 22 luglio 2021 [9693442]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9693442]

Provvedimento del 22 luglio 2021

Registro dei provvedimenti
n. 277 del 22 luglio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. La violazione di dati personali

La società Athena Spa, struttura sanitaria privata (di seguito anche solo Athena o Società), ha notificato una violazione di dati personali, ai sensi dell’art. 33 del Regolamento, fornendo successivamente elementi integrativi alla prima notificazione, ai sensi dell’art. 33, par. 4 del Regolamento (notificazione del 28 luglio 2020 e nota del 5 novembre 2020)

In tali ambiti, Athena ha dichiarato, ai sensi dell’art. 168 del Codice, che la violazione (avvenuta in data 24 luglio 2020 e conosciuta in data 25 luglio 2020 alle ore 06:00, per il tramite del responsabile della protezione dei dati) è consistita in un’azione intenzionale esterna. In particolare, si è trattato di un “attacco cibernetico ransomware criptolocker, su servizio applicativo mail”, mediante la ricezione e la successiva apertura di “una email contenente il malware” su una casella di posta elettronica di dominio “clinicathena.it”.

La violazione ha determinato la perdita di disponibilità di circa n. 30 dati personali, anche relativi alla salute, di n. 29 pazienti della clinica. Nello specifico, i dati violati concernono “l’anamnesi ed esame obiettivo del paziente, l’anamnesi familiare, l’anamnesi fisiologica, parte del diario clinico, la scheda di rilevazione dei parametri vitali, parte del diario infermieristico e la “scheda unica terapia”.

Athena ha indicato quali sono state le infrastrutture oggetto dell’attacco (i server di dominio fisico; i server bollino - 3 macchine virtuali; il sistema dispositivi nas - network attached storage, dedicati alle copie del database di "bollino"; picture archiving and communication system; i pc client di alcuni uffici e laboratori ubicati sia nella struttura originaria che nel cd. palazzo di vetro) e alcune delle misure di sicurezza in uso al momento dello stesso (firewall hardware a monte della rete della struttura - zyxel usg40; server di dominio con limitazioni di accesso mediante password complesse; sistema antivirus e antispam su tutte le postazioni - eset nod32).

La Società Athena ha dichiarato che la violazione non ha comportato la “perdita di confidenzialità dei dati sanitari dei pazienti”, in quanto ha valutato che, tenuto conto della durata dell’attacco -di poi interrotto dalla tempestiva disconnessione dalla rete dei sistemi “infetti”- oltre alla cifratura dei dati non vi è stato tempo per gli attaccanti di operare anche un’illecita estrazione.

La Società ha rappresentato quindi di non aver comunicato la violazione agli interessati in quanto non vi è stata perdita di confidenzialità dei dati sanitari, ma solo una perdita di disponibilità causata della cifratura malevola. La Società ha dichiarato che tale perdita di disponibilità dei dati sanitari non avrebbe comunque compromesso la possibilità di trattare e dimettere regolarmente i pazienti. La Società ha, inoltre, dichiarato che i pazienti, i cui dati sanitari sono stati coinvolti nella violazione e che successivamente hanno fatto accesso alle proprie cartelle cliniche, sono stati informati della momentanea impossibilità di dare riscontro alle loro istanze, limitatamente ai dati resi indisponibili dalla violazione occorsa.

Oltre alle misure tecniche e organizzative per garantire la sicurezza dei dati e dei sistemi coinvolti, la Società ha descritto, in particolare, le misure tecniche e organizzative adottate (o di cui si propone l’adozione) per porre rimedio alla violazione e ridurne gli effetti negativi per gli interessati nonché quelle per prevenire simili violazioni future.

Sotto un primo profilo, è stato rappresentato che si è proceduto a:

“ricreazione del dominio (...)”;

“ripristino di tutti i server” (...);

“cambio delle password con aumento della complessità delle stesse”;

“implementazione del sistema copie su nas”;

“implementazione delle copie su hd esterno usb”;

“ripristino di tutti i terminali interessati dall'attacco mediante formattazione degli stessi”;

“è stato conferito un mandato ad una società specializzata in recupero dati informatici per cercare di decriptare i dati”.

Sotto altro profilo, con riferimento alle misure descritte per la prevenzione di simili incidenti di sicurezza adottate o di cui si propone l’adozione, è stata rappresentata:

- l’“implementazione intero sistema di backup (...);

- la disattivazione di “tutte le connessioni da remoto in attesa della predisposizione rete vpn;

- la designazione di una “società specializzata in privacy e sicurezza dei dati per rivedere e migliorare le procedure (...)”;

- la previsione di un “corso di formazione del personale in materia di ciber security”;

- l’“adozione di un sistema firewall più efficace nel filtraggio dei protocolli per la gestione della posta elettronica dotato di un evoluto filtro antispam in modo da ridurre al minimo il rischio di ransomware criptolocker su servizio applicativo email”;

- la “predisposizione rete vpn per connessioni da remoto”;

- la miglioria “del protocollo organizzativo di monitoraggio sulla cibersecurity secondo le direttive nist basato su controlli interni periodici (audit)”.

2. L’attività istruttoria

In relazione a quanto notificato dalla Società, a seguito di una specifica istruttoria preliminare (nota prot. n. 6835 del 2 febbraio 2021), l'Ufficio, con atto prot. n. 15123, del 19 marzo 2021, ha notificato ad Athena, ai sensi dell'art. 166, comma 5 del Codice, l’avvio del procedimento per l'adozione dei provvedimenti, di cui all'articolo 58, paragrafo 2 del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall'Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/l l/1981).

Tenuto conto che in sede istruttoria, oltre a quanto già dichiarato nella notificazione, è emerso, in particolare, che:

i) non è stato possibile decriptare i dati oggetto di attacco informatico, ciò anche in quanto tale operazione potrebbe, in taluni casi, richiedere tempi non determinabili;

ii) la Società ha rappresentato e comprovato, con adeguata documentazione, che il personale sanitario e amministrativo ha svolto nell’anno 2018 corsi formativi sulla responsabilità professionale e privacy in sanità,

nel richiamato atto del 19 marzo 2021, l’Ufficio ha ritenuto che la Società abbia trattato dati sulla salute in assenza di misure tecniche idonee ad assicurarne la disponibilità su base permanente, non avendo, al momento in cui si è verificata la violazione, un sistema idoneo a garantire il rapido ripristino dei dati oggetto dell’attacco sopra descritto. Ciò in violazione del principio di integrità e riservatezza e degli obblighi di sicurezza del trattamento previsti dal Regolamento (artt. 5, par. 1 lett. f) e 32, par. 1, lett. b).

Con nota del 19 aprile 2021, la Società ha fatto pervenire le proprie memorie difensive, senza avanzare una specifica richiesta di audizione.

In tale ambito, la Società, in aggiunta a quanto già rappresentato in sede di notificazione e di istruttoria preliminare, ha in particolare riportato ulteriori circostanze e elementi in relazione all’evento occorso, evidenziando che:

le operazioni di ripristino sopra descritte sono state completate in meno di 24 ore;

la società Athena ha “un archivio cartaceo di ogni cartella clinica completa di ogni documentazione, ragion per cui se non vi era la possibilità di accedere ai dati digitali per il tempo necessario al ripristino, vi è stata sempre la possibilità di accedere all’archivio cartaceo protetto e dotato di un sistema antincendio”;

“non vi è stata perdita di confidenzialità dei dati sanitari dei pazienti”, a conferma di quanto già dichiarato. Tale circostanza si pone, inoltre, a fondamento della scelta del titolare di non comunicare la violazione agli interessati, ai sensi dell’art. 34 del Regolamento;

“risultano inaccessibili alcuni dati relativi a ricoveri di 29 pazienti, effettuati in concomitanza dell’attacco informatico, che è stato verificato dalla direzione sanitaria. Si tratta della mancanza di alcuni documenti che vengono elaborati in via telematica, durante il ricovero del paziente e successivamente stampati all’atto delle dimissioni, ovvero quando sono completi (es. diario infermieristico). In ragione di tanto, i relativi file sono criptati e inaccessibili, in quanto formati ma non ancora stampati al momento dell’attacco. È stato quindi ribadito che “i documenti mancanti sono costituiti da parte del diario clinico, parte del diario infermieristico, anamnesi familiare, esame obiettivo e relativi a solo a n. 29 pazienti” e che, anche grazie alle ulteriori informazioni “presenti in cartella” (...) “non vi è mai stata una concreta possibilità di arrecare un danno al paziente o l’insorgenza di un negligenza terapeutica”;

nessuno degli interessati i dati dei quali sono stati oggetto della violazione in esame ha avanzato doglianza nei confronti della Società;

con specifico riferimento al sistema di backup sopra richiamato, per ogni server è stato creato un utente dedicato solo al sistema di copie ed “è stato implementato un sistema di copie su HD esterno criptato collegato con USB, affidando l’esecuzione di tale adempimento quotidiano al responsabile del sistema”;

con riferimento alla formazione del personale, esso “ha svolto nell’anno 2020 un corso sulla cibersecurity ed a fine anno 2020 (dopo l’evento) altro corso in materia di corretta gestione della documentazione clinica e incident reporting per la gestione del rischio clinico”, fornendo adeguata documentazione;

“Athena Spa ha provveduto immediatamente a denunciare l’evento all’Autorità come previsto dal Regolamento ed ha fornito ogni informazione e chiarimento richiesto dal Garante del rispetto dei termini assegnati”.

Su tali basi, la Società ha richiesto l’archiviazione del richiamato procedimento sanzionatorio.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dalla Società nella documentazione in atti e nelle memorie difensive, si osserva, in primo luogo, che:

in base ai principi di integrità e riservatezza, i dati personali devono essere trattati in maniera da garantirne un'adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (artt. 5, par. 1 lett. f) e 83, par. 5) lett. a) del Regolamento, art. 166 comma 2 del Codice);

“tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso (...) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (art. 32, par. 1, lett. b) del Regolamento).

Ciò premesso, tenuto conto delle dichiarazioni raccolte nel corso dell'istruttoria -e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice " Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante"-, gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall'Ufficio con l'atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall'art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dalla Società Athena Spa in violazione degli artt. 5, par. 1, lett. f) e 32, par. 1, lett. b) del Regolamento correlate all’assenza di misure tecniche idonee a assicurare su base permanente la disponibilità di tutti i dati personali oggi di trattamento.

Ciò premesso, tenuto conto che:

dalle risultanze degli atti, l'episodio risulta essere stato isolato e determinato da un evento doloso esterno;

la Società è intervenuta prontamente per attenuare gli effetti della violazione occorsa nonché per prevenire il ripetersi di eventi analoghi;

le conseguenze dell’attacco subito sono imputabili alla colpa del titolare del trattamento che non disponeva di misure idonee a garantire la disponibilità su base permanente di tutti i dati sulla salute dei propri pazienti;

che la colpa del titolare del trattamento può considerarsi lieve, tenuto conto che tale mancanza riguardava solo una circoscritta categoria di dati personali (documenti che vengono elaborati in via telematica, durante il ricovero del paziente e successivamente stampati all’atto delle dimissioni, ovvero quando sono completi (es. diario infermieristico));

la violazione, seppur relativa a dati sulla salute, ha riguardato un numero non elevato di interessati;

l'Autorità ha preso conoscenza dell'evento a seguito della notifica di violazione dei dati personali effettuata, senza ingiustificato ritardo, dallo stesso titolare del trattamento, che si è dimostrato collaborativo durante tutta la fase istruttoria e procedimentale;

non sono pervenuti reclami o segnalazioni al Garante sull'accaduto;

le circostanze del caso concreto inducono a qualificare lo stesso come "violazione minore", ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 20161679.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento, ai sensi degli artt. 58, par. 2, lett. b) e 83, par. 2 del Regolamento, affinché provveda a rispettare le previsioni del Regolamento contenute negli artt. 5 par. 1, lett. f) e 32 del Regolamento e che, considerando, in ogni caso, che sono state disposte misure organizzative volte ad evitare il ripetersi di episodi come quello segnalato non vi siano i presupposti per l'adozione di ulteriori provvedimenti correttivi da parte dell'Autorità, ai sensi dell'art. 58, par. 2, del Regolamento.

Si rileva infine che ricorrono i presupposti di cui all'art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell'art. 57, par. l, lett. a) del Regolamento, dichiara l'illiceità del trattamento dei dati personali effettuato dalla Società Athena Spa con sede legale in via Matese n. 90, 810161 Piedimonte Matese (CE), C.F./P.IVA 00266020619, per la violazione del principio di base del trattamento, di cui all’art. 5, par. 1, lett. f) del Regolamento e dell’art. 32, par. 1, lett. b) del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta Società, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. f) e 32, par. 1 lett. b) del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all'art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 luglio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei