A distanza di oltre 5 anni dall’entrata in vigore del Regolamento europeo n. 2016/679 (GDPR) in materia di protezione dei dati, il Garante della Privacy ribadisce l’importanza, per il titolare del trattamento, di dotarsi di misure tecniche tali da salvaguardare i dati personali. È successo all’ASL “Napoli 3 Sud”: l’Azienda, dopo aver subito un grave attacco ransomware cryptolocker, nel rispetto di quanto previsto dagli artt. 33 e 34 del GDPR, ha comunicato al Garante il data breach, ossia l’avvenuta perdita di controllo dei dati personali e particolari dei pazienti, che custodiva.
Il Garante ha richiesto informazioni all’Azienda in merito alla violazione di dati personali subita, al fine di acquisire informazioni, sia sulle misure tecniche e organizzative adottate sia in merito alle procedure di autenticazione informatica per l’accesso in VPN e alle postazioni di lavoro, che erano in essere al momento della violazione, ma anche in merito alle misure che l’azienda aveva in programma di adottare al fine di prevenire situazioni simili.
Durante le visite ispettive, conseguenti alla segnalazione del data breach, il Garante ha rilevato diverse carenze nelle misure adottate dall’Asl. In particolare, il Garante ha rilevato che non era prevista una procedura di autenticazione a più fattori per l’accesso tramite VPN e che l’autenticazione veniva effettuata mediante le credenziali di dominio con password policy debole, senza il meccanismo di password history, per impedire il riutilizzo delle password. Inoltre, la carenza di segmentazione delle reti aveva causato la propagazione del virus all’intera infrastruttura informatica.
Nel comminare la sanzione di 30.000 €, il Garante ha tenuto conto del fatto che il data breach ha riguardato dati particolari, in quanto idonei a rilevare informazioni sulla salute di un cospicuo numero di interessati, ma anche dell’atteggiamento non intenzionale e collaborativo della Asl.
Dopo l’accaduto, l’Azienda, in ottemperanza a quanto previsto dalla normativa, ha adottato una serie di misure volte, non solo ad attenuare il danno subito dagli interessati, ma anche a ridurre la replicabilità dell’evento stesso, tra le quali l’attivazione di una procedura di accesso alla rete tramite VPN con doppio fattore di autenticazione.
Fonte: Garante Privacy (GPDP doc. 9941232)
