Il Garante Privacy è intervenuto con un provvedimento ingiungendo alla ASL 1 Abruzzo di comunicare entro quindici giorni l’evento di data breach agli interessati “coinvolti e raggiungibili”. Dopo i fatti relativi all’attacco ransomware subito che ha coinvolto 389 Gigabyte di dati, la gravità della situazione era evidente. In seguito all’evento e alla notifica di data breach, il Garante Privacy ha avviato un’istruttoria volta ad approfondire l’accaduto da cui, al momento, è derivato il provvedimento prescrittivo richiamato.
Il provvedimento del Garante Privacy sul data breach della ASL 1 Abruzzo
Prima di analizzare il provvedimento, è bene innanzitutto formulare uno storico dell’accaduto come esposto dal punto di vista dell’autorità di controllo:
- 5 maggio 2023: ricezione notifica di data breach
- 19 maggio 2023: ricezione notifica integrativa
- 24 maggio 2023: richiesta di informazioni da parte del Garante
- 31 maggio 2023: ricezione riscontro della richiesta
La comunicazione cui la ASL ha provveduto è stata mediante “pubblicazione giornaliera di comunicati sul sito internet istituzionale”. Andando a guardare la sezione dedicata denominata “ATTACCO HACKER: RESTA INFORMATO“, prima del 18 maggio 2023 non era stata pubblicata alcuna comunicazione nei confronti degli interessati conforme nei contenuti all’art. 34 GDPR.
Nel riscontro alla richiesta di informazioni, inoltre, è stata dichiarata la predisposizione di una misura ulteriore consistente in un format di lettera differenziata secondo le categorie di interessati.
per garantire maggiore trasparenza informativa, è stato predisposto un format di lettera a contenuto diversificato in base alle categorie di interessati e relativo profilo di rischio associato (basso-medio-alto-critico) che viene consegnata dagli operatori sanitari, brevi manu, al primo contatto utile con l’assistito o familiare/tutore/amministratore a seconda dei contesti, presso le Strutture sanitarie sia Ospedaliere che Territoriali
Ciò che il Garante ha valutato è stata però l’assenza di una modalità di informazione adeguata nei confronti di tutti gli interessati coinvolti (stando all’istruttoria, individuati nel numero di 1000 assistiti), nonché la mancata prova circa la sussistenza dei criteri di cui all’art. 34.3 lett. c) GDPR per cui l’obbligo sarebbe stato assolto mediante comunicazione pubblica o misura simile in luogo della comunicazione diretta.
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
Proprio in ottica di accountability e rendicontazione delle decisioni assunte, è stato infatti rilevato che l’ASL non ha provveduto a motivare tanto la condizione di sforzo sproporzionato quanto l’analoga efficacia informativa della misura alternativa posta in essere.
L’iniziativa di fornire il format di lettera, secondo la valutazione del Garante, non ha valore di mitigazione efficace del rischio (soprattutto nei confronti delle categorie per cui il rischio è stato valutato come critico) in quanto è condizionata alla presentazione degli stessi presso la struttura e, di conseguenza, potrebbe o non raggiungerli o altrimenti raggiungerli in modo non tempestivo. La funzione della comunicazione, infatti, è bene ricordare che è quella di andare a ridurre gli effetti negativi del data breach informando in modo specifico circa i rischi e le misure di protezione che possono essere adottate autonomamente dagli stessi interessati.
Per i motivi considerati, il Garante ha così ingiunto in via di urgenza all’ASL di comunicare individualmente agli interessati coinvolti la violazione dei dati personali entro i quindici giorni dalla notifica del provvedimento, con i contenuti prescritti dall’art. 34 GDPR e nelle modalità “più opportune in relazione alle diverse condizioni soggettive degli interessati cui si rivolgerà, comunque rispettose della riservatezza e volte a prevenire possibili impatti psicologici, individuando un ordine di priorità e una tempistica eventualmente differenziata e proporzionata al rischio“, in relazione alle quali vengono fornite indicazioni specifiche.
Viene così imposta la comunicazione individuale per tutte le ipotesi in cui il rischio è stato e sarà valutato come critico o alto, mentre le ipotesi di rischio inferiore il Garante indica la possibilità di valutare un’eccessiva onerosità e la misura di un’azione informativa mediante “avviso da pubblicarsi per almeno due settimane a giorni alterni sui due quotidiani più letti della regione, passaggi televisivi con altrettanta frequenza e durata sulle emittenti più seguite della regione e una campagna social mirata” che può essere estesa anche agli interessati irreperibili appartenenti alle fasce di rischio critico e alto.
Una “lezione” di comunicazione e di accountability
Nel ribadire che la gestione della comunicazione è una misura di protezione fondamentale nei confronti degli interessati, quanto emerge dal provvedimento è una vera e propria lezione circa la modalità con cui un’organizzazione deve affrontare in modo responsabile e documentare tale adempimento.
Purtroppo, nulla viene detto circa le tempistiche della stessa. Eppure, è la logica ancor prima della prescrizione giuridica ad indicare la necessità che questa dovrebbe intervenire prima dello scadere delle 72 ore per notificare il data breach o del termine successivo per l’invio di note integrative. Quanto meno con la pubblicazione, dal momento che entro un termine così breve si può ben considerare come eccessivamente onerosa una comunicazione individuale, ma che comunque consenta di mettere in allerta gli interessati potenzialmente coinvolti dalla violazione indicando loro rischi e fornendo la possibilità di porre in essere dei comportamenti per mitigare i pericoli della violazione.
Lesson learned? Lo vedremo.