L’ambito della protezione dei dati personali è stato recentemente rafforzato con l’adozione delle nuove linee guida 09/2022 da parte del Comitato Europeo per la Protezione dei Dati (EDPB).
Queste linee guida sostituiscono le precedenti direttive del Gruppo di lavoro ex articolo 29, implementate poco dopo l’entrata in vigore del GDPR, e sono state ufficialmente adottate il 28 marzo 2023, a seguito di un’ampia consultazione pubblica iniziata nell’ottobre dello scorso anno.
Il processo di consultazione ha permesso di raccogliere e integrare nel documento finale numerosi feedback, in particolare per quanto riguarda il meccanismo del “one-stop-shop”.
Tale meccanismo permette alle aziende che trattano dati in più paesi dell’UE di notificare una violazione dei dati a una sola autorità di controllo, quella del paese in cui hanno stabilito la loro rappresentanza principale.
Le modifiche introdotte hanno anche portato alla creazione di un nuovo Allegato VII, che include un diagramma di flusso operativo.
Questo strumento è progettato per guidare gli operatori attraverso i passaggi necessari in caso di violazione dei dati, fornendo un percorso chiaro e strutturato per la gestione delle notifiche di data breach.
Le nuove linee guida rappresentano un passo importante verso il rafforzamento della responsabilità delle aziende e l’armonizzazione delle procedure di notifica in tutta l’Unione Europea, assicurando che sia le autorità che i cittadini siano adeguatamente informati in caso di incidenti che coinvolgono dati personali.
L’EDPB ha inoltre approfondito la questione della compatibilità tra i ruoli di Data Protection Officer (DPO) e del rappresentante di un titolare del trattamento con sede fuori dall’UE.
Secondo l’EDPB, queste due figure non possono coincidere, poiché comporterebbero un conflitto di interessi. I
l DPO ha il compito di sorvegliare la conformità alle normative sulla privacy all’interno dell’Unione Europea, mentre il rappresentante dell’entità extra-UE agisce come punto di contatto tra il titolare del trattamento e le autorità di supervisione europee.
In caso di violazione dei dati, il responsabile della notifica rimane il titolare del trattamento.
Tuttavia, il DPO può essere coinvolto nel processo di notifica se questa attività rientra tra i suoi compiti istituzionali.
Questa distinzione mira a mantenere la trasparenza e l’indipendenza del DPO, assicurando che il suo ruolo di monitoraggio e consulenza non sia compromesso da altre responsabilità amministrative.
Queste nuove linee guida rappresentano un passo importante verso una maggiore chiarezza nell’applicazione del GDPR, specialmente in un’era caratterizzata da un’intensificazione degli scambi commerciali digitali e da una crescente preoccupazione per la sicurezza dei dati personali.
Con l’aggiornamento delle linee guida, l’EDPB non solo risponde alle esigenze di un contesto tecnologico in rapido cambiamento ma cerca anche di colmare le lacune interpretative che possono sorgere nell’applicazione pratica del regolamento, garantendo così una maggiore protezione dei diritti dei cittadini europei.
Il Comitato Europeo per la Protezione dei Dati (EDPB) ha recentemente fornito chiarimenti che aprono nuove prospettive sull’approccio da adottare in caso di violazioni dei dati personali.
La loro ultima interpretazione suggerisce un approccio estremamente dettagliato nella gestione del registro dei data breach, elemento chiave nella documentazione della sicurezza informativa.
Gli esempi forniti dall’EDPB illustrano l’entità delle violazioni che le aziende devono considerare.
Un caso emblematico è quello di un’interruzione temporanea dell’energia elettrica in un call center, che, seppur breve, impedisce ai clienti di esercitare i loro diritti di accesso ai dati.
Questo tipo di incidente, benché minore e senza conseguenze dirette sulla compromissione dei dati, dovrebbe essere registrato nell’elenco delle violazioni.
L’EDPB chiarisce, tuttavia, che non tutti gli incidenti richiedono la notifica agli enti regolatori o la comunicazione agli utenti interessati. Ad esempio, la compromissione di dati che sono già di pubblico dominio o adeguatamente protetti da crittografia non necessita di tali procedure.
Nonostante ciò, l’importanza di documentare ogni incidente nel registro dei data breach è enfatizzata come prassi obbligatoria.
Queste indicazioni delineano una politica di trasparenza e di responsabilità che le aziende devono seguire.
Benché l’onere burocratico possa sembrare oneroso, l’intento è quello di instaurare una cultura della privacy dove ogni minima interruzione diventa occasione per valutare e migliorare le misure di sicurezza esistenti.
L’EDPB con queste linee guida non solo rafforza la necessità di una registrazione meticolosa e sistematica delle violazioni dei dati personali ma invita anche le aziende a riflettere sull’impatto che anche le più piccole interruzioni possono avere sulla fiducia e sulla percezione della clientela. In questo modo, il registro dei data breach diventa uno strumento critico non solo per la conformità normativa ma anche come termometro della resilienza organizzativa in materia di privacy e protezione dei dati.
Come precedentemente menzionato, non posso attingere a fonti esterne, ma posso sicuramente creare una riformulazione dell’articolo basandomi sul testo che hai fornito. Ecco come potrebbe essere riscritto:
L’EDPB sottolinea l’importanza della “crittografia sicura” nel trattamento dei data breach
Il Comitato Europeo per la Protezione dei Dati (EDPB) ha messo in evidenza l’importanza vitale di una crittografia robusta per la protezione dei dati personali.
In un mondo digitale dove la sicurezza delle informazioni è costantemente sotto assedio, l’EDPB ha chiarito che solo una crittografia considerata “sicura” può effettivamente rendere i dati inaccessibili a soggetti non autorizzati.
Questo dettaglio non è trascurabile: implica che i responsabili del trattamento dei dati devono possedere una conoscenza tecnica approfondita e aggiornata dei meccanismi di crittografia.
Questo include la complessità delle password, la necessità di modificare le credenziali predefinite, la crittografia in modalità stand-by e l’aggiornamento costante degli strumenti crittografici per contrastare le minacce emergenti.
In aggiunta, l’EDPB ha fornito ulteriori indicazioni sulle tempistiche critiche che regolano la gestione dei data breach.
Un punto focale è l’identificazione del momento preciso in cui iniziano a decorrere i termini per le notifiche obbligatorie: le aziende hanno 72 ore per informare l’autorità garante dopo aver scoperto una violazione, mentre la comunicazione agli interessati deve avvenire senza ingiustificato ritardo.
Queste direttive enfatizzano la necessità di un’azione tempestiva e di procedure ben strutturate per rispondere efficacemente agli incidenti di sicurezza.
L’EDPB chiarisce: la consapevolezza tempestiva di una violazione dati è cruciale per la conformità al GDPR
In una recente dichiarazione, il Comitato Europeo per la Protezione dei Dati (EDPB) ha messo in luce l’importanza della prontezza con cui le organizzazioni devono gestire le violazioni dei dati personali, come previsto dall’articolo 33 del Regolamento Generale sulla Protezione dei Dati (GDPR).
L’EDPB ha precisato che il conteggio del tempo per le notifiche di un data breach inizia non appena l’organizzazione “è venuta a conoscenza” dell’incidente.
Questo punto di partenza è fondamentale: indica che non solo è essenziale avere sistemi di rilevazione efficaci, ma che anche la cultura aziendale e l’organizzazione interna devono essere orientate verso una rapida identificazione e gestione delle problematiche di sicurezza.
L’accento è posto sulla responsabilità delle aziende di implementare misure di sicurezza proattive e procedure che garantiscano la scoperta tempestiva di eventuali violazioni.
Un ritardo nella scoperta di un incidente non è solo un segno di potenziali carenze nella sicurezza informatica, ma può anche indicare una generale mancanza di conformità con i principi del GDPR, con possibili ripercussioni legali e sanzioni.
In questo contesto, l’EDPB invita le organizzazioni a rivedere e rafforzare le loro politiche e procedure interne per assicurare che le violazioni dei dati siano riconosciute e gestite nel più breve tempo possibile.
Questa enfasi sulla prontezza non solo migliora la protezione dei dati personali ma segnala anche un impegno più ampio verso la fiducia e la responsabilità nell’ecosistema digitale.
L’EDPB delinea i criteri di “consapevolezza” per le violazioni dei dati secondo il GDPR
L’EDPB ha illustrato con esempi pratici il momento critico in cui il titolare del trattamento dei dati deve avviare le procedure di emergenza predisposte internamente.
Un esempio significativo citato dall’EDPB riguarda la ricezione di una comunicazione da parte di un cliente che informa l’azienda di essere stato contattato da un individuo che si spaccia per il titolare del trattamento e che, presumibilmente, ha ottenuto un accesso non autorizzato ai dati.
L’organizzazione è ritenuta “a conoscenza” della violazione non appena sono disponibili evidenze sufficienti a supportare l’affermazione del cliente, ad esempio, dopo aver condotto un’indagine preliminare che conferma l’esistenza di un’intrusione nel sistema.
Queste precisazioni dell’EDPB sottolineano l’importanza di un monitoraggio attento e di sistemi di allarme efficaci che permettano alle organizzazioni di riconoscere e reagire prontamente alle violazioni dei dati.
La “consapevolezza” non si limita a semplici sospetti o segnalazioni non verificate, ma richiede una conferma basata su indagini immediate e concrete.
L’EDPB ribadisce che la tempistica è essenziale: una volta che il titolare del trattamento è “a conoscenza” della violazione, i termini per le notifiche obbligatorie iniziano a decorrere.
Questo implica che le aziende devono avere protocolli interni ben definiti e pronti ad essere attivati per rispettare i termini del GDPR e per gestire efficacemente qualsiasi incidente di sicurezza.
Questo approccio proattivo non solo è mandatario per la conformità normativa, ma rappresenta anche una prassi migliore per garantire la fiducia dei clienti e la resilienza dell’organizzazione di fronte alle minacce alla sicurezza dei dati personali.
un approccio stratificato alla valutazione del rischio
Secondo l’EDPB, quando un titolare del trattamento si rende conto di un incidente che implica una compromissione dei dati personali, deve valutare immediatamente l’impatto potenziale sui diritti e le libertà delle persone interessate.
Questa valutazione determinerà se l’evento richiede semplicemente una registrazione interna, una segnalazione alle autorità di controllo, o anche una comunicazione diretta agli individui colpiti.
La profondità dell’analisi richiesta dall’EDPB comprende diversi fattori chiave:
- La natura e la gravità della violazione.
- La tipologia e il volume dei dati interessati, con particolare attenzione ai dati sensibili o relativi a condanne penali.
- La probabilità che terzi non autorizzati possano identificare le persone i cui dati sono stati esposti.
- Le possibili ripercussioni negative per gli individui coinvolti.
- Le circostanze specifiche degli individui colpiti, come ad esempio nel caso di minori o soggetti vulnerabili.
- Le caratteristiche proprie del titolare del trattamento, come nel caso delle strutture sanitarie.
- Il numero totale di persone coinvolte nell’incidente.
Al di là della valutazione del rischio immediato, l’EDPB sottolinea l’importanza di considerare azioni correttive a lungo termine per mitigare il rischio futuro e per evitare che incidenti simili si verifichino nuovamente.
Questa enfasi su un approccio olistico al data breach rappresenta una chiara indicazione dell’EDPB sul fatto che la protezione dei dati personali non è solo una questione di conformità normativa ma richiede una continua vigilanza e un impegno proattivo da parte delle organizzazioni.
Linee guida per una comunicazione efficace in caso di violazione dei dati personali
Quando si verifica una violazione che comporta un rischio elevato per i diritti e le libertà individuali, la normativa richiede che gli interessati vengano informati senza ingiustificato ritardo.
La comunicazione deve essere diretta, utilizzando un linguaggio semplice e chiaro, evitando terminologie tecniche che potrebbero confondere piuttosto che chiarire la situazione.
Gli elementi chiave da includere nella comunicazione sono:
- La natura della violazione, spiegando in termini comprensibili cosa è accaduto.
- I dati di contatto del Data Protection Officer (DPO) o di un altro punto di riferimento per ottenere ulteriori dettagli.
- Le probabili conseguenze che la violazione può avere per gli individui coinvolti.
- Le misure già adottate o in programma per mitigare i danni potenziali, fornendo anche consigli pratici agli interessati su come proteggersi.
Tuttavia, si è notato che in passato alcune entità hanno gestito queste comunicazioni in modo meno che ottimale, talvolta cercando di minimizzare l’incidente o di diluirlo in comunicazioni di routine come le newsletter.
L’EDPB sottolinea che questo approccio non solo è inadeguato ma anche non conforme al GDPR.
Le informazioni relative a una violazione dei dati devono essere distinte e non devono essere camuffate in comunicazioni ordinarie.
Inoltre, il mezzo utilizzato per informare gli interessati deve essere il più efficace possibile.
Mentre un comunicato stampa o un post su un blog aziendale potrebbero non essere sufficienti da soli, l’EDPB raccomanda di utilizzare più canali per assicurare che la comunicazione raggiunga il maggior numero possibile di persone coinvolte.
Questo può includere avvisi sui social media dell’azienda, annunci sul sito web e persino comunicazioni tramite la stampa.
Per quanto riguarda la lingua della comunicazione, l’EDPB indica che dovrebbe essere quella normalmente usata nelle interazioni con i clienti.
Tuttavia, se il data breach riguarda persone che non hanno interagito direttamente con il titolare del trattamento o residenti in altri stati membri dell’UE, allora è necessario fornire la comunicazione in più lingue per assicurare l’accessibilità.
Il ruolo cruciale del DPO nella gestione dei data breach secondo le nuove linee guida dell’EDPB
l’EDPB ha delineato il ruolo consultivo e di monitoraggio che il DPO deve assumere in tali circostanze, sottolineando la sua funzione essenziale nel garantire la conformità al Regolamento Generale sulla Protezione dei Dati (GDPR).
La figura del DPO si rivela essere un pilastro per il titolare del trattamento, specialmente quando si verifica una violazione dei dati.
In questi casi, il DPO è chiamato a fornire consulenza strategica, assicurandosi che tutte le azioni intraprese rispettino le normative vigenti. Inoltre, il DPO deve essere coinvolto nelle valutazioni di impatto relative ai trattamenti di dati che possono essere soggetti a data breach.
Una delle funzioni chiave del DPO è quella di agire come punto di collegamento tra il titolare del trattamento e l’autorità garante.
Quando si verifica una violazione dei dati, il titolare è tenuto a fornire i dettagli di contatto del DPO nelle comunicazioni alla autorità, affinché quest’ultimo possa facilitare ulteriori discussioni e chiarimenti.
L’EDPB ha inoltre chiarito che il DPO può legittimamente essere incaricato di gestire il registro dei data breach. Sebbene questa responsabilità non rientri tra le mansioni “ordinarie” del
Il caso dell’ASL Napoli 3 Sud
Un recente provvedimento dell’Autorità Garante per la protezione dei dati personali ha stabilito un nuovo standard nel trattamento dei dati sensibili, infliggendo una multa di 30.000 euro all’ASL Napoli 3 Sud.
Il provvedimento n. 426 del 28 settembre 2023 rappresenta un punto di svolta nella tutela della privacy degli italiani, sottolineando la cruciale importanza del rispetto dei principi del GDPR.
Il nodo centrale della questione risiede nella violazione del principio di “privacy by design”, un concetto fondamentale nell’ambito del GDPR che impone l’integrazione della protezione dei dati sin dalla fase di progettazione di sistemi e pratiche.
L’attacco ransomware che ha colpito l’ASL ha messo in luce una serie di lacune nelle misure di sicurezza adottate, con la conseguente esposizione dei dati sensibili degli assistiti.
Questo episodio non solo sottolinea l’importanza di una solida infrastruttura di sicurezza informatica ma funge anche da monito per altre organizzazioni sanitarie e non, le quali sono chiamate a rivedere e rafforzare le proprie politiche di protezione dei dati.
La sanzione inflitta all’ASL Napoli 3 Sud rappresenta un chiaro segnale da parte delle autorità di controllo: la non conformità ai principi di privacy by design e by default non verrà tollerata.
L’incidente serve quindi come un campanello d’allarme per tutte le entità che trattano dati personali: è imperativo adottare un approccio proattivo alla privacy, integrando misure di sicurezza avanzate e continuamente aggiornate per prevenire incidenti che possano compromettere la riservatezza e l’integrità dei dati degli utenti.
In seguito a un’approfondita analisi del data breach notificato dal Garante della privacy, emerge un quadro preoccupante per la ASL Napoli 3 Sud.
L’ente ha subito un grave attacco informatico, un ransomware che ha messo in ginocchio l’infrastruttura IT dell’organizzazione, con conseguenze dirette sull’erogazione dei servizi e sulla riservatezza dei dati di migliaia di persone.
L’attacco è stato perpetrato tramite un cryptolocker, che ha criptato i dati aziendali e reso inaccessibili gli applicativi essenziali per il funzionamento dell’ASL.
Non solo i server centrali, ma anche i data center secondari sono stati colpiti, con ripercussioni sui servizi critici come il Pronto Soccorso e la diagnostica per immagini. Benché alcuni servizi esterni siano rimasti operativi, il blocco dei sistemi interni ha rappresentato un duro colpo per l’ente.
Le indagini forensi hanno rivelato che l’incursione è stata facilitata dall’uso di credenziali di personale non tecnico, trovate nel dark web e utilizzate per accedere al sistema tramite VPN, ottenendo privilegi amministrativi.
Questa catena di eventi ha portato il Garante a infliggere una sanzione di 30.000 euro per la mancata adesione ai principi di privacy by design imposti dal GDPR.
Il Garante ha evidenziato che l’ASL non ha rispettato il principio della “privacy by design”, un concetto fondamentale del Regolamento Generale sulla Protezione dei Dati (GDPR).
In particolare, è stato rilevato che i sistemi VPN dell’ente richiedevano soltanto un’autenticazione basata su username e password, senza ulteriori misure di sicurezza, come l’autenticazione a più fattori, che avrebbero potuto prevenire accessi non autorizzati.
Il principio di “privacy by design”
Il principio di “privacy by design”, che prevede l’integrazione della protezione dei dati fin dalla fase di progettazione di qualsiasi sistema o processo, è stato al centro della violazione accertata dal Garante.
L’ASL Napoli 3 Sud è stata ritenuta responsabile per non aver implementato adeguate misure di sicurezza, lasciando esposti i dati personali e sanitari di oltre 840.000 individui, tra assistiti e dipendenti, agli attacchi degli hacker.
Questo caso enfatizza l’importanza di un approccio proattivo alla protezione dei dati, in cui la sicurezza non è un add-on ma un elemento intrinseco del design di qualsiasi sistema che tratta dati personali.
Il messaggio inviato è chiaro: le organizzazioni devono adottare misure preventive e non solo reattive per garantire la sicurezza dei dati personali.
La vicenda è emblematica e mette in evidenza la necessità imperativa per le organizzazioni, soprattutto nel settore sanitario, di adottare misure proattive per la sicurezza dei dati.
La sanzione imposta serve da monito: la protezione dei dati personali non è solo una responsabilità legale, ma una priorità assoluta nell’era digitale.
L’accertamento
Dopo un’indagine meticolosa, l’Autorità Garante per la protezione dei dati personali ha inflitto all’ASL Napoli 3 Sud una sanzione di 30.000 euro.
Questa decisione è stata presa in seguito alla constatazione di significative mancanze nelle misure di sicurezza implementate dall’ente, che hanno portato a una violazione dei dati personali dei pazienti.
Un’ulteriore lacuna è stata identificata nella segmentazione delle reti: l’assenza di quest’ultima ha agevolato la diffusione del malware all’interno dell’intera infrastruttura informatica dell’ASL.
Questo ha rappresentato un rischio ancora maggiore considerando che tra i dati compromessi vi erano informazioni sensibili sulla salute dei pazienti.
Nuove Prospettive di Risarcimento per le Vittime di Data Breach: L’Opinione dell’Avvocato Generale UE
In una recente svolta giuridica, l’Avvocato Generale presso la Corte di Giustizia dell’Unione Europea ha aperto la strada a potenziali risarcimenti per danni immateriali subiti a seguito di violazioni della sicurezza dei dati, noti come “data breach”.
Questo orientamento giurisprudenziale sostiene che le vittime di cyberattacchi possano avanzare richieste di risarcimento nei confronti delle aziende violate, indipendentemente dall’effettivo uso illecito dei dati personali esfiltrati.
Il dibattito si è acceso in seguito ad un attacco informatico che ha coinvolto una nota piattaforma di trading online.
Due investitori, dopo aver affidato i propri dati personali – inclusi dettagli sensibili e copie digitali delle carte d’identità – alla società per l’apertura di depositi titoli, hanno visto le loro informazioni rubate da malintenzionati.
Sebbene non ci siano prove di un uso fraudolento dei dati trafugati, i danneggiati hanno avviato un’azione legale richiedendo indennizzi per il disagio e la preoccupazione derivanti dal furto dei loro dati.
La questione centrale sollevata di fronte alla Corte UE riguardava l’interpretazione del GDPR, in particolare se il diritto al risarcimento dei danni immateriali fosse subordinato all’uso effettivo dei dati sottratti o se il semplice furto di dati personali, che potenzialmente espone al rischio l’identità degli interessati, fosse sufficiente a giustificare tale diritto.
Contrariamente a quanto potrebbe suggerire una lettura superficiale dei “considerando” del GDPR, che menzionano prevalentemente il furto di identità, l’Avvocato Generale ha chiarito che vi è una distinzione tra furto di dati e furto di identità.
Mentre quest’ultimo comporta l’utilizzo effettivo dei dati rubati, il furto di dati personali, anche senza un successivo abuso, può costituire di per sé un danno immateriale e dare luogo alla possibilità di risarcimento.
Se questa interpretazione sarà condivisa dalla Corte di Giustizia dell’UE, ciò significherebbe un ampliamento significativo della protezione dei dati personali.
Le vittime di data breach non dovrebbero più dimostrare che i loro dati sono stati usati in modo improprio per ottenere un risarcimento; sarebbe sufficiente dimostrare che i dati sono stati rubati e che questo ha causato un danno immateriale come stress o ansia.
In conclusione, le cause riunite C-182/22 e C-189/22 potrebbero stabilire un importante precedente nel diritto della privacy e della protezione dei dati, rafforzando la posizione degli individui nei confronti delle aziende che detengono e gestiscono i loro dati personali.
L’ordinanza n. 27189 emessa dalla Corte di Cassazione il 22 settembre 2023
L’ordinanza n. 27189 emessa dalla Corte di Cassazione il 22 settembre 2023 ha affrontato una questione importante riguardante le sanzioni previste dal GDPR, il regolamento europeo sulla protezione dei dati personali.
In parole semplici, la Corte di Cassazione ha stabilito alcuni principi fondamentali per determinare l’ammontare e l’applicazione delle sanzioni in caso di violazione delle norme sulla privacy.
Questi principi sono volti a garantire che le multe siano giuste, proporzionate e sufficientemente severe da scongiurare future infrazioni.
Tra i criteri chiave identificati dalla Corte, vi sono:
- La serietà della violazione: quanto è grave l’infrazione e quali sono le sue conseguenze?
- La durata della violazione: per quanto tempo si è protratta la situazione non conforme al GDPR?
- Il comportamento dell’ente che ha commesso la violazione: c’è stata collaborazione con le autorità? Sono state prese misure per limitare il danno?
Questi criteri servono a guidare le autorità nella decisione delle sanzioni, assicurando che ogni caso venga valutato individualmente per evitare punizioni ingiuste o sproporzionate.
L’approccio adottato dalla Corte di Cassazione riflette l’intento del GDPR di proteggere i dati personali degli individui e di responsabilizzare chi li gestisce.
L’importanza di questa ordinanza risiede nel fatto che fornisce un quadro chiaro per l’applicazione delle sanzioni, contribuendo a creare un ambiente più sicuro per i dati personali dei cittadini europei.
In sostanza, l’articolo 83 del GDPR stabilisce che quando si decide la punizione per chi ha violato le regole sulla privacy, ogni caso deve essere valutato singolarmente.
Le multe devono essere giuste, proporzionate al tipo di violazione e abbastanza severe da scoraggiare chiunque dal commettere lo stesso errore in futuro.
Ci sono anche altri elementi da prendere in considerazione, come se l’azienda ha già violato le regole in passato, quanto ha collaborato con le autorità per risolvere il problema, quali tipi di dati personali sono stati coinvolti e se l’azienda ha seguito i codici di condotta o ottenuto certificazioni approvate che mostrano il loro impegno a proteggere i dati personali.
In conclusione, l’ordinanza della Corte di Cassazione enfatizza l’importanza di una valutazione attenta e dettagliata in ogni caso di violazione del GDPR, assicurando che le sanzioni siano giuste e mirate non solo a punire ma anche a prevenire future violazioni della privacy.
Motivazioni per la variazione nella quantificazione delle sanzioni in diversi contesti
Innanzitutto, la Corte ha stabilito che le sanzioni per la violazione delle norme sulla privacy devono essere calibrate in base a diversi fattori.
Tra questi, la gravità dell’impatto sulla privacy degli individui è fondamentale: una violazione che coinvolge poche persone e dati non particolarmente sensibili potrebbe comportare una sanzione minore rispetto a una che colpisce molti individui e dati delicati, come quelli relativi alla salute.
L’ordinanza ha messo in luce due casi specifici: l’Università e-Campus, che è stata multata per 75.000 euro per non aver raccolto adeguatamente il consenso e non aver risposto alle richieste di cancellazione dei dati, e la ASL Napoli 3 Sud, sanzionata per 30.000 euro a seguito di un grave data breach che ha coinvolto dati sanitari sensibili. La differenza nelle multe riflette la diversa natura e gravità delle violazioni.
La Corte ha evidenziato l’importanza della trasparenza e della cooperazione con le autorità di regolamentazione.
L’Università e-Campus è stata poco collaborativa con il Garante per la privacy, che è l’ente che si assicura che le regole sulla protezione dei dati personali siano rispettate. Il Garante ha provato a contattare l’Università due volte, usando gli indirizzi email che l’Università stessa aveva dato per queste comunicazioni, incluso quello del responsabile della protezione dei dati.
Ma l’Università non ha risposto alle richieste, quindi il Garante ha dovuto chiedere aiuto alla Guardia di Finanza per mandare le notifiche ufficiali e le richieste di informazioni.
Quando l’Università è stata chiamata a spiegare perché non aveva risposto, non ha dato giustificazioni convincenti.
Anche durante un incontro ufficiale dove l’Università avrebbe potuto difendersi dalle accuse, il legale dell’Università ha detto che forse non avevano risposto alla prima richiesta per un semplice errore e che avrebbero controllato meglio la situazione.
Tuttavia, non hanno mai fatto sapere il risultato di queste verifiche e non hanno spiegato perché non hanno risposto nemmeno alla seconda richiesta di informazioni.
In sintesi, l’Università non ha seguito le regole sulla privacy e non ha collaborato con il Garante quando è stata contattata per chiarire la situazione. Questo comportamento è importante perché mostra un mancato rispetto delle norme che proteggono i nostri dati personali.
.Al contrario, la ASL Napoli 3 Sud ha collaborato attivamente con il Garante, fornendo chiarimenti e informazioni sul data breach.
Durante le indagini, l’ASL ha collaborato fornendo tutti i dettagli richiesti. Ha spiegato che l’attacco è avvenuto perché degli hacker hanno usato delle credenziali di accesso di un impiegato, trovate sul dark web, per entrare nel sistema informatico dall’estero attraverso una VPN, e poi hanno ottenuto privilegi da amministratore.
Per quanto riguarda le misure adottate per proteggere i dati e far fronte a incidenti simili, l’ASL ha ammesso di non avere una procedura formale. I backup dei dati venivano fatti completamente una volta a settimana e in modo incrementale negli altri giorni. Inoltre, al momento dell’attacco, l’ASL non aveva un piano di emergenza per i servizi critici.
Dopo l’incidente, però, ha sviluppato un piano di ripristino che è stato approvato dalla direzione.
Per capire meglio cosa è successo e come risolvere il problema, l’Azienda sanitaria ha chiesto aiuto a Leonardo S.p.A. che ha esaminato l’incidente e ha dato consigli su come migliorare la sicurezza, aggiornando il piano di disaster recovery per assicurare che l’azienda possa continuare a lavorare anche dopo disastri informatici.
Inoltre, la ASL ha messo in atto nuove VPN, che sono dei tunnel sicuri per collegarsi alla rete aziendale, con sistemi di doppia verifica per evitare accessi non autorizzati[2].
Per quanto riguarda la comunicazione dell’accaduto, la ASL Napoli 3 Sud ha informato i pazienti e i dipendenti dell’accaduto in modi diversi: alcuni per lettera, altri per email, a seconda della gravità della situazione e del tipo di dati coinvolti[3].
Le misure prese dopo l’incidente dalla ASL per ridurre i danni e prevenire futuri attacchi sono state viste positivamente dal Garante, che ha anche apprezzato la collaborazione dell’azienda durante le indagini.
Come si notifica un data breach
Se la violazione dei dati non è grave e non mette a rischio la privacy delle persone, allora non c’è bisogno di dirlo alle autorità. Ma se il rischio c’è, il titolare deve avvisare l’Autorità di controllo entro 72 ore da quando scopre il problema. Se non lo fa in tempo, deve spiegare perché è in ritardo.
Nella notifica deve dire che tipo di dati sono a rischio, quante persone sono coinvolte, e quali misure sta prendendo per limitare i danni. Se non ha tutte le informazioni subito, può mandare una notifica iniziale e poi aggiornarla più tardi.
E se il rischio è alto, oltre a dire tutto questo all’Autorità di controllo, deve anche informare direttamente le persone che potrebbero essere state colpite. Deve farlo subito e spiegare in modo chiaro e semplice cosa è successo, quali potrebbero essere le conseguenze e cosa sta facendo per risolvere il problema.
In pratica, se sei responsabile di dati personali e succede qualcosa che mette a rischio la privacy delle persone, la legge ti obbliga a prendere sul serio la situazione e a fare del tuo meglio per proteggere tutti quelli che potrebbero essere stati colpiti.
