Il rischio di un data breach rappresenta un pericolo per tutte le aziende, soprattutto quando esse operano come responsabili del trattamento e il loro business riguarda l’erogazione di servizi per conto del titolare.
Il Garante privacy, con il recente provvedimento relativo all’attacco hacker subito dalla regione Lazio nel 2021, ha sanzionato il responsabile esterno del trattamento. All’interno del provvedimento, il Garante fornisce importanti indicazioni sulle misure che ogni responsabile del trattamento dovrebbe adottare al fine di assicurare una corretta gestione dell’evento e per supportare il titolare nel rispetto degli obblighi previsti dal GDPR.
Il Garante affronta altresì l’interessante tema delle certificazioni ISO 27001 dal punto di vista data protection e desta qualche quesito in merito ai tempi di chiusura dell’istruttoria, su cui interviene la sentenza del Tribunale di Roma n. 2615/2023 con utili chiarimenti.
Il ruolo del responsabile del trattamento durante l’attacco hacker ai sistemi della Regione Lazio
Nel 2021 la Regione Lazio subì un importante attacco informatico a danno dei suoi sistemi, il quale comportò notevoli disservizi per i milioni di cittadini coinvolti. Durante la notte tra il 31 luglio e il 1° agosto 2021 i sistemi informatici della Regione furono oggetto di un attacco ransomware che causò il blocco di numerosi servizi sanitari regionali, tra cui i sistemi relativi alla gestione delle prenotazioni, i pagamenti tramite PagoPA, il ritiro dei referti e la registrazione delle vaccinazioni. L’impatto dell’attacco fu particolarmente significativo in quanto, attraverso i suddetti sistemi, venivano trattati i dati sulla salute di milioni di assistiti e i disservizi che si verificarono durarono da alcune ore (48) ad alcuni mesi.
Dagli accertamenti e dalle ispezioni effettuate dall’Autorità Garante per la Protezione dei Dati Personali (“Garante”) è emerso come la società LAZIOcrea, nominata responsabile del trattamento per la gestione dei sistemi informatici da parte della Regione Lazio (e delle altre strutture sanitarie laziali che operavano quali titolari del trattamento), sarebbe incorsa in numerose e gravi violazioni della normativa privacy nello svolgimento dei suoi incarichi quale responsabile del trattamento.
Secondo il Garante la società LAZIOcrea non avrebbe posto in essere le azioni necessarie per garantire una corretta gestione del data breach e mitigarne le sue conseguenze nei confronti delle società per le quali agiva come responsabile del trattamento. Il Garante ha ritenuto che le scelte e le misure adottate dal responsabile durante l’evento occorso fossero inadeguate in quanto: i) non permisero di evitare l’ulteriore propagazione del malware; ii) costrinsero lo spegnimento di tutti i sistemi dal momento che il responsabile non fu in grado di determinare quali fossero quelli compromessi. Ciò determinò l’impossibilità per le strutture sanitarie regionali di accedere ai sistemi ed erogare i servizi sanitari ai loro assistiti.
Le valutazioni riportate dal Garante all’interno del provvedimento consentono di individuare, sia da un punto di vista organizzativo che tecnico, alcune delle misure fondamentali che un responsabile dovrebbe adottare per prevenire possibili data breach e per fornire adeguato supporto ai titolari del trattamento.
Le indicazioni del Garante sulle misure da adottare da parte del responsabile per la corretta gestione di un data breach
Il provvedimento fornisce interessanti spunti sugli strumenti da adottare ai fini di assistere in maniera corretta il titolare ai sensi degli artt. 5, 32 e 33 del GDPR durante un data breach:
Informare tempestivamente il titolare
Il Garante ricorda infatti che, seppur il responsabile non sempre disponga di informazioni dettagliate durante le prime fasi di gestione dell’incidente, è comunque tenuto ad informare tempestivamente il titolare, condividendo con lui tutti gli elementi di cui è a conoscenza. Tuttavia, quando una comunicazione può essere ritenuta tempestiva?
Come noto l’art. 33 par. 2 del GDPR si limita a precisare che il responsabile deve informare il titolare “senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione”. Allo stesso modo le Linee guida dell’EDPB 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del GDPR (di seguito “Linee guida sulla notifica”), evidenziano che, se il responsabile del trattamento viene a conoscenza di una violazione dei dati personali che sta trattando per conto del titolare, deve notificarla al titolare senza ingiustificato ritardo e, se necessario, anche in maniera parziale ove non possedesse subito tutte le informazioni.
Secondo l’EDPB il responsabile deve limitarsi a stabilire se si è verificata una violazione e, quindi, informare il titolare per consentirgli di valutare i rischi sui diritti e libertà degli interessati e -qualora fosse necessario – notificare l’eventuale data breach all’autorità di controllo ai sensi dell’articolo 33 GDPR. Pertanto, anche se il GDPR non fissa un termine esplicito per la comunicazione del data breach da parte del responsabile, essa deve essere effettuata in modo tale da consentire al titolare di svolgere le necessarie verifiche ed adempiere ai propri obblighi e se del caso notificare l’evento all’autorità entro 72 ore dal momento in cui ne è venuto a conoscenza, dunque non appena se ne abbia contezza, in forma di notizia. Poi, nella pratica, le tempistiche per la notifica al titolare possono essere definite in concreto all’interno dell’atto di nomina a responsabile del trattamento (o Data Processing Agreement, “DPA”) dove il titolare può dettagliare i termini entro cui il responsabile lo dovrà informare di un’eventuale violazione (ad es. entro 12 o 24 ore) e quindi procedere all’invio di puntuale report informativo, anche in un secondo momento.
Nel caso in esame la società LAZIOcrea non avrebbe rispettato tale obbligo in quanto avrebbe informato il titolare solamente 2 settimane dopo l’evento occorso. Il Garante chiarisce che tale informazione tardiva ha impedito al titolare di svolgere le opportune valutazioni, non consentendogli di adempiere ai propri obblighi ai sensi del GDPR, né di attivare opportuna tutela nei confronti degli interessati coinvolti.
Comunicazioni tempestive, esaustive e dettagliate
Il responsabile è altresì tenuto –non appena ne viene in possesso ed anche nelle fasi successive della gestione dell’incident- a fornire al titolare, in maniera completa e dettagliata, tutte le informazioni relative all’evento verificatosi. Il GDPR e le Linee guida sulla notifica prendono atto del fatto che il responsabile non sempre dispone subito di tutte le informazioni necessarie, tuttavia in questi casi il responsabile, oltre a dover informare prontamente il titolare dell’evento occorso, deve impegnarsi a fornire, anche successivamente, tutte le informazioni supplementari necessarie affinchè il titolare sia messo in condizione di valutare in maniera completa l’evento occorso.
Nel caso in esame, nonostante fossero state avanzate dai titolari specifiche richieste di informazioni, la società LAZIOcrea si era limitata a fornire informazioni di carattere generale, non riportando i riferimenti specifici ai sistemi e servizi coinvolti, informazioni che sarebbero invece state utili ai titolari per circoscrivere il perimetro della violazione e valutarne i rischi.
Adozione di misure adeguate a rilevare tempestivamente la violazione di dati personali
Il Garante ricorda che, nel rispetto del principio di accountability, è opportuno che il responsabile, d’intesa con il titolare, individui ed adotti misure tecniche idonee a garantire un livello di sicurezza adeguato al rischio connesso ai trattamenti svolti.
Per questo motivo, in considerazione della natura dei dati trattati, della larga scala degli interessati -anche vulnerabili-, il Garante ritiene che i sistemi di allarme che consentono di rilevare preventivamente una minaccia informatica dovrebbero essere monitorati h24.
Nel caso in esame il Garante ha infatti contestato alla società proprio il fatto di non aver adottato un sistema di monitoraggio h24 dei sistemi di allarme: il fatto che i sistemi non fossero costantemente presidiati non ha consentito a LAZIOcrea di venire tempestivamente a conoscenza della violazione dei dati personali occorsa, cosa che invece si sarebbe verificata se la società avesse previsto un monitoraggio continuativo dei sistemi informativi. In questo senso la mancata adozione di sistemi di questo genere si tradurrà nell’inadempimento di cui al precedente paragrafo 1, ossia nell’impossibilità per il responsabile di notiziare il titolare del trattamento non appena l’evento si sia verificato, e ciò in quanto lo stesso responsabile apprenderà solo in via successiva e tardivamente l’evento occorso, in ragione della tipologia di sistemi di controllo implementati.
Adozione di misure adeguate a garantire la sicurezza delle reti e il periodico aggiornamento dei software
Il Garante chiarisce inoltre che, nei casi in cui si opera come responsabili, è doveroso adottare adeguate misure per segmentare e segregare le reti su cui risiedono i dati del titolare. Nello specifico, le regole di filtering configurate sui sistemi firewall presenti nel data center gestito da LAZIOcrea non hanno impedito la propagazione del malware in quanto erano limitate solo a specifici sistemi.
Inoltre il Garante ricorda come sia necessario assicurarsi di utilizzare sistemi operativi aggiornati, in quanto l’utilizzo di sistemi operativi obsoleti facilita la possibilità di subire attacchi cyber da parte di agenti esterni. In particolare, dalle analisi svolte dal Garante è emerso che sul sistema in uso da LAZIOcrea era installato un sistema operativo obsoleto (Windows Server 2008 R2 Standard) per il quale il produttore (Microsoft) aveva cessato la distribuzione degli aggiornamenti di sicurezza. L’assenza di un patching costante ha difatti determinato una vulnerabilità del sistema che ha causato l’infiltrazione del malware.
Rilevanza delle certificazioni ISO 27001 da un punto di vista data protection
Secondo il Garante la certificazione ISO/IEC 27001:2017 (“ISO 27001”) seppur possa essere utilizzata da titolari o responsabili come elemento per dimostrare il rispetto degli obblighi del GDPR, non costituisce un elemento che dimostra automaticamente il rispetto della normativa privacy.
Infatti, secondo il Garante “tale certificazione non rientra, al momento, tra quelle previste dall’art. 42 del Regolamento”.
In ogni caso, anche se vi rientrasse, il Garante ricorda che “la certificazione ai sensi dell’art. 42 del Regolamento, seppur possa essere utilizzata, da titolari o responsabili, come elemento per dimostrare il rispetto degli obblighi del Regolamento, non ne implica automaticamente il rispetto”, necessitandosi infatti la dimostrazione dell’effettivo rispetto delle misure adottate.
In aggiunta, il Garante segnala anche che la certificazione in questione “può essere limitata a specifici ambiti (servizi e/o sedi) dell’organizzazione (riportati sinteticamente nel certificato rilasciato dall’organismo di certificazione) e che il processo di certificazione, basato principalmente sui risultati degli audit (verifiche documentali e sul campo), contiene elementi di incertezza sia perché legato al concetto di rischio sia perché svolto su un campione dei processi che l’organizzazione, ferma restando la sua buona fede, sottopone a certificazione”.
La certificazione basata sulla ISO/IEC 27001, quindi, secondo l’Autorità sarebbe parziale e quindi inidonea a garantire “di per sé, livelli di sicurezza, controlli o misure di sicurezza stabiliti o fissati a priori” potendo essa invece assicurare “l’adozione dei controlli che l’organizzazione ha identificato e ritenuto adeguati sulla base di una propria valutazione del rischio”.
Ora, se da una parte è certamente condivisibile il principio secondo il quale le certificazioni non dimostrano il rispetto di una normativa, bensì l’adozione di controlli a campione da parte dell’organizzazione – cosa che vale, peraltro, per tutte le certificazioni e non solo per la ISO 27001 – si nutre invece qualche dubbio sul fatto che la certificazione in commento non possa in realtà costituire una valida dimostrazione di accountability ai sensi del GDPR.
Ciò in quanto essa contribuirebbe, invece, a dimostrare sia l’analisi di rischio effettuata, sia il monitoraggio posto in essere, sia le misure effettivamente adottate (in quanto riscontrate esistenti) quanto meno per i processi auditati. In altre parole, dimostrerebbe gli elementi cardine dei processi data protection.
Non è tutto. Se alla certificazione 27001 l’organizzazione aggiungesse attività di monitoraggio dei processi non auditati dalla certificazione – come ad esempio, audit dedicati o controlli di monitoraggio della funzione del Data Protection Officer – completerebbe il set di evidenze richieste ai fini del GDPR.
Infine, è importante ricordare che, anche se i controlli della ISO 27001 sono condotti su base campionaria, le procedure di segregazione e aggiornamento dei dati per garantire una sicurezza completa vanno adottate per tutti i processi e quindi non solo per quelli auditati.
”Ultimo spunto, la portata della ISO 27001 è molto più ampia rispetto al GDPR, poiché va a coprire tutti i profili informativi aziendali, non solo quelli relativi alla data protection. La sua adozione può quindi costituire valido indice di un approccio particolarmente accountable della organizzazione, che andrebbe quindi tenuto in conto ai fini sanzionatori.
Considerazioni sui tempi processuali per l’emissione del provvedimento sanzionatorio
Ulteriore aspetto che si vuole segnalare in commento al data breach occorso riguarda le tempistiche relative all’emissione del provvedimento sanzionatorio. Infatti, da quanto si legge nel provvedimento, la società LAZIOcrea, nelle sue memorie difensive, ha contestato il tardivo avvio del procedimento sanzionatorio dal momento che sarebbe stato notificato oltre il termine di 120 giorni dalla chiusura della fase istruttoria previsti dal regolamento interno del Garante.
Il Garante ha respinto le contestazioni della società chiarendo che – contrariamente a quanto asserito dalla Società – l’avvio del procedimento è stato notificato nei termini di legge atteso che: “l’acquisizione di alcune informazioni rilevanti ai fini di una compiuta valutazione della conformità del complesso dei trattamenti in esame è stata completata soltanto nel mese di XX [n.d.r. la data è oscurata nel provvedimento]; ciò, anche in considerazione del fatto che l’istruttoria in esame presenta profili di particolare complessità; anche di natura tecnologica, con riferimento ai quali è stata fornita copiosa documentazione, e ha riguardato circa 35 soggetti coinvolti a vario titolo nel trattamento”.
In ogni caso, se è vero che le indagini svolte avevano natura tecnica di particolare complessità e hanno potuto richiedere un tempo maggiore, individuando il dies a quo del suddetto termine di 120 giorni nel momento in cui si è conclusa la valutazione delle informazioni acquisite, è altrettanto vero che una recente e nuova sentenza n. 2615/2023 del Tribunale di Roma, emessa con riguardo a un caso differente da quello di LazioCrea ma comunque a questo applicabile per analogia in termine di principi, ha affermato che il termine dei 120 giorni deve decorrere dal ricevimento da parte del Garante dell’ultima risposta alle richieste di chiarimenti e non, quindi, dal momento in cui l’Autorità ha svolto e completato tutte le valutazioni e gli approfondimenti del caso.
Nella citata sentenza il giudice di merito ha infatti accolto l’eccezione di nullità per violazione dei termini procedurali proposta dalla ricorrente annullando il provvedimento del Garante che sanzionava la società per 26 milioni. Il giudice del Tribunale di Roma ha infatti precisato che i termini per la notifica dell’avvio del procedimento dovrebbero essere intesi come perentori e non – come sostenuto in giudizio dal Garante – ordinatori.
Secondo la ricostruzione del tribunale di Roma, il corretto rispetto dei termini perentori entro i quali l’autorità deve concludere e comunicare l’eventuale avvio di un procedimento è un requisito fondamentale per il rispetto della certezza del diritto, dei principi sul giusto processo e del diritto di difesa (che sarebbe irrimediabilmente pregiudicato dal trascorrere di un tempo indefinito fra il presunto illecito e la sua contestazione).
Spunti di riflessione sul Provvedimento del Garante
Concludendo, il provvedimento del Garante nei confronti di LAZIOcrea offre particolari spunti di riflessione.
Anzitutto, su quelle che dovrebbero essere le misure tecniche ed organizzative che un responsabile dovrebbe adottare al fine di assicurare una corretta gestione di un data breach nei confronti del titolare. In sintesi, suggerisce di:
- mappare i sistemi aziendali presenti, in particolare i sistemi in grado di rilevare eventuali tentativi di attacco informatico, al fine di comprendere se vi sia la necessità di adottare ulteriori sistemi di allarme che rilevino tali minacce tempestivamente e/o processi che ne garantiscano il monitoraggio costante;
- con riferimento ai processi aziendali, verificare il livello di formazione e consapevolezza delle risorse coinvolte nel monitoraggio e prevedere specifiche e periodiche sessioni ad hoc;
- sempre con riferimento ai processi aziendali, prevedere specifica procedura interna per l’escalation dell’eventuale incident al titolare di riferimento;
- verificare l’implementazione e/o comunque adottare adeguate misure per segmentare e segregare le reti su cui risiedono i dati del titolare, in particolare in caso di adozione di medesimi ambienti per più clienti/titolari;
- utilizzare sistemi operativi aggiornati e assicurare un patching costante;
Infatti, secondo il generale principio di accountability il responsabile dovrebbe adottare misure capaci di assicurare un livello di sicurezza adeguato in relazione ai rischi connessi ai trattamenti svolti.
Inoltre, sulla ISO 27001: sebbene l’implementazione dei framework di sicurezza come la ISO 27001 sia un utile strumento per garantire una conformità e una protezione adeguata dei dati (non solo personali) dell’organizzazione, è bene ricordare che la mera certificazione non è di per sé sufficiente se non viene seguita da un’applicazione pratica delle procedure di sicurezza.
Infine, sul termine per la chiusura della fase istruttoria previsto dal regolamento interno del Garante: sul punto, la sentenza n.2615/2023 del Tribunale di Roma contraddicendo la difesa del Garante nel provvedimento LazioCrea, ha statuito che il termine per la chiusura della fase istruttoria, debba decorrere dal ricevimento da parte del Garante dell’ultima risposta alle richieste di chiarimenti e non, quindi, dal momento in cui l’Autorità ha svolto e completato tutte le valutazioni e gli approfondimenti del caso.